2026 年,智能体将在企业级应用中取得哪些实质性突破?点击下载《2026 年 AI 与数据发展预测》白皮书,获悉专家一手前瞻,抢先拥抱新的工作方式!
过去两年,我们一直在让 AI Agent 变得更有能力。它们可以查询你的数据库、总结你的文档、路由你的工作流,并代表你发起交易。其中一些确实令人印象深刻。
更难的挑战,是大多数组织尚未解决的问题:确保它们具备可问责性。
Agent 可以采取行动。但可问责性完全是另一个问题。当一名人类员工采取行动时,会有一条与之相关的身份链路。而当 Agent 采取行动时,通常并不存在这样的链路。随着 Agent 从演示走向生产环境,这一缺口正在变成一个治理问题。
这就是 Agent 身份问题。Agent 应该拥有其自身可验证的身份:明确的权限、明确的范围,以及关于其所执行操作的持久记录。没有这些,你就无法回答发生了什么、谁授权了它、它是否始终处于边界之内;而一旦出现问题,这就会成为一种责任风险。
大多数 Agent 并不具备这些。而这一缺口已经在拖慢全球一些最成熟 AI 项目的采用进程。
每个合规团队都需要回答的问题
在受监管行业中,AI 不会降低审计复杂性,而是会放大它。如果一个 Agent 查询你的数据库、生成一项建议或发起一项操作——并且六个月后出现了问题——你的团队将需要回答:
谁创建了这个 Agent?
它拥有哪些权限,持续了多长时间?
它接触了哪些数据?
如果它生成了一个衍生洞察(例如,一个预测、一个摘要、一个没有人明确授权的输出),那么谁拥有它?
设想一个贷款承销 Agent。它查询信用数据、标记风险,并生成审批建议。一年后,一名借款人对结果提出异议。你的合规团队需要准确重建该 Agent 访问了哪些数据、在谁的授权下访问,以及其输出是否保持在已批准的范围内。如果这条记录不存在,你所面临的就不仅仅是风险暴露。你将是从零开始。
这些看起来都是合理的问题。问题在于,大多数身份基础设施并不是为回答这些问题而设计的。
为什么它比看起来更难
传统身份系统是为稳定角色和明确访问权限而构建的。Agent 并不适合这一模型。
一个 Agent 可能为了单个任务启动,从四个数据源提取信息,并在中午之前消失。每个数据源在孤立状态下可能都有适当的访问控制。但组合后的输出(一个衍生洞察)可能会越过无人授权的界限。Agent 做的正是它被构建来做的事情。问题在于,没有人定义边界。
而且,即使 Agent 已经消失,记录仍然必须存在。
想想一个传统的定时批处理流程,比如每天午夜运行的薪资脚本。它有名称、有负责人、有完整的审计轨迹。一个运行了三个小时并返回建议的动态 Agent 呢?如果没有有意设计的架构,它几乎不会留下任何治理足迹。
解决 Agent 身份问题,要从将治理嵌入架构开始
治理不能事后附加,它必须从一开始就是架构的一部分。
在实践中,这意味着:
在创建时确定身份,而不是在运行时确定。Agent 的权限、数据访问和运行范围需要在其采取行动之前定义,而不是从调用它的用户那里推断出来。带有到期时间的明确权限应包括它可以访问什么、访问多长时间、代表谁访问。例如,由财务副总裁调用的 Agent 应获得其自身限定范围的访问权限,而不是继承一份该副总裁权限的副本;
治理输出,而不只是输入。对源数据的访问控制是不够的。当 Agent 跨系统组合数据时,组合后的输出可能会越过任何单个数据源都不会越过的界限。策略需要跟随衍生洞察,而不仅仅是跟随产生这些洞察的数据。一个被授权分别访问 HR 数据和财务数据的 Agent,未必被授权将它们组合起来;
生命周期追踪必须长于 Agent 本身。短生命周期的 Agent 仍然需要一份永久记录,说明是谁创建了它、它访问了什么、它生成了什么,以及是谁授权了它。可审计性不能取决于 Agent 是否仍在运行。一个运行了一小时并返回建议的临床 Agent,仍然需要一份永久记录;
把人工监督作为预警信号,而不是拐杖。目标并不是让人类观察每一次 Agent 交互。那会违背初衷。正确的模型是定期、系统性的审查,以及能够在偏移累积之前捕捉到它的审计功能。可以把它想象成财务审计:不是审查每一笔交易,而是审查足够多的样本以发现模式。
这也是为什么这些原则从设计上就内置于 Snowflake,指导我们自身的 AI Agent 开发,以及我们帮助客户构建的 Agent。
当我们构建自己的 Snowflake Go-To-Market AI Assistant 时,我们希望让团队能够随时获得所有相关的销售知识、客户案例和账户洞察。要实现这一点,我们必须做好两件事:确保所提供的信息值得信任,并设置控制措施,使 Agent 只在正确的时间向正确的人暴露正确的信息。
因此,我们一开始就把这些作为设计约束,而不是功能特性:
基于角色的数据访问;
经过认证的查询,用于区分经过验证的答案和推断得出的答案;
在创建时定义范围;
一个能够在多个数据源之间强制执行数据访问的逻辑数据模型。
结果是:我们的 Agent 现在为 6,000 多名员工赋能,每周回答超过 35,000 个问题——这是一个我们的团队信任其自主运行、且事后具备完整可审计性的 Agent。
在规模化层面,我们也以同样的方式支持客户。TS Imagine、Fanatics 和 United Rentals 等公司的客户都在 Snowflake 上构建 Agent,以加速他们的业务。
例如,Tipalti 是一家全球支付平台,每年处理超过 750 亿美元的交易,它使用 Snowflake AI Data Cloud,在其团队中普及由 LLM 驱动的数据探索。该平台使关键业务部门能够加速获得财务洞察,并更快地对关键决策采取行动,在节省时间和成本的同时,也让最接近工作的人员获得所需信息,从而更有信心地推进工作。
解决 Agent 身份问题,是企业 AI 采用的关键突破口
解决 Agent 身份问题不仅能降低风险。它还会消除阻碍采用的摩擦。
眼下,对未知的恐惧正驱使企业安排人类监督每一个 Agent、构建应用程序而不是真正的 Agent,或者完全避开这一类别。这成本高昂,而且违背了初衷。
一旦你能够回答这个 Agent 是谁、它被授权做什么,以及它实际做了什么,这种犹豫就会消失。Agent 赢得信任的方式和人一样。不是靠意图,而是靠证据。
能力已经不再是限制。信任才是。
原文地址:https://www.snowflake.com/en/blog/ai-agent-identity-governance-enterprise-trust/
点击链接立即报名注册:Ascent - Snowflake Platform Training - China,更多 Snowflake 精彩活动请关注专区。
