飞书CEO谢欣：Agent的安全问题没解决，能力越强风险越大

飞书CEO谢欣在2026年夏季的内部技术分享会上直言：“一个没解决安全问题的Agent，能力越强，风险越集中。”这句话没有刻意渲染危机，但点出了当前企业级AI落地中最容易被忽略的底层逻辑不是所有自动化都值得推进，尤其当它开始自主调用系统权限、跨平台读写数据、甚至触发真实业务操作时。

行业正在加速拥抱Agent。Gartner最新报告指出，到2026年，超40%的企业将部署至少一个面向内部流程的AI Agent，用于IT服务响应、HR政策查询、财务单据初审等场景。国内头部互联网公司已上线支持多步推理与工具调用的办公助手；银行和证券机构也在测试能自动比对监管文件条款并生成合规建议的Agent原型。但技术跑得快，配套的安全水位线却明显滞后。

安全不是功能补丁，而是Agent的出厂设置

谢欣强调，真正的问题不在“能不能做”，而在“谁授权它做”“做了之后能否追溯”“出错后能否熔断”。这三点直接对应三个现实短板：

1. 权限模型仍沿用传统RBAC（基于角色的访问控制），未适配Agent动态行为特征；

2. 日志体系缺乏语义级记录，仅存“调用了API A”，缺失“因识别到报销单金额异常而调用风控接口B”这类上下文；

3. 缺乏轻量级沙箱机制，多数Agent运行于生产环境直连数据库，无隔离执行层。

落地前必须验证的三道关卡

企业若计划引入具备操作能力的Agent，需在POC阶段完成以下验证：

1. 所有外部API调用均经统一网关鉴权，且网关支持按Agent身份粒度配置白名单；

2. 每次决策链路输出结构化trace ID，可关联至原始用户请求、中间推理步骤、最终动作及耗时；

3. 在非生产环境完成至少72小时连续压力测试，覆盖API失败、输入污染、多Agent并发冲突等边界场景。

需要注意，飞书近期发布的《智能体安全实践指南》中明确建议：禁止Agent直接修改核心业务库表；所有涉及资金、权限、人事信息的操作，必须保留人工确认环节；日志留存周期不低于180天，并支持按事件类型快速检索。这些并非保守策略，而是基于某制造企业真实事故的复盘其采购Agent曾因错误解析供应商邮件中的价格条款，在未二次校验情况下批量发起合同修订，导致3个订单计价偏差超12%。

另一个常被低估的风险是“意图漂移”。某零售客户反馈，其客服Agent在训练数据更新后，将“查询退货进度”误判为“申请退货”，自动触发退款流程。根本原因在于NLU模块未绑定业务状态机，缺乏对用户当前会话阶段的感知能力。这提示一个关键事实：Agent的安全性不仅取决于代码，更依赖业务规则与AI能力的耦合深度。

以上是关于AI Agent安全落地的核心观察与实操建议，希望对你有所帮助。