回到頂部
受控 AI 代理被多層權限與監控環包住,旁邊有資料流、代理盤點節點與風險警示

AI-SPM 是什麼?AI Agent 評估、權限與停用指南

用一次 demo 決定 AI 代理能不能接 CRM、改程式,會低估風險。AISI 提醒測試預算會改變代理能力;企業要一起排好評估、權限、監控與停用。

內容查核: 來源查核:

如果團隊正在讓 AI 代理(AI agent) 接 CRM、開 PR 或處理弱點,最危險的情況是:短測試因為預算太小而失敗,團隊卻因此以為代理做不到。英國 AI Security Institute(AISI)2026-07-02 的文章提醒,代理評估的 token 與時間預算會改變測到的能力;固定預算可能低估前沿模型,尤其是需要多步驟的資安與軟體任務。

AI 安全姿態管理(AI Security Posture Management,AI-SPM)因此要同時處理代理盤點、測試長度、權限與停用。對企業 AI 負責人、資安團隊與資料平台主管來說,它要先回答三件事:這個代理測得夠久嗎、權限有沒有比任務需要更多、出錯時能不能在寫入或外傳前停下來。答案還不完整時,客服代理先停在草稿、coding agent 先停在 PR、人資或財務代理先停在建議,是比較安全的試點路線。

Google DeepMind 在 2026-06-18 公開 AI Control Roadmap,讓這個問題變得更具體。它的假設很保守:就算模型已經做過對齊訓練,也要把高能力代理當成可能失準的內部操作者來管理。企業本週不必因為新名詞立刻採購工具,但應該開始盤點哪些代理有資料權限、工具權限、測試預算與不可輕易復原的動作。

AI-SPM 先回答六個問題

AI-SPM 是企業 AI 風險治理的工作方法與工具類別。它會同時看模型輸出、代理、資料、工具、身分、紀錄與停用流程。

一個可用的 AI-SPM 底座,至少要回答六個問題。公司有哪些代理,要留下代理清單、任務負責人、用途與部署位置;代理代表誰操作,要留下身分、權杖、服務帳號與委派範圍;代理能讀哪些資料,要標出來源、敏感度、權限範圍與保留期限;代理能呼叫哪些工具,要列清可寫入動作、外部連線與瀏覽器邊界;正常行為長什麼樣,要保留工具呼叫、計畫、輸出與異常分類;出錯時怎麼停,要排好人工審批、即時阻擋、撤銷權杖與關閉連接器。

只要其中一項答不出來,風險就會變得很具體:Shadow AI 變多時找不到任務負責人、行為看起來像正常員工卻沒有代理層稽核、代理把客戶或財務資料帶到錯誤流程,或高風險寫入已經完成才被發現。

這些問題也能區分「只是使用 AI 工具」和「把 AI 代理放進營運流程」。前者多半需要資料政策與員工教育;後者需要像管理內部操作者一樣管理權限、監控與回應。

DeepMind AI Control Roadmap 補上哪一塊?

DeepMind 這次提出的 AI Control Roadmap,可以放在 AI-SPM 框架下理解。它偏向高能力內部代理的控制層:模型對齊(model alignment)仍重要,但安全設計不能只押在模型永遠照規則行動。

官方做法可以轉成三層檢查。第一層是威脅建模:把不受信任的 AI 代理視為可能的內部威脅,先列出誤用、越權、刪資料與外傳資訊的路徑。第二層是偵測:為高風險代理保留計畫、工具呼叫、輸出與審查紀錄,避免只看最終答案。第三層是預防與回應:把不可回復或高影響動作放到即時審批、阻擋或人工確認流程。

可以抓住一個原則:代理可以取得有限信任,但高影響動作仍要受控。低風險代理可以先透過延後審查與快速補救管理;會改資料、移動敏感資訊或執行安全動作的代理,就要在動作發生前加上同步阻擋。

如果團隊還在建立共通語言,可以先看 AI Agent 安全新共識 對系統邊界、防護欄與代理行為紀錄的整理;若問題是公司裡的代理太分散,則先回到 AI Agent 治理與 Shadow AI 的盤點流程。

AISI 新提醒:評估代理時,不要只看固定預算跑分

代理能力比較像一條會隨測試預算變動的曲線,不適合只用單一分數判斷。AISI 文章說,他們把前沿模型放到資安、軟體工程、數學、學術任務與醫療任務等多種代理評估中,從低到高掃過不同 token 預算,觀察成功率、可靠度、效率與能碰到的最難任務。

結果對企業試點很有提醒:在 AISI 的資安任務裡,約 8% 的任務只有在 1,000 萬 tokens 以上才被解出,有些需要到 5,000 萬 tokens;公開軟體工程任務把總預算從 100 萬拉到 1,000 萬 tokens 時,表現約提高 25%,數學與學術任務也約提高 22%。AISI 也說,TerminalBench 在提高到常見公開評估 10 倍的 token 預算後,表現仍繼續上升。

安全讀法要收窄:AISI 的結果不等於每個公司內部代理都能自動完成攻擊或部署;它提醒企業,評估不能只問「一次 demo 有沒有成功」。如果代理要碰客戶資料、修補弱點、修改權限或跑部署,測試要盡量接近真實任務長度,並記錄總 token、嘗試次數、最長執行時間、人工介入點與失敗原因。短測試失敗可以當成暫時不上線的理由,但不能當成「能力不存在、所以不用管權限」的證據。

如果團隊正在評估 coding agent,也可以把這個原則接到 企業 AI Coding Agent 評估指南:先看代理能在多長任務中維持可追蹤行為,再決定它能不能拿到寫入權限、分支保護例外或弱點處理權限。

風險分級:哪些代理需要即時阻擋?

不需要把所有 AI 代理都放進同一套重流程。比較可行的做法,是先依資料敏感度、動作可回復性與業務影響分級。

代理任務風險等級建議控制驗證方式
摘要公開文件、整理會議逐字稿工具白名單、延後抽查、輸出留存抽查來源引用與是否誤用內部資料
讀內部文件、產生客服回覆草稿限制資料夾與客戶欄位,送出前人工確認比對權限、回覆紀錄與敏感資料遮罩
分析 CRM、建立名單、更新欄位中高寫入前審批、欄位層權限、批次回復機制每次寫入都能追到代理、使用者與任務理由
跑程式碼修補、開拉取請求(pull request,PR)中高測試、程式碼審查、分支保護、可回滾紀錄檢查測試結果、差異、PR 審查與部署狀態
修改權限、發送大量郵件、部署生產環境、處理弱點即時阻擋、雙人審批、最小權限、短期權杖(token)未經審批不可執行;執行後保留完整稽核軌跡

DeepMind 的路線圖也提醒一件事:代理越有能力,監控也要升級。當模型可能知道自己被監控,或用看不見的方式完成推理,只讀表面文字推理鏈就會不夠。企業目前可以先從可觀測行為開始:工具呼叫、資料讀取、輸出位置、寫入動作、例外處理與人工批准紀錄。

一個實務場景:客服代理接 CRM 前怎麼檢查?

假設公司想讓客服 AI 代理讀知識庫、查詢 CRM,並草擬客戶回覆。這類流程已經超出純聊天機器人範圍,因為它可能碰到客戶個資、合約狀態與未公開的處理紀錄。

比較安全的試點順序是:

  1. 先定義代理負責人、可服務的客戶類型、可讀資料夾與禁止讀取的欄位。
  2. 只讓代理產生草稿,不讓它直接送出郵件或修改 CRM。
  3. 保留每次任務的輸入、檢索來源、工具呼叫、輸出草稿與人工修改紀錄。
  4. 對「要求退款、合約異動、法律爭議、資安事件」加上人工審批。
  5. 每週抽查被標記事件,分成資料不足、理解錯誤、權限過大、使用者指令不清與可能惡意五類。

這樣做的好處是,代理真的能幫客服省時間,同時不會在還沒建立監控之前就取得過多寫入權限。DeepMind 也提到,他們分析程式碼代理任務時,許多被標記事件來自代理誤解或過度追求使用者目標,不一定是惡意行為;企業自己的分類也應該能區分「壞意圖」和「好意但做錯」。

AI-SPM 和既有資安工具怎麼接?

AI-SPM 不應該變成另一張孤立表格。它要接到企業已經在用的身分、資料、監控與事件處理流程:IAM 要看代理代表誰、用哪個短期權杖;DLP 要看代理讀取與輸出是否碰到敏感資料;SIEM 要收進工具呼叫、異常路徑與被阻擋事件;雲端、SaaS 與瀏覽器安全要看代理能不能連到 MCP server、第三方 API 或內部服務;程式碼與部署治理則要確認代理開 PR、改設定、部署或修補弱點時是否通過測試與審查。

如果團隊已經把 Chrome Enterprise MCP Server 接進瀏覽器安全,可以參考 Google 把瀏覽器安全也變成 AI Agent 工具;如果正在看雲端代理安全與漏洞處理,也可以接著看 AWS Context/Continuum 的企業 Agent 上線檢查

跨平台治理仍然重要。Microsoft Agent 365、Google 生態內的代理平台、AWS AgentCore 或瀏覽器安全工具,都能管住各自平台的一部分;公司同時使用多個模型、SaaS、雲端與自建代理時,AI-SPM 要把這些紀錄串成同一張風險視圖。

先做 7 天檢查,不要先買一整套平台

如果公司已經有幾個代理試點,可以先用一週完成最小盤點:第 1 天列出正在測試或上線的代理,記下名稱、任務負責人、用途與部署位置;第 2 天標出可讀資料、敏感度、保留與輸出位置;第 3 天標出可呼叫工具、可寫入動作、禁止動作與外部連線;第 4 天把任務分成低、中、高風險,決定哪些可延後抽查、哪些要即時阻擋;第 5 天補上任務輸入、工具呼叫、輸出與人工批准紀錄;第 6 天排好撤銷權杖、關閉連接器與回復寫入資料的流程;第 7 天做一次桌上演練,模擬代理誤刪資料、越權讀取或錯誤外傳時誰要處理。

這份清單完成後,再評估是否需要專門的 AI-SPM 平台、雲端原生代理管理功能,或把紀錄接進既有 SIEM / DLP / IAM。若連這些基本問題都沒有答案,直接採購工具也很難降低風險。

何時需要更完整的 AI-SPM?

可以用三個門檻判斷是否該升級:

  • 代理數量已經超過平台團隊能手動追蹤。
  • 代理開始處理客戶資料、財務資料、程式碼、權限或生產系統。
  • 董事會、法務、資安或稽核開始要求可追蹤紀錄,而現有工具無法回答「哪個代理做了什麼」。

在這之前,最有價值的動作是把高風險代理收斂到少數可觀測流程。對低風險使用,保持摩擦低;對高風險動作,要求明確權限、即時阻擋與人工確認。這樣公司開始用 AI 代理時才有機會擴大,而不會因為一次事故被全面暫停。

FAQ

AI-SPM 跟傳統 CSPM 或 SaaS security 有什麼不同?

CSPM 偏向管理雲端資源與設定,SaaS security 偏向管理 SaaS 使用與資料風險。AI-SPM 多了一層代理行為:它要知道 AI 代理代表誰、讀了什麼資料、呼叫哪些工具、是否偏離任務,以及出錯時能不能停用或回復。

只有大企業需要 AI-SPM 嗎?

完整平台通常比較適合大型企業,但中小企業也需要基本做法:列出 AI 工具與代理、限制敏感資料、管理 API key、保留工具呼叫紀錄,並讓高風險動作經過人工確認。只要代理會讀公司資料或寫入系統,就不應該完全靠使用者自律。

DeepMind AI Control Roadmap 對一般企業有什麼用?

它提供一個安全思路:不要只相信模型會照規則行動,也要用威脅建模、監控、阻擋與回應流程來管理代理。一般企業不必複製 DeepMind 的內部系統,但可以先把代理風險分級,決定哪些任務延後審查即可,哪些任務必須即時阻擋。

AISI 說測試預算會影響代理能力,企業要改什麼?

先不要把一次短 demo 或固定 token benchmark 當成安全上線證明。若代理要處理弱點、改程式、碰客戶資料或取得寫入權限,測試應該記錄 token / time budget、嘗試次數、最長任務時間、人工介入點與失敗原因,並把高風險動作留在人工審批或可回復流程內。

看到 AI 代理風險增加,企業應該先停用代理嗎?

不一定。比較好的做法是先把代理分級。只整理公開資料或產生草稿的低風險代理,可以用紀錄與抽查管理;會讀敏感資料、修改系統、發送訊息或部署程式的高風險代理,應先補最小權限、人工審批、稽核紀錄與停用流程。

參考來源

№ · further reading

延伸閱讀