公司準備讓 AI Agent(AI 代理人)讀 CRM(客戶關係管理系統)、整理客服工單、更新專案工具或產生主管報表時,先確認一件事:這個代理人能不能被安全地放進公司流程。保守的起點是,低風險任務只給讀取、摘要、草稿與建立待辦權限;牽涉客戶承諾、付款、刪除、法律、人事或正式資料寫入時,停在人工確認。
這份檢查清單給負責把代理人放進公司流程的人使用。讀完後,你應該能把候選任務分成「可試點」「只能影子測試」「先暫停」三類,並替每個代理人指定負責人、資料範圍、審核點、預算上限、稽核紀錄與停用方式。若公司還沒選出第一個場景,可以先搭配 AI Agent 應用案例;若已經進入資安設計,再看 代理人零信任框架。
先用三種路由決定能不能試點
不要從「哪個平台功能最多」開始。先把要交給代理人的任務放進三種路由。
| 路由 | 適合情境 | 第一版允許的動作 | 需要先補的條件 |
|---|---|---|---|
| 可試點 | 每週重複、資料來源清楚、錯誤可補救、有人願意覆核 | 讀資料、摘要、分類、草稿、建立內部待辦 | 測試案例、負責人、成本上限、停用方式 |
| 只能影子測試 | 任務有價值,但資料品質、權限或責任還沒整理好 | 代理人只產生建議,不改系統、不對外送出 | 比對人工結果、記錄錯誤、整理資料邊界 |
| 先暫停 | 錯誤不可回復,或牽涉法律、人事、付款、刪除、正式承諾 | 暫不交給代理人自動處理 | 先建立政策、審批流程、權限分層與事故處理 |
可試點不代表可以全公司開放。它只代表這個任務可以用小範圍、可停止、可追查的方式驗證。
五道上線閘門:缺一項就不要擴大
每個候選代理人上線前,至少要通過下面五道閘門。這張表可以直接放進試點提案、採購評估或內部審核會議。
| 閘門 | 要先寫清楚 | 合格訊號 | 不合格訊號 |
|---|---|---|---|
| 用途與負責人 | 這個代理人解哪個任務、誰維護、誰可以停用 | 任務範圍一句話說得清楚,有負責人與備援 | 「大家都可以用」「先試試看」但沒有人負責 |
| 資料邊界 | 可讀哪些系統、欄位、文件與歷史紀錄 | 資料分級、遮罩、測試資料與正式資料分開 | 用共用帳號讀整個雲端硬碟或 CRM |
| 權限與工具 | 能呼叫哪些工具、能不能寫入、能不能對外行動 | 工具白名單、最小權限、逐步開放 | 一開始就給管理員、刪除、付款、寄信或部署權限 |
| 人工審核 | 哪些輸出一定要人看、誰批准、多久回覆 | 高風險動作有確認點,低風險任務可抽樣 | 代理人可以直接對客戶、員工或正式系統做決定 |
| 成本、日誌與停用 | 每次任務預算、重試上限、日誌內容、如何關閉 | 有預算上限、使用紀錄、異常通知與停用開關 | 月底才看帳單,出錯時查不到誰做了什麼 |
Microsoft 在企業代理人治理建議中強調集中盤點、身分、政策與行為可見性;NIST AI 風險管理框架則把治理、盤點、衡量與管理放在同一套風險流程裡。把這兩個方向轉成公司內部語言,就是:先知道代理人存在哪裡,再決定它可以做什麼,最後用紀錄和停用機制讓風險可控。
權限四段階梯:不要一開始就開寫入
這類代理人的風險常出在「合法權限被用錯」。它可能有權讀資料、呼叫工具或修改系統,但任務理解錯、資料被污染或外部訊息誘導時,合法權限也會造成事故。
可以把權限分成四段,逐步開放。
| 階段 | 代理人可以做什麼 | 適合第一版嗎 | 例子 |
|---|---|---|---|
| 讀取 | 查文件、讀工單、看表格、整理摘要 | 適合 | 每週整理客服問題、找出知識庫缺口 |
| 草稿 | 產生回覆、報告、待辦、比較表 | 適合,但要人確認 | 幫業務產生跟進信草稿、幫營運整理週報 |
| 有限寫入 | 更新指定欄位、建立內部任務、加上標籤 | 需要影子測試後再開 | 將工單分類寫回系統,但退款仍由人處理 |
| 外部或不可逆行動 | 寄信、下單、付款、刪除、部署、修改正式資料 | 先保留人工批准 | 對客戶發送正式回覆、建立合約版本、調整生產設定 |
第一版常見的安全設計,是只開前兩段。若前兩段已經能省下整理、比對、初稿時間,就先把價值驗證清楚,再談有限寫入。
資料邊界:把代理人會讀到的內容當成正式資料流
代理人會把文件、表格、網頁、電子郵件、工單、客戶紀錄與工具回傳結果放進上下文。這些內容進入代理人後,就會影響下一步判斷。
資料邊界至少要回答四件事:
- 資料從哪裡來:CRM、客服系統、雲端硬碟、內部知識庫、電子郵件、外部網頁或資料庫。
- 資料敏感度:公開、內部、客戶個資、員工資料、財務資料、合約、原始碼或憑證。
- 資料能不能被輸出:摘要可以對內分享嗎?欄位要不要遮罩?能不能複製到外部工具?
- 資料保存與刪除:代理人執行紀錄、輸入、輸出、工具呼叫與錯誤資料保存多久,誰能看。
OWASP 的大型語言模型應用風險清單持續把提示注入、敏感資訊揭露、供應鏈與過度代理列為重要風險。企業可把它翻成簡單規則:外部內容、客戶訊息、網頁資料與第三方工具回傳內容,都不能自動被代理人當成可信指令。
若供應商宣稱「會沿用既有權限」,也要驗證實際行為。OpenAI 的企業隱私頁面提到,ChatGPT 連接應用程式時會尊重組織既有權限,工作區管理員可控制哪些應用啟用;這類承諾有幫助,但公司仍要檢查每個代理人實際可讀的資料與可執行動作。
人工審核:把高風險動作卡住
人工審核太重,員工會繞路;完全沒有審核,代理人出錯時很難收拾。比較可行的做法,是把審核放在高風險轉折點,而低風險整理任務用抽樣與回報機制加速。
| 動作類型 | 建議審核方式 | 原因 |
|---|---|---|
| 摘要、分類、草稿 | 使用者確認或抽樣 | 錯誤通常可補救,適合快速累積案例 |
| 寫回內部系統 | 任務負責人批准,先限指定欄位 | 防止資料被大量改錯 |
| 對外寄送或客戶承諾 | 負責人逐件確認 | 影響品牌、合約、價格與客訴 |
| 付款、刪除、法務、人事 | 保留既有審批流程,代理人只整理材料 | 錯誤代價高,責任歸屬要清楚 |
| 自動部署或改生產設定 | 技術負責人與變更流程批准 | 需要回滾、監控與事故處理 |
審核點也要有服務水準。若每個代理人建議都卡三天,使用者很快回到私人工具或手動處理。試點時可以先設定「低風險草稿 24 小時內回覆,高風險動作不自動化」。
成本:把模型費、工具費、查詢費和人工覆核放在一起算
代理人成本常被低估,因為它會拆成多步驟:讀資料、呼叫模型、查系統、重試、整理輸出、等人工確認。只看訂閱席次或單次模型呼叫,會看不到真正成本。
建議用四個桶子記錄:
| 成本桶 | 要記什麼 | 常見漏算 |
|---|---|---|
| 模型與平台 | 模型/API、企業版席次、代理人執行量 | 長任務、多輪重試、文件解析 |
| 工具與資料 | CRM、搜尋、資料庫、雲端函式、向量資料庫 | 查詢次數、外部 API、資料同步 |
| 運維與風險 | 日誌、監控、警示、沙盒、權限管理 | 安全審查、事故演練、停用流程 |
| 人工覆核 | 審核時間、改稿時間、客服接手時間 | 審核者負擔、錯誤補救、教育訓練 |
第一版可以先設定三個上限:單次任務預算、每日總預算、連續失敗停止條件。例如某個客服摘要代理人連續三次找不到來源、同一工單重試超過兩次、或一天呼叫成本超過上限,就自動停下並通知負責人。
Anthropic 在「Building effective agents」裡提醒,應先找最簡單的解法,只有任務需要彈性與模型驅動判斷時才增加代理人複雜度。這句話也適合放進成本管理:若固定工作流能完成,就先用工作流;若代理人的判斷能力真的能處理例外,再付出額外成本。
三個企業試點情境
下面三個情境可以幫你把清單落到部門工作。每個情境都先從可驗證、可停止的任務開始。
| 情境 | 交給代理人的任務 | 預期輸出 | 怎麼驗證 | 風險與不適用 |
|---|---|---|---|---|
| 客服主管要整理本週常見問題 | 讀已關閉工單與知識庫,分類問題、找缺口、產生回覆草稿 | 類別排行、知識庫缺口、需人工確認的回覆草稿 | 抽 20 件比對真人分類;檢查是否引用正確知識庫版本 | 不可自動退款、承諾補償或代表公司道歉 |
| 業務主管要減少 CRM 空欄位 | 讀會議紀錄與 CRM,建議下一步、補摘要、標示缺欄位 | 客戶狀態摘要、下一步草稿、待補資料清單 | 業務逐筆確認,統計採用率與錯誤類型 | 不可自動改價格、折扣、合約條款或出貨承諾 |
| 營運主管要做週報 | 讀表單、專案工具與內部文件,整理異常與待辦 | 週報草稿、風險列表、資料來源連結 | 主管檢查來源連結與漏項;比對人工整理耗時 | 若來源文件版本混亂,先整理資料治理 |
這些情境的共同點是:代理人先做整理和建議,人類保留正式決策。等錯誤類型、成本與審核負擔都可接受,再逐步開有限寫入。
14 天影子測試路線
影子測試的意思是,代理人跑在真實案例旁邊,但不改正式系統。人類照常處理工作,再把代理人輸出拿來比對。
| 時間 | 要做的事 | 產出 |
|---|---|---|
| 第 1–2 天 | 選一個候選任務,寫清楚輸入、輸出、成功標準與停用條件 | 一頁任務卡 |
| 第 3–4 天 | 準備 20–50 個歷史案例,包含正常、缺資料、來源衝突、敏感資料與誘導指令 | 測試案例包 |
| 第 5–7 天 | 代理人只讀資料並產生建議,不寫回、不對外、不寄送 | 建議輸出與錯誤紀錄 |
| 第 8–10 天 | 人類比對結果,標記可採用、需修改、不可用、越權或缺來源 | 錯誤分類表 |
| 第 11–12 天 | 計算節省時間、覆核時間、模型與工具成本、錯誤補救成本 | 成本與效益小結 |
| 第 13–14 天 | 決定擴大、縮小、改工作流或暫停 | 擴大/調整/停止決策 |
如果 14 天後看不出節省時間,或錯誤多半來自資料混亂、權限過大、來源不可追,先不要擴大。把任務改小、整理資料,或改用固定工作流,通常比繼續調提示詞更有效。
什麼情況先不要上 AI 代理人
看到下面任一情況,先回到流程、資料或政策整理。
- 任務負責人說不清代理人成功與失敗的標準。
- 代理人需要共用人類管理員帳號才能完成任務。
- 會讀到客戶個資、員工資料、合約、財務或憑證,但沒有遮罩與存取紀錄。
- 會對外寄信、承諾價格、批准付款、刪除資料或修改正式系統。
- 找不到日誌,出錯時無法知道輸入、輸出、工具呼叫與負責人。
- 成本沒有單次、每日、重試與異常停止上限。
- 供應商條款、資料訓練、保存期限或管理員控制說不清楚。
這些紅線不代表公司永遠不能導入代理人。它們代表目前還不該把任務交給會自行判斷下一步的系統。
和站內其他頁怎麼分工
- 還沒選場景:先讀 AI Agent 應用案例,把客服、銷售、工程、營運與個人助理任務排出優先順序。
- 想理解治理背景:看 AI Agent 治理與 Shadow AI,掌握盤點、身分、權限與停用機制。
- 已進入資安架構:看 Zero Trust for AI Agents,把代理人身分、工具、記憶與稽核放進零信任思路。
- 準備進正式環境:看 AI Agent Production 部署指南,補監控、預算守門、回滾與運維。
- 需要員工使用規範:看 企業 AI 使用規範,先把一般 AI 使用紅線寫清楚。
參考來源
- Microsoft Learn, Governance and security for AI agents across the organization。用於確認集中盤點、代理人身分、政策一致性與行為可見性的治理方向。
- NIST, AI Risk Management Framework 與 NIST AI RMF 1.0。用於風險治理、盤點、衡量與管理的框架參照。
- OWASP, Top 10 for LLM Applications 2025。用於提示注入、敏感資訊揭露與 agentic AI 系統安全風險參照。
- Anthropic, Building effective agents。用於判斷何時需要代理人,何時應先採用較簡單工作流。
- OpenAI, Enterprise privacy at OpenAI。用於企業資料權限、工作區管理與訓練資料政策的供應商聲明參照。