
很多企业内部已经出现了一个挺现实的分层:少数员工开始熟练使用各种Agent工具,把AI接到文档、代码、表格和浏览器里,让它完成一部分原本需要人工切换系统的工作;更多员工还停留在普通对话助手阶段,主要用来问问题、写初稿、改材料。两类人的效率差距会越来越明显,但如果企业只是让员工各自摸索,AI能力很难沉淀成组织能力。
个人用AI时,工具可以很灵活,效果好就继续用,不合适就换掉。企业用AI时,情况会复杂一些。Agent一旦开始访问内部系统、调用工具、处理业务数据,企业就要关心它运行在哪里、以什么身份执行、能访问哪些数据、过程有没有记录、失败之后能不能追溯。
这个阶段,企业需要补上的不是一个新的聊天框,而是一套可以私有化部署的Agent智能体运行时。
个人工具解决的是体验,企业运行时解决的是边界
个人AI工具的价值通常很直接。员工打开一个网页,上传一份材料,写一个提示词,只要结果能用,就能提升一部分效率。这个阶段的风险边界也比较清楚,结果不满意可以重来,内容有问题也可以人工修改。
企业场景里的Agent会走得更深。它可能根据用户指令去查询CRM里的客户记录,调用OA接口生成流程草稿,访问知识库补全业务说明,或者把处理结果写回某个内部系统。AI不再只是生成一段文字,而是在企业原有系统之间移动、读取和执行。
这时,单个工具体验好不好反而不是最难的问题。真正难的是企业能否把Agent纳入已有的身份、权限、安全和审计体系。没有这层运行底座,业务部门越积极,后续系统接入和安全管理越容易变得分散。
私有化Agent运行时要承担什么
Agent智能体运行时可以理解为企业AI能力的执行层。它不负责替代所有业务系统,也不只是承载一个对话界面,而是把用户任务、Agent能力、内部工具和企业治理规则放到同一个运行框架里。
企业建设这层能力时,至少要考虑几类基础问题。
| 能力层 | 主要作用 | 企业实际关注点 |
|---|---|---|
| 统一入口 | 让员工从Web、移动端或企业IM发起任务 | 入口可控,身份可识别 |
| 会话与状态 | 保存任务上下文和执行进度 | 任务可续跑,过程不丢失 |
| 工具接入 | 管理Agent对内部系统的调用 | 接口不散落,工具可授权 |
| 权限策略 | 判断谁能让Agent做什么 | 不绕过原有权限体系 |
| 安全执行 | 管住文件、网络和高风险工具调用 | 执行过程有隔离边界 |
| 审计运营 | 记录任务、工具、结果和异常 | 出问题能复盘,日常能运营 |
这类能力单独看都不陌生,但放到Agent场景里,会变成一套新的基础设施要求。因为Agent不是传统软件里固定按钮触发的固定流程,它会根据任务动态选择工具、组合步骤、生成结果,企业只能在运行时层面建立统一边界。
不能让Agent直接点对点连接内部系统
很多企业做AI试点时,容易先从一个部门的需求开始。销售团队想查CRM,就接一个CRM接口;运营团队想查知识库,就接一个检索接口;财务团队想生成报表,再单独接一套数据接口。短期看,这种方式推进很快,也容易做出演示效果。

问题会在推广阶段出现。接口越来越多,Agent越来越多,权限和日志散落在不同系统里。某个Agent到底能访问哪些数据、调用了哪些工具、有没有越权,技术团队要从多个地方拼记录,安全团队也很难给出统一策略。
更稳妥的方式是在Agent和业务系统之间放一层工具网关。Agent不直接连接ERP、CRM、数据库或企业微信,而是调用经过注册、授权和审计的企业工具。工具网关负责做协议适配、参数校验、权限判断和调用记录,底层系统的复杂性不直接暴露给Agent。
这一步看起来多了一层架构,实际是在给Agent接入企业系统建立长期边界。没有工具网关,Agent越多,系统之间的关系越乱。
协议转换决定存量系统能不能被Agent稳定调用
企业内部系统很少是统一技术栈。新系统可能提供标准API,老系统可能只有内部接口,一些数据能力还停留在数据库查询、脚本处理或RPA调用层面。Agent如果直接理解这些差异,接入成本会很高,后续维护也会变得困难。
协议转换的价值,是把这些复杂接口整理成语义清楚的业务动作。Agent不需要关心底层接口路径、鉴权细节和字段格式,它只需要调用“查询客户状态”“生成审批草稿”“获取保单信息”“推送服务通知”这类经过封装的工具。
这里不能只做简单代理。工具注册时要描述参数、权限、风险等级和返回结果;调用时要校验用户身份和业务上下文;执行后还要记录完整调用链路。这样Agent才能在企业内部稳定调用存量系统,而不是每接一个系统就新增一段难管理的风险链路。
身份权限要覆盖人、Agent和工具
企业原有权限体系主要围绕员工设计。员工登录系统后,系统根据岗位、部门和角色判断能访问什么数据。Agent进入业务流程后,权限关系会多一层,因为实际动作可能由员工发起,由Agent执行,再由某个工具访问底层系统。
这时不能给Agent一个固定高权限账号,也不能让它绕过企业原有IAM、SSO和RBAC体系。更合理的方式,是把用户身份、Agent身份、工具权限和业务动作绑定在一起判断。
例如,客户经理可以让Agent查询自己负责范围内的客户资料,但不能通过Agent访问其他区域数据;核保人员可以让Agent整理材料和提示缺失项,但关键判断仍要保留人工确认;运营人员可以让Agent生成群发内容草稿,但真正触达客户前要经过内容检查和权限校验。
权限策略不只是“允许”或“拒绝”,还要能识别不同风险级别。有些查询动作可以直接执行,有些写回动作需要审批,有些涉及敏感数据的操作应当被拦截或脱敏。
审计不是日志堆积,而是Agent运行的一部分
当Agent只做问答时,企业主要看输入和输出内容。Agent开始调用工具后,审计对象会扩展到整个执行过程:任务是谁发起的,Agent如何拆解,调用了哪个工具,传入了什么参数,访问了哪些数据,是否触发策略,是否经过人工确认,最终结果是否写回业务系统。
这些信息如果只散落在模型上下文、工具日志和业务系统日志里,后续很难还原一次完整执行过程。企业需要围绕Agent建立独立审计链,把用户任务、工具调用、策略判断、人工确认和结果归档串起来。
审计能力会直接影响企业敢不敢把Agent放进真实流程。没有审计,Agent做对了也很难证明过程合规;Agent做错了,也很难判断问题出在用户指令、工具权限、系统接口还是执行策略。
状态外置,让Agent不依赖某个进程
个人AI工具经常依赖当前会话,页面关掉、上下文丢失,很多任务也就结束了。企业任务不能这样处理。一个Agent任务可能跨越多轮会话、多个系统和多个审批节点,运行进程重启、版本升级或节点切换,都不应该导致任务状态丢失。
生产级Agent运行时通常要把状态从进程中拿出来,放到文件系统、持久存储和会话记录里。Agent的身份、技能、工具声明、工作产物和历史记忆,可以组织成一个可管理的工作空间;运行进程只负责加载上下文、执行任务、写回结果,然后释放资源。
这种设计更接近基础设施。Agent进程可以被替换,任务状态仍然保留;系统可以横向扩容,工作空间仍然能按机构、部门、用户和Agent进行隔离;执行结果可以备份、迁移和审计,而不是停留在某一次临时对话里。
凡泰AI关注的是Agent进入业务系统后的安全运行
凡泰AI的产品设计,主要面向企业Agent从试点进入真实业务系统之后的运行问题。它不是简单提供一个聊天窗口,而是把Agent中台、安全执行底座、工具网关、Skill管理、权限控制和审计留痕放到同一套企业级运行体系里。
在FinClaw中,企业可以把不同来源的Agent、工具、Skill和业务系统纳入统一管理框架。Agent可以运行在企业自己的基础设施内,适配本地化、私有云、内网和信创环境。企业可以通过工作空间管理Agent的身份、技能、记忆和任务产物,再通过工具网关、身份认证和策略控制管理它对内部系统的访问。

对于文件访问、网络访问、工具调用这类风险更高的执行动作,FinSafe这类Agent安全执行底座可以提供受控执行环境,把高风险动作放进明确边界里运行,并记录执行过程。这样业务部门可以继续探索Agent场景,IT和安全团队也能掌握底层边界。
企业部署Agent运行时,可以从小范围开始
私有化Agent运行时不一定一开始就覆盖所有业务系统。比较现实的路径,是先把入口、身份和基础工具收回来,再逐步扩大Agent可执行的业务范围。
早期可以从知识库检索、材料整理、流程草稿生成这类低风险任务开始,但底层不要按临时Demo来搭。即使场景简单,也应尽量走统一身份、统一工具注册和统一日志,避免后续每个部门都形成自己的孤岛。
当Agent开始接入CRM、OA、数据查询和企业IM时,工具网关和协议转换会变得重要。进入更深的业务流程后,安全执行、人工确认和审计回放就会变成基础要求。企业不一定追求全自动,很多关键节点仍然要保留人工确认,但Agent可以承担前置整理、信息检索、规则校验和过程记录。
从个人用AI到企业用AI,变化不只是使用人数增加。AI开始进入企业系统和流程之后,它需要被当成一个可管理的数字执行单元来部署。只有把工具、身份、权限、状态和审计放到统一运行层里,AI才可能从个人效率工具,逐步变成企业自己的基础设施。
1785

被折叠的 条评论
为什么被折叠?



