AI-DIVE
登录订阅
深度·Neo·2026.05.22

AI Agent 的「可问责性」缺口:当能力追上治理,谁在踩刹车?

Agent 正在获得越来越强的行动能力,但与此同时,「可问责性」出现了系统性缺口——身份、权限、审计三层同时失灵。过去一周 Anthropic、Cloudflare+Stripe、Snowflake 从不同角度给出了回应。

AI Agent 正在获得越来越强的行动能力。

Claude Code 推出了 Routines——让编码 Agent 在云上自动运行,不再需要人类盯着终端。Codex 的 Mac 锁定模式允许 Agent 在屏幕熄灭、电脑锁定的状态下操控你的应用程序。Cloudflare 和 Stripe 联手推出协议,让 Agent 自主创建云账户、购买域名、部署应用,连信用卡都不用人类掏。

Agent 在做事

但这里有一个很少有人问的问题:当 Agent 做错了事,谁来负责?

这不是一个哲学问题。这是一组硬核的工程问题——Agent 有没有可验证的身份?它的权限边界在哪里?它执行过的操作有没有持久记录,让审计团队能追溯?当两个 Agent 协同出错时,谁的错误?

过去一周,多条来自不同方向的信号同时指向了同一个缺口。

「能做事」和「能被问责」之间的鸿沟

Gartner 预测 2026 年底 40% 的企业应用将内置 Agent。如果这个预测准确,那么企业现在就应该面对一个尴尬的事实:传统身份基础设施无法为动态 Agent 设计合适的权限模型。

InfoQ 近期的一篇技术趋势分析(参考了多位企业架构师的反馈)一针见血地指出:AI Agent 在企业落地面临的最大障碍不是能力问题,而是可问责性(Accountability)缺失

具体来说有三层:

三层缺口

  • 身份层:Agent 的「身份」是什么?它是用户的代理,还是一个独立的执行实体?如果是独立的,它应该有自己的 API Key、自己的审计日志、自己的权限边界。但今天大多数平台把 Agent 简单地挂在创建者的身份下——等于让一个实习生拿着你的工卡到处刷卡。

  • 权限层:一个 Agent 执行任务时,需要的权限是动态的、场景依赖的。今天它只需要读日历,明天可能需要写数据库。传统 IAM 的静态角色模型无法适应这种按需变化。你要么预授权所有权限(风险敞口过大),要么每次让人类审批(掐死了自动化的意义)。

  • 审计层:Agent 执行的操作缺少持久化的、不可篡改的操作记录。传统的应用日志是为「人类操作」设计的——用户 A 在时间 T 做了操作 O。但 Agent 的操作链可能涉及模型推理、工具调用、多步计划,每个环节的中间状态都需要被记录才能追溯故障。今天几乎没有平台能提供这种粒度的审计。

这三层的任何一个没有解决,企业合规团队就可以理直气壮地说「不」。

一条信号链:所有人都在同一面墙上撞头

有趣的是,几乎在同一时间,行业里出现了多条从不同角度回应这个问题的信号。

5 月 21 日,Anthropic 宣布为 Claude 推出 28 项安全与合规工具集成,包括 Cloudflare、CrowdStrike、Microsoft Purview、Okta、Palo Alto Networks、Wiz 等。所有这些集成都由 Claude Compliance API 驱动——它向企业安全团队提供两类数据:

  1. Claude Enterprise 的对话内容(聊天记录、上传文件、项目数据)——让安全团队将已有的 DLP、SIEM 策略直接应用到 Claude 上
  2. Claude Platform 的活动事件(用户登录、管理员操作、配置变更)——跨产品线统一视图

这本质上是在回答「审计层」的问题。Anthropic 聪明地选择做标准接口而不是做安全平台——让已有的企业安全基础设施「理解」Claude,而不是让客户再学一套新的安全工具。

同一天,Cloudflare 和 Stripe 联合推出的 Agent 协议则在回答另一个问题。它不是关于「怎么拦住 Agent」,而是关于「怎么让 Agent 合法地做事」:

  • 发现(Discovery):Agent 通过 REST API 查询服务目录,找到它能做什么
  • 授权(Authorization):Stripe OAuth 自动为 Agent 创建或匹配账户
  • 支付(Payment):每月 100 美元上限,Agent 自主消费

三个组件构成了一个最小的 Agent 身份与支付框架。Cloudflare 的 Matt Lewis 说得很直白:「如果一个 Agent 不能自主创建账户、不能自己买单,那它永远无法真正在云端独立工作。」

同一天还有一条容易被忽略的信号:Snowflake Intelligence 升级为个人工作 Agent,核心变化是——从只读「问数据」转向「执行任务」:MCP 连接器对接 Gmail、Calendar、Jira、Salesforce、Slack,还能自动判断从结构化表还是非结构化文档中检索。

Snowflake 走的路径是「语义层 + 动态路由」——不直接暴露底层权限,而是通过语义层解释用户的自然语言请求,再映射到有明确边界的企业数据源。这其实是在权限层做了一层隐式的抽象

再看更早几天,Cloudflare 开源的 Dynamic Workflows(约 300 行 TypeScript)——让工作流代码能在运行时根据不同租户或 Agent 动态变化。一个 Worker Loader 在 Workflows 引擎与租户代码之间路由请求,空闲租户近乎零成本。

这解决的是「多租户场景下的 Agent 资源隔离」——虽然不直接回答问责问题,但为「每个 Agent 都有自己的运行时沙箱」提供了工程基础。

三条路径,一个方向

把这些信号放在一起,可以看到行业正在从三个不同的角度冲向同一个问题:

三条路径

  • Anthropic → 审计层:让 Agent 的活动数据被现有安全基础设施消费。策略是「开放接口,融入生态」
  • Cloudflare+Stripe → 身份与支付层:让 Agent 有合法的数字身份和支付能力。策略是「用金融级的协议定义 Agent 的经济主体地位」
  • Snowflake → 权限抽象层:用语义层隔离 Agent 和企业数据的直接接触。策略是「不给 Agent 直接权限,给它一个翻译器」

这三条路径目前互不冲突,但长远看它们需要对齐——一个 Agent 的身份系统应该是什么样?当 Anthropic 的 Compliance API 记录了操作事件,Cloudflare 的协议管理了它的支付账户,Snowflake 的语义层控制了它的数据访问——谁来告诉企业合规官「这一切是完整的」?

更大的赌注:Agent 需要成为法律主体

这个问题再往下追问一层,会更让人不安。

如果 Agent 签署了合约、购买了服务、对第三方系统造成了影响——法律上谁负责?是 Agent 的创建者、部署者、还是触发它的用户?

Cloudflare+Stripe 协议设了每月 100 美元消费上限,这其实是一种精巧的风险隔离——限额等于认可 Agent 可以代表你消费,但限额也等于明确了亏损上限。但这不是法律框架,只是权宜之计。

回过头来看那个有点扎眼的数字:91% 的 Agent 平台被发现有安全漏洞。当 Agent 的漏洞被利用导致数据泄露,是 Agent 平台的责任,还是使用 Agent 的企业的责任?

这个问题现在还没有答案。但行业已经有人在认真对待——Anthropic 的 28 个安全合作方、Cloudflare 和 Stripe 的协议、Snowflake 的语义层隔离,都在用工程的方式提前回答法律还没有来得及提出的问题。

一句话判断

2026 年下半年,Agent 的可问责性工程将从「锦上添花」变成「准入门槛」。最先解决 Agent 身份、权限、审计三层闭合的 Agent 平台,将获得企业市场的通行证。

不是能力更强的 Agent 赢,而是能被信任的 Agent赢。