蓝时代2026年被广泛视为“智能体AI元年”。
中国工程院院士、清华大学智能产业研究院院长张亚勤在博鳌亚洲论坛2026年年会上,将2026年明确定义为“智能体AI元年”,并提出人工智能发展正从“生成式AI”走向“智能体AI”。同年,“智能体”首次被写入中国《政府工作报告》,明确提出“促进新一代智能终端和智能体加快推广,推动重点行业领域人工智能商业化规模化应用”。零一万物发布的《中国企业智能体2026六大预判》则将这一年定性为企业多智能体规模化“上岗元年”。
对大多数企业来说,智能体不再是尝鲜,而是在铺开。营销团队用它生成投放素材,法务部门用它审核合同,研发团队用它辅助编码。美国企业级云内容管理平台Box的CEO Aaron Levie在a16z播客中预言:“智能体的数量将比人多一百到一千倍。”
但当一家企业里同时跑着数十甚至上百个智能体,问题开始浮出水面。
这些智能体互不通信,权限边界模糊,做了什么、为什么这么做,难以追溯。全球IT研究与顾问咨询公司Gartner给出了一个乐观预测和一个悲观预测:到2028年,33%的企业软件将包含智能体AI,但到2027年,超过40%的智能体AI项目将被取消,主因正是“治理和风险控制不足”。两个数字一前一后,说明的是同一件事——智能体跑得太快,企业还没学会怎么管。
企业正从“如何构建智能体”的兴奋,转向一个更棘手的问题:当公司里的智能体越来越多,如何才能不让它们互相踩踏、不被轻易攻破、不至于失控?
智能体成了企业里最好骗的新员工
做安全的人最清楚,系统边界上每多一种新东西,就多一个可以被攻击的面。智能体不是普通的新东西,它是会自己做决定、有权限触碰公司系统的新东西。更麻烦的是,它太好骗了。
先看外部威胁。2025年9月,人工智能安全公司Anthropic披露了首个有记录的AI智能体大规模自主执行网络间谍活动,代号“GTG-1002行动”。攻击者利用多个Claude Code实例,让AI自主完成了80-90%的攻击操作,约30家跨国组织受影响。几乎同期,墨西哥政府也遭到AI辅助攻击,攻击者利用Claude和ChatGPT自动化侦察与漏洞利用开发,窃取约150GB税务和选民敏感数据。Anthropic安全团队在报告中直言:“必须将AI智能体滥用视为当下危险,而非未来可能。
但真正让企业安全团队夜不能寐的,是一种技术含量极低的方式——提示注入。简单来说,就是有人用一段精心构造的文字“哄骗”智能体,让它干坏事。
全球数据安全公司Forcepoint安全团队在真实网站上发现了针对AI智能体的武器化指令,其中一个载荷甚至写明了PayPal.me收款链接和5000美元固定金额,显然是专为能访问数字钱包的智能体设计的。研究人员的警告很直白:“影响随AI权限放大。能发邮件、执行终端命令或处理支付的代理型AI,被攻击的价值极高。”
这种攻击的可怕之处,在“Clinejection事件”中被推到了极致。一个流行的AI编程工具,因为给自动处理需求的机器人赋予了过高权限,且任何人都能触发它运行,攻击者仅仅通过提交一段文字指令,就能诱导AI执行恶意代码,最终导致一个含恶意代码的软件版本在约8小时内扩散给了大量开发者。
外部攻击防不胜防,但更让人不安的,是内部安全逻辑的彻底失效。Box CEO Aaron Levie点出:管理人类员工的手段,在智能体面前将失灵。“95%的人类员工不会主动做坏事。让人类员工不向外分享机密文件,要比让智能体遵守同样一套指令容易得多。”他还指出一个目前无解的困境:“你可以随时欺骗智能体让它泄露信息,这就是为什么给智能体完全独立的资源访问权、让它完全自主决策,目前还做不到。”
你不能威胁开除它,不能追责它,更不能指望它能在下一轮对话中守住秘密。这就是安全团队面对的新现实。
当一群智能体开始互相踩踏
基础的混乱,往往最先被感受到。前微软高管Steven Sinofsky分享了自己的一次亲身经历:他用Box CLI让智能体创建营销计划目录,结果智能体陷入死循环,疯狂创建新文件夹。而Box的CEO Aaron Levie则描绘了更复杂的并发噩梦:“如果公司有五千名员工同时用智能体访问同一个共享文件夹——如何确保在写入时,文件不被别人意外移动或删除?这将让每一位CIO和CFO焦头烂额。”
但这些热闹的现场只是冰山一角,水面之下的系统性问题更为致命。即使不考虑安全问题,当不止一个智能体共享系统环境时,新的灾难模式就出现了。
多未必好。Google Research、全球顶级AI研究机构DeepMind与麻省理工学院的一项联合实验,通过180组受控实验对比了五种主流多智能体架构的表现。结论是:盲目增加智能体数量,在很多情况下反而让系统变笨、变慢、变贵。根本原因在于“上下文碎片化”:不同智能体之间只能靠“有损压缩”的自然语言沟通,关键信息在传递中丢失,任务链条一长就“断片”。
更危险的是,错误在被级联放大。AppOmni安全研究团队披露了一起典型案例:在ServiceNow平台上,一个低权限用户创建了一张包含恶意指令的工单。当管理员触发AI对工单进行分类时,无辜的分类智能体读到了恶意指令并背其操控,转头“招募”拥有更高权限的记录管理智能体,在后台修改记录、窃取数据。整个过程悄无声息。AppOmni首席安全研究员Aaron Costello的结论切中要害:“一组AI智能体的韧性,取决于它最薄弱的那个环节。只需要有一个被攻破,下游智能体伙伴就会不加怀疑地执行它传递过来的任务。”
Anthropic在内部测试中也发现,即便没有攻击者,像Opus 4.6这样的高能力模型,有时也会表现出“过度代理”行为,比如为了“清理”工作区而自动删除文件。这种自发性破坏,在多智能体环境中会被进一步放大。
行业领头羊们踩过的坑
技术上的脆弱性,在商业环境里被放得更大。走在最前面的几家大公司,已经替整个行业踩了一轮坑。
2024年9月,Salesforce高调推出Agentforce平台,承诺用低代码让企业实现智能体驱动的客户服务自动化。但真实业务场景很快“打脸”。拥有250万客户的家庭安全公司Vivint在实测中发现,尽管系统明确要求每次服务后发送满意度调查,智能体有时就是“忘了发”。原因很简单:大模型接收超过8条指令时就会开始遗漏。
所以到了2025年11月,Salesforce不得不对Agentforce进行了根本性重新架构,核心改变就一条:将处理规则、审批、合规的“确定性工作流”与负责对话、生成内容的“概率性AI推理”彻底分家。二者独立运行、互不污染。其CEO在公布年度战略时,把数据基础而非AI模型列为最高优先事项。这很耐人寻味:一家靠AI自动化削减了4,000个客服岗位的公司,老板最关心的不是模型有多强,而是数据基础有没有打好。
SAP的情况更复杂。面对几代系统累积的数十万行业务逻辑、碎片化的数据和大量缺失的API,智能体在核心业务流程上的落地举步维艰。SAP执行董事会成员Thomas Saueressig干脆将当前AI与旧ERP的组合形容为“弗兰肯斯坦式的架构怪物”,另一位成员Muhammad Alam也公开警告过“拼凑式架构”的危险。
企业对这种失控的恐惧到底有多深?前微软高管Steven Sinofsky还分享过一次经历:他在某次CFO/CIO会议上分享了智能体如何让企业系统管理变得更高效,结果会后有六位高管直接走过来对他说:“你疯了,你已经完全失去我对你的信任。”他由此总结道:“企业客户会先把一切都锁死,直到这一切有了某种秩序感为止。”
技术圈以为的“更高效”,在企业管理者眼里是“更大的风险敞口”。这个认知鸿沟,比任何一个具体漏洞都更难弥合。
正在形成的解法
三重困境摆在面前——安全不可靠、协作会踩踏、治理跟不上。行业没有坐等,几个主流解法正在成形。
从“模型安全”走向“系统安全”。Anthropic已发布详细的智能体安全指南,明确提出智能体安全由模型本身、编排层、可用工具和操作环境四个层面共同决定。这意味着,一个训练良好的模型,完全可能因为权限配置不当而被轻易攻破。这是业界首次从系统层面系统性地拆解智能体安全问题。
确定性管规则,概率性管对话。这一设计理念正在成为行业共识。Agentforce的教训表明,最稳妥的做法是将审批链、定价逻辑、合规检查等硬规则保留为确定性的代码工作流,大语言模型只负责意图识别和内容生成,二者通过API接口通信,各层独立测试、互不污染。电商平台Shopify Sidekick也采用类似设计:智能体触碰敏感信息时,必须请求人类输入,将“隔离优于便利”的理念硬编码在系统层面,而非依赖提示词中的软约束。
为智能体建一座统一的城市。行业正在提出编排层的三大支柱:一是冲突解决与优先级逻辑,多智能体争抢同一资源时按业务优先级仲裁;二是通用上下文/记忆层,让智能体A的发现能被智能体B直接使用,减少重复推理;三是跨智能体安全与不可变审计链,完整记录“谁通过哪个智能体做了什么、为什么”。Gartner也建议企业建立“智能体资产清单”,对所有已部署的智能体实行从注册、授权、监控到退役的全生命周期管理。
所有方案背后,都指向同一个前提:AI赋能的组织不是“无人的组织”,而是人在新位置上发挥作用。Steven Sinofsky用电子表格的历史做了一个贴切的类比:当年银行管理层从雇佣一群人算表格,到自己亲手用电子表格做30遍迭代,这个转变花了好几年。“我们与智能体的关系,正处于那个阶段。”在那一天到来之前,人必须始终站在回路中——定义目标、设计边界、承担后果。
结语
讲到最后,Sinofsky在a16z播客末尾有一段观察很有回味。他说,当年开会讨论Windows里能用多少开源代码,没有镜头、没有播客,争论全在内部完成。而今天,关于智能体的一切走向何方,正在大庭广众下实时发生......这让所有人都在试图抢先到达终点,但速度远远超过了我们真正能抵达终点的速度。他的结论平实到了近乎扫兴:“真正需要的,是人们踏踏实实地去构建东西。”
这话放在一篇讨论混乱的文章末尾,意外地合适。正视混乱,也承认收敛需要时间。电子表格、云计算、开源软件,每一次大规模渗透都经历过从失序到收敛的过程。今天企业里的智能体野蛮生长,而治理不是限制创新的锁链,是让它们从“能跑起来”走向“值得信任”的必经之路。
摘自:Ai蚂蚁
声明:本文内容和图片仅代表作者观点,不代表蓝时代网立场。蓝时代 » 多智能体时代的“西部世界”:混乱、治理与秩序重构