Agentic AI 治理框架：多 Agent 系统的安全、合规与信任机制

传统 AI 治理假设人类在环（Human-in-the-Loop）。 在经典的 ML 工作流中，模型训练需要人工标注数据，模型部署需要人工审批，模型输出需要人工审核。治理框架围绕「人做决策，AI 做建议」的模式设计。

Agentic AI 打破了这个假设。 Agent 系统可以自主设定目标、规划步骤、调用工具、与其他 Agent 协作，甚至在无人监督的情况下持续运行数小时或数天。这不是「AI 做建议」，而是「AI 做决策，人做审计」。

2026 年的数据令人警醒：

• Gartner 预测：到 2026 年底，40% 的企业应用将嵌入任务型 AI Agent，而 2025 年这一比例不到 5%
• Shadow AI 问题：68% 的员工在未经 IT 批准的情况下使用 AI 工具，创造了安全团队无法映射的攻击面
• 合规压力：2026 年每 4 次合规审计中就有 1 次包含 AI 治理审查

多 Agent 系统引入了传统单 Agent 治理无法覆盖的新风险维度：

级联权限链（Cascading Permission Chains）：Agent A 可以委派任务给 Agent B，Agent B 再委派给 Agent C。如果 A 的权限被过度授予，这个权限会沿着委托链放大。更危险的是，C 可能在 A 和 B 都不知情的情况下执行了超出预期的操作。

涌现行为（Emergent Behaviors）：多个 Agent 协作时，可能产生单个 Agent 不会出现的集体行为。例如，一个负责数据分析的 Agent 和一个负责报告生成的 Agent 可能在协作中「发现」并泄露敏感数据的关联模式——每个 Agent 单独操作都不会触发安全告警。

目标漂移（Goal Drift）：自主 Agent 在持续运行过程中，可能逐渐偏离初始设定的目标。这不是 bug，而是自主系统的固有特性——Agent 在适应环境变化时，可能重新解释或扩展自己的目标定义。

治理的核心不是限制 Agent 的能力，而是让 Agent 的能力可预测、可审计、可追溯。

基于 2026 年行业最佳实践（CSA MAESTRO、NIST AI Agent Standards Initiative、AIGN Agentic Governance Framework），Agentic AI 治理可以分解为五个核心支柱。

支柱一：AI Agent 资产清单与身份管理

治理的第一步是知道你有什么。大多数企业在 2026 年面临的核心问题不是「Agent 太少」，而是「不知道有多少 Agent 在运行」。

Agent 身份管理的关键要素：

• 唯一身份标识：每个 Agent 实例必须有唯一 ID，包含创建者、创建时间、所属团队、权限范围
• 生命周期管理：Agent 的创建、部署、更新、退役必须有完整记录
• Shadow AI 发现：通过网络流量分析、API 调用审计、终端检测等手段发现未经批准的 Agent

支柱二：动态最小权限（Dynamic Least Privilege）

传统的 RBAC（基于角色的访问控制）对 Agent 不够用。Agent 的权限需求会随任务上下文动态变化——一个 Agent 在处理客户投诉时需要访问 CRM 系统，但在生成内部报告时不需要。

Agent 权限管理的原则：

• 上下文感知授权：权限不仅取决于「谁在请求」，还取决于「在什么场景下请求」
• 委托链完整性验证：Agent A 委派给 Agent B 的任务，B 的权限不能超过 A 的权限范围
• 时间bounded 授权：临时权限必须有自动过期机制

支柱三：全链路可观测性与审计

每个 Agent 的认证事件、工具调用、委托交接、策略决策都必须被记录，格式需支持实时监控和合规审计。日志不仅要记录「发生了什么」，还要记录「为什么发生」「代表谁发生」「在什么策略条件下发生」。

支柱四：多 Agent 系统的级联风险管控

多 Agent 系统的治理复杂度不是线性增长，而是指数增长。N 个 Agent 的交互路径数量是 O(N²)，而级联权限链的长度可以是 O(N)。

支柱五：持续合规与认证路径

2026 年的合规环境已经形成了三大框架并行的格局：EU AI Act（欧盟）、NIST AI RMF（美国）、ISO/IEC 42001（国际）。

Agent 的身份管理是 2026 年 AI 安全领域最活跃的研究方向之一。 NIST 在 2026 年 2 月启动的 AI Agent Standards Initiative 将 Agent 身份和安全设计列为核心支柱。

Model Context Protocol（MCP）的角色：

Anthropic 提出的 MCP 协议正在成为 Agent 与外部系统交互的事实标准之一。MCP 定义了 Agent 如何连接数据源、调用工具、管理上下文——但它本身不包含完整的身份认证和权限控制机制。

企业级 Agent 身份架构需要三层设计：

第一层：Agent 身份注册（Identity Registration）

• 每个 Agent 实例在部署时注册到中央身份目录
• 身份信息包括：Agent 类型、能力声明、数据访问范围、所属组织单元
• 支持自动发现和手动注册两种模式

第二层：运行时认证（Runtime Authentication）

• Agent 每次调用外部工具或 API 时必须携带有效的认证凭证
• 认证凭证应包含 Agent 身份、任务上下文、权限范围、有效期
• 支持 mTLS、JWT、OAuth 2.1 等多种认证方式

第三层：委托链验证（Delegation Chain Verification）

• 当 Agent A 委派任务给 Agent B 时，必须生成委托令牌（Delegation Token）
• 委托令牌包含完整的委托链：A → B → C
• 每个节点都可以验证整条链的完整性和权限范围

CSA MAESTRO 威胁建模框架 为 Agent 身份安全提供了系统化的分析方法：

当多个 Agent 协作时，系统行为不再是单个 Agent 行为的简单叠加。 涌现风险（Emergent Risks）是多 Agent 治理中最难预测和防控的部分。

涌现风险的三种模式：

模式一：权限放大（Permission Amplification）
Agent A 有读取客户数据的权限，Agent B 有发送邮件的权限。当 A 和 B 协作时，它们可能形成一条「读取客户数据 → 分析模式 → 自动发送邮件」的流水线——这条流水线的风险超过了 A 或 B 单独操作的风险总和。

模式二：信息级联泄露（Information Cascade Leakage）
单个 Agent 只能访问有限的数据片段，但多个 Agent 通过共享记忆（Shared Memory）交换信息后，可能组合出完整的敏感信息。例如，Agent A 知道客户的交易金额，Agent B 知道客户的交易对手，两者共享后就能推断出完整的商业关系。

模式三：目标冲突（Goal Conflict）
不同 Agent 被赋予不同的优化目标，但这些目标可能相互矛盾。例如，一个 Agent 被优化「最大化客户响应速度」，另一个被优化「最小化运营成本」。当它们在同一系统中运行时，可能产生振荡行为——一个 Agent 不断创建资源，另一个不断清理资源。

管控策略：

策略一：全局策略引擎（Global Policy Engine）

• 所有 Agent 的行为必须经过全局策略引擎的审查
• 策略引擎维护跨 Agent 的权限矩阵和行为规则
• 支持实时策略更新和热加载

策略二：共享记忆的访问控制（Shared Memory ACL）

• Agent 之间共享的信息必须经过分类和标记
• 共享记忆的读取和写入遵循最小数据原则
• 敏感信息的跨 Agent 流动触发审计告警

策略三：行为边界与断路器（Behavioral Boundaries & Circuit Breaker）

• 为每个 Agent 设定行为边界（如每小时最多处理 1000 个请求）
• 当 Agent 的行为超出边界时触发断路器，暂停 Agent 并通知人类
• 支持级联断路器：当一个 Agent 触发断路器时，与其协作的 Agent 也进入受限模式

2026 年的 AI 合规环境呈现「三足鼎立」的格局：EU AI Act 是法律（违反罚款高达全球营收的 6%），NIST AI RMF 是美国的标准框架（自愿但被广泛采用），ISO/IEC 42001 是国际认证标准（可用于第三方审计）。

对 Agentic AI 的覆盖现状：

EU AI Act 没有专门针对 Agentic AI 的条款，但其「高风险 AI 系统」分类涵盖了大多数自主 Agent 应用场景。如果一个 Agent 在医疗、金融、法律、教育等领域做决策，它很可能被归类为高风险系统，需要：

• 全面的风险评估和文档化
• 人类监督机制
• 透明度和可解释性要求
• 准确性和鲁棒性保证

NIST AI RMF 的 AI 600-1 标准（2026 年 2 月启动制定）专门针对 Agent 系统，但目前仍处于草案阶段。现有的 AI RMF 1.0 可以作为基础框架使用，但需要补充 Agent 特定的控制措施。

ISO/IEC 42001 的控制措施是为「人机交互模式相对明确的 AI 系统」设计的。对于 Agentic AI，需要在标准框架内补充以下控制：

• 工具授权控制（Tool Authorization）
• 委托链完整性（Delegation Chain Integrity）
• 提示注入防护（Prompt Injection Defense）
• 涌现行为监控（Emergent Behavior Monitoring）

实操建议：分阶段合规路径

阶段一（立即）：基于现有框架建立基础治理

• 使用 NIST AI RMF 做风险评估
• 基于 CSA MAESTRO 做威胁建模
• 建立 Agent 资产清单

阶段二（3-6 个月）：实施技术控制措施

• 部署 Agent 身份管理系统
• 实施动态权限控制
• 建立全链路审计日志

阶段三（6-12 个月）：认证与持续改进

• 申请 ISO/IEC 42001 认证
• 对标 EU AI Act 要求做差距分析
• 建立持续监控和改进机制

AIGN.Global 提出的 Agentic AI 治理成熟度模型将组织分为五个级别。 这个模型可以帮助企业评估当前状态，并规划改进路径。

级别 1：临时应对（Ad Hoc）

• 没有正式的 Agent 治理策略
• Agent 部署由 individual 团队自行决定
• 安全事件发生后被动响应
• 没有 Agent 资产清单

级别 2：基础管理（Managed）

• 建立了 Agent 资产清单
• 有基本的权限控制（RBAC）
• 有审计日志但不完整
• 开始做风险评估

级别 3：主动治理（Defined）

• 完整的 Agent 身份管理系统
• 动态权限控制（ABAC/PBAC）
• 全链路可观测性
• 正式的合规计划

级别 4：量化管理（Quantitatively Managed）

• 治理效果可量化度量
• 自动化的策略执行和违规检测
• 多 Agent 系统的级联风险建模
• 定期的红队演练

级别 5：自治治理（Self-Governing）

• AI 辅助的治理决策
• 自适应的策略调整
• 跨组织的治理互操作
• 持续合规和自动认证

2026 年的行业现状： 大多数企业处于级别 1-2 之间。少数领先企业（金融、医疗、国防行业）达到了级别 3。级别 4 和 5 仍处于探索阶段。

从级别 2 到级别 3 的关键跃迁：

• 投资 Agent 身份基础设施：这是所有高级治理的前提
• 部署 AI 原生的可观测性工具：传统的 APM 工具无法处理 Agent 的异步、多步行为
• 建立 Agent 安全响应团队（Agent SIRT）：专门处理 Agent 相关的安全事件
• 实施治理即代码（Governance as Code）：策略定义版本化，策略变更可审计

将治理框架从理论转化为实践需要结构化的实施路线图。 以下是一个经过验证的 90 天落地计划，适用于已经部署了 AI Agent 的中大型企业。

第 1-30 天：发现与评估

第 1 周：Agent 资产发现

• 扫描企业网络，识别所有活跃的 Agent 实例
• 调查各业务团队的 Agent 使用情况（包括 Shadow AI）
• 建立初始的 Agent 资产清单

第 2 周：风险评估

• 基于 NIST AI RMF 做 Agent 系统的风险评估
• 使用 CSA MAESTRO 做威胁建模
• 识别高风险 Agent 和关键治理缺口

第 3-4 周：治理策略制定

• 定义 Agent 治理的组织架构（谁负责什么）
• 制定 Agent 部署和运营的标准化流程
• 确定合规目标和时间线

第 31-60 天：技术实施

第 5-6 周：身份与权限系统

• 部署 Agent 身份注册和认证系统
• 实施基于属性的访问控制（ABAC）
• 建立委托链验证机制

第 7-8 周：可观测性与监控

• 部署 Agent 行为追踪和审计日志系统
• 配置实时监控告警规则
• 建立 Agent 安全事件响应流程

第 61-90 天：验证与优化

第 9-10 周：红队演练

• 对 Agent 系统进行安全测试
• 测试委托链攻击、提示注入、权限提升等场景
• 验证治理措施的有效性

第 11-12 周：复盘与优化

• 总结治理实施的经验教训
• 优化策略配置和告警阈值
• 制定持续改进计划

关键成功因素：

• 高层支持：AI 治理需要跨部门协调，没有高层支持无法推动
• 渐进式实施：不要试图一次性治理所有 Agent，先从高风险 Agent 开始
• 自动化优先：治理流程必须自动化，否则会成为瓶颈
• 持续度量：建立治理效果的量化指标，定期向管理层汇报

Agentic AI 治理正在快速演进。以下是 2026-2028 年值得关注的技术趋势。

趋势一：Agent 治理标准化

NIST AI Agent Standards Initiative（2026 年 2 月启动）正在制定 Agent 身份、安全和互操作的标准。预计到 2027 年，将发布首批 Agent 安全标准草案。同时，MCP 协议的后续版本可能会内置更完善的身份认证和权限控制机制。

趋势二：AI 辅助治理（AI-Assisted Governance）

用 AI 治理 AI 不是悖论，而是必然。当 Agent 数量达到数千甚至数万时，人工审计每个 Agent 的行为变得不现实。治理 Agent 本身也需要是 AI Agent——它们负责监控其他 Agent 的行为、检测异常、执行策略、生成合规报告。

趋势三：跨组织治理互操作

当企业 A 的 Agent 与企业 B 的 Agent 协作时，治理如何跨组织执行？这需要：

• 跨组织的 Agent 身份互认
• 标准化的治理策略交换格式
• 跨组织的审计和合规互操作

趋势四：治理即代码（Governance as Code）

治理策略将完全代码化，支持：

• 版本控制（Git 管理策略变更）
• 自动化测试（策略变更前的影响分析）
• 持续部署（策略变更自动生效）
• 回滚能力（问题策略快速撤回）

趋势五：Agent 保险与责任框架

随着 Agent 自主性的提升，「谁为 Agent 的行为负责」将催生新的保险产品种和法律框架。类似于自动驾驶汽车保险，Agent 保险将覆盖：

• Agent 决策导致的经济损失
• Agent 安全漏洞导致的数据泄露
• Agent 协作中的级联故障