html
文章集 / 面向具代理能力 AI 的多层治理
作者 Gianluca Busato · 创始人、CEO 与 AI 系统架构师 · 2026-06-17
一篇参考白皮书 — Gianluca Busato,Enkronos
自治 AI 代理只有在确定性的多层治理内运行时才可在企业中安全部署——具备可验证的身份、可执行的策略、受控的执行与不可变的审计。
在现代 AI 时代的大部分时间里,风险单位是一个体 错误答案. 模型返回文本;人类决定如何处置。代理性 AI 将风险单元转变为 错误操作. 自治代理现在会规划、调用工具、调用 API 并触发现实世界的影响——转移资金、修改记录、发送消息、配置基础设施——常常几乎无人干预。
这是质变而非量变。治理问题不再是“输出是否准确?”,而是“该操作是否 已授权,是吗 可审计的,且是否 可逆的?"
过去几年催生了一波 AI 治理的产出 原则 — 透明性、问责、公平、人类监督。原则是必要但不充分的。困难且尚未解决的问题是 执行/强制: 将“AI 应当被控制”转化为运行系统无法规避的确定性规则。
仅存在于 PDF 中的原则无法阻止代理在凌晨 3 点执行未授权转账。执行必须体现在架构中。
借鉴安全工程中的纵深防御,稳健的具代理性治理在四个独立层面实施控制。独立性至关重要:一层发生故障或被攻破时可被遏制,因为下一层会重新校验权限,而不是信任上游。
| 层 | 它回答的问题 | 核心机制 |
|---|---|---|
| 身份 | 代理以何身份行动? | 可验证的代理身份与角色 |
| 策略 | 它被允许做什么? | 确定性的策略即代码 |
| 执行 | 该具体操作是否被允许 现在? | 运行时的动作调解 |
| 审计 | 发生了什么以及原因? | 不可变、可重建的日志 |
每个代理都具备可验证的身份与一组角色。其行为可被追溯;“匿名”的自主行为被视为一种失效模式。
治理规则以代码形式表达并以确定性方式评估:相同的输入和策略总会产生相同的决策。这种可重现性使系统可审计且可测试。
运行时在代理意图的动作与策略和身份之间进行仲裁,对每一项操作进行校验。 之前 它执行操作。高影响操作可以要求人工介入审批。
每一项决策与行为都记录在不可篡改的轨迹中,因此任何结果事后都可以重建并解释。
LLMs 本质上具有概率性——这对于推理而言是特性,而非缺陷。错误在于让概率性行为影响到治理关键的决策。解决之道:让模型自由推理,但将其 允许的操作 通过一个固定、可测试并可复现的确定性治理层实现。
审计员、监管者和运营人员需要知道某项控制每次的行为都相同。治理层的确定性正是提供这种保证的关键。
真实的企业工作需要 车队 专门化代理协同工作。没有治理,编排会放大风险。有了治理,每个被编排的代理都带有身份和作用域限定的权限,整个编排过程可观测且可审计。编排是生产力的故事;治理使其安全。
组织可以将自己定位在一个五级路径上: 临时 → 记录化 → 受控 → 治理化 → 自主且可追责。 目标状态(4–5 级)是自治 AI 可安全大规模部署的情形:多层治理,包含可验证的身份、确定性策略、受控执行与不可变审计。
在代理性 AI 的竞争中获胜的组织并不是部署最多代理的组织——而是那些能够 信任 对其所部署的代理而言,这种信任是在架构层面通过确定性的多层治理来实现的。这正是 AINOVA 与更广泛 Enkronos 生态背后的设计主张。
作者:Gianluca Busato — Enkronos 创始人、首席执行官兼 AI 系统架构师。欢迎署名引用。规范版本:https://gianlucabusato.com/。