※ [本文转录自 AI_Art 看板 #1fp___CY ] 作者: ZMTL (Zaious.) 看板: AI_Art 标题: [分享] 企业 AI Agent 治理：三大云战略布局 时间: Sat Apr 4 01:59:25 2026 企业 AI Agent 治理：三大云在做什麽，为什麽这件事比模型更重要 为了大家好读，底下我会给PTT纯文字版，但配图、参考连结或支持请帮我点LinkedIn：） https://www.linkedin.com/feed/update/urn:li:ugcPost:7445853555460325377/ 一月开始，我在自己的系统里跑Multi-Agent System；三月开始造Multi-Agent Orchestration IDE。同个时间，我也跑了三场展会在现场听三大云怎麽讲这件事。 两条线有了个有趣的交叉：自己在实作的人，看展会听到的东西会不一样。当你开始认真 思考「这套东西怎麽带进企业」，你会注意到别人不太注意的问题——不是技术问题，是 治理问题。 先说清楚：「企业级 Agent 治理」在解决什麽问题 如果你是个人开发者，讨论哪家模型或 Agent 框架更强完全合理。如果你是云端厂商， 你的问题是让 Agent 安全跑在生产环境。但如果你是企业，问题完全不同—— 不是「哪个 AI 更聪明」，而是：这些 Agent 谁授权的？能存取什麽资料？ 出了问题谁负责？怎麽稽核？ 当 Agent 数量从几个增长到数十、数百个，来自不同部门、不同框架，IT 需要能回答： 谁建的、有什麽权限、每个行动有没有记录、员工离职了 Agent 怎麽办，甚至是，公司 花钱提供了这些资源到底成效如何？ 这就是「Agent Sprawl」和「Shadow AI」——员工自建的 Agent 悄悄连上公司的 Slack 、Outlook、SharePoint，IT 完全不知道。这不是假设，是正在发生的事。 -------------------------------------------------------------------- 企业级 Agent 治理平台的本质 在看三家产品前，先说清楚核心逻辑： Agent 是新型态的员工，但企业现有的 IT 系统不认识它。 传统 IAM 是为人设计的—— 人有帐号、有角色、有稽核记录。Agent 没有这些，却在做一样的事： 认证、存取资料、采取行动。 当一个 Agent 代表业务部门存取了客户资料库然後出了问题， 没有任何一套现有 IT 工具能告诉你这件事是怎麽发生的。 企业级 Agent 治理平台要做的，不是「管理 AI」， 而是把 Agent 纳入既有的 IT 治理逻辑。这有三个层次，缺一个都不完整： 可见性 — 组织里有哪些 Agent？谁建的？能存取什麽？没有这个，治理是空话。 政策执行 — 行动边界是什麽？这些规则能在 Agent 外部强制执行，而不是靠自律？ 稽核轨迹 — 每个行动都有记录，能追溯，能进合规报告。 三大云给出的答案，架构相似但进场角度些许不同。 -------------------------------------------------------------------- Microsoft：让 Agent 沿用你已有的身份基础设施 Agent 365（2026.05.01 GA，$15/用户/月）的核心逻辑是 Entra Agent ID—— 企业已经用 Entra（前 Azure AD）管员工帐号，现在把同样的机制延伸到 Agent。 每只 Agent 有独立数位身份，IT 可以用管员工的方式管它： 授权存取特定资料夹、设条件式存取、员工离职後自动转移或暂停 ownership、 稽核轨迹整合进 Purview 合规报告。 安全层由 Defender 负责， 涵盖 prompt injection、model tampering、Agent 身份被入侵等企业场景。 打包在 M365 E7（$99/用户/月）的 Frontier Suite 里， 同时含 E5、Copilot、Entra Suite。 另外值得注意的是 Microsoft IQ 三层（Foundry/Work/Fabric）， 让 Agent 能存取企业真实的工作上下文。 Microsoft 的策略意图很清楚： 不要企业重新学习治理，而是让治理长在你已有的 IT 流程上。 值得留意的是： 具有真正独立身份的 Agent 治理仍在 Frontier Preview，GA 时程未定。 Copilot Studio 的工作负载仍采消耗计费。 -------------------------------------------------------------------- Google：治理内建、框架中立、设计容纳异质环境 Gemini Enterprise 的治理功能包含在订阅内，不另收费。 架构上分五层（Brains/Workbench/Taskforce/Context/Governance）， 治理是其中一层，不是附加产品。 几个值得注意的细节： Agent Registry 集中登记所有 Agent，不管用什麽框架建的都可以加入， 搭配 A2A 协议支援跨框架协作。 Tool Registry 是三家中目前有明确独立产品的 MCP 工具集中管理， IT 可以定义哪些资料来源和工具允许被 Agent 使用。 治理角色分三层（Admin、Developer、User）， 特别是 User 层——一般使用者可以自己查看和撤销给 Agent 的存取授权。 Model Armor 的双路径设计有个不太被注意的细节： 它能识别并尊重 Microsoft Sensitivity Labels， 也就是说 Gemini Agent 存取 SharePoint 资料时，仍会遵守微软设定的资料分类政策。 Google 在设计上假设客户同时有 M365 和 GWS，而不是非此即彼。 值得留意的是： 低程式码建构工具 Agent Designer 仍在 Private Preview。定价需要联系 Sales。 -------------------------------------------------------------------- AWS：把 Agent 推进生产环境的基础设施 AWS 的切入点和前两家有所不同： 不是员工工作入口，也不是统一管理介面， 而是直接聚焦「把 Agent 推向生产环境」这件事本身有多难。 Bedrock AgentCore 把企业原本要自己建的控制平面拆成可独立使用的模组： Runtime：serverless 执行环境，完整 session 隔离，支援最长 8 小时工作负载。计费 只算实际消耗（I/O 等待期间不收 CPU 费），Agent 有 30-70% 时间在等待，实际成本 比预分配低很多。 Policy（2026.03.03 GA）：用自然语言定义行动边界（「退款上限 $100，超过需通知人 类」），底层转为 Cedar 语言，在工具呼叫前拦截执行——在 Agent 外部强制，无法被 绕过。 Identity：Agent 身份与认证，相容现有 IAM，Custom OAuth claims 支援细粒度声明。 Gateway：把任何 API 或现有服务转为 MCP 相容工具，Interceptors 可在呼叫前後插入 逻辑。 Memory + Observability + Evaluations（2026.03.31 GA）：从跨 session 记忆到 OpenTelemetry 追踪，到支援自订指标的评估框架，可整合进 CI/CD。 框架支援上，AgentCore CLI 可以生成使用 Google ADK 或 Microsoft AutoGen 的 Agent 再部署到 AWS 基础设施。选择开发、DevOps、Security 这三个垂直，说明 AWS 的意图不是让企业多一个 AI 助理，而是让 Agent 嵌进基础设施的操作闭环本身。 值得留意的是： 没有员工端 AI 助理入口（Amazon Q 定位不同）。治理功能分散在各模组， 组合复杂度比 Agent 365 高。 -------------------------------------------------------------------- 独立治理平台面临的市场压力 这个季度的 M&A 讯号值得记录： Moveworks（$100M+ ARR）被 ServiceNow 以 $2.85B 收购， Protect AI 被 Palo Alto Networks 收购，整个 AI 安全治理领域 Q1 的 M&A 金额 超过 $96B（含 Alphabet 2026.03.11 完成的 $32B Wiz 收购）。 尽管市场上已有不少厂商快速切入治理平台的机会，但背後的逻辑依然指向： 当三大云原生治理工具全面 GA，试图做「跨云通用治理平台」的独立工具， 面临功能被覆盖、资料管道被限缩的双重压力。 治理能力，最终还是要锚定在基础设施的主人手上。 有生存空间的是垂直方向： 金融犯罪侦测、医疗合规记录这类深度场景，或新兴的 MCP 安全审计工具利基。 三大云的基础建设本身也会持续强化这些垂直场景的工具支援， 让在其生态系上开发的团队有更好的起点。 -------------------------------------------------------------------- OpenClaw 事件：不是个案，是架构假设的问题 今年最具代表性的 Agent 安全事件： OpenClaw 在 Q1 累积数十个 CVE（含 CVSS 8.8 的 CVE-2026-25253）， ClawHub 恶意插件高峰期超过 1,000 个（部分审计达 1,184 个，约占全仓库 20%）， 135,000+ 实例暴露在公开网路。 根源是设计假设被忽视： 「永动、广泛授权、高自主」的 Agent 先天就不太适合直接放入企业场景， 假设广泛系统存取是功能需求的必要、因而无视了可观的风险—— 这在个人使用场景下勉强可行，企业环境里是根本性的错误。 NVIDIA 在 GTC 2026 宣布 NemoClaw，透过 OpenShell 运行环境，底层使用 Linux Landlock（档案系统隔离）、seccomp（syscall 过滤）与 network namespace（ deny-by-default 网路存取）三层 kernel 级机制实现隔离，政策在 Agent 外部强制执 行。目前 Early Preview，但它的出现确认了业界共识：修补个别 CVE 解决不了信任模 型的问题，需要架构层介入。 -------------------------------------------------------------------- 一个观察 个人追求能力边界，企业追求可治理的能力边界。 模型能力是必要条件，但不是充分条件。 真正决定企业 Agent 能走多远的，是治理基础设施的成熟程度—— Agent 身份系统、政策执行机制、稽核轨迹， 让 IT 在扩展规模时仍然说得清楚「我们有哪些 Agent、能做什麽、谁负责」。 三大云在今年 Q1 同时给出了各自的答案。 -------------------------------------------------------------------- 关於本文 本文以 Multi-Agent 系统架构师及企业 AI 导入顾问的视角整理，从采购方视角出发， 综合三场台湾展会的现场议程，以及截至 2026.04.03 的网路公开资料。各平台功能持续 迭代，後续变动请以各家官方公告为准。 如果你任职於文中提及的公司（Microsoft、Google、AWS、NVIDIA），发现任何描述有误 ，欢迎在留言区指正——来自产品团队的一手校正，永远比第三方来源更准确。 -------------------------------------------------------------------- 参考来源 现场议程 Microsoft AI Summit Taipei（2026.03.10） Frank Lin · Enterprise AI at Scale: 从开发、代理、治理一次到位 DIGITIMES AI EXPO Taiwan 2026（2026.03.25–27） Matt Yang · Agentic AI 的企业落地实践：从 PoC 到生产环境的关键架构设计 & Vic Wu · From Copilot to Colleague：Agentic AI 如何打造 Frontier Enterprise iKala Connection Day（2026.04.01） Ethan Huang · 企业级 AI代理人 平台，开创智慧代理人协作模式 -- AI_Art AI艺术/生成式AI板 欢迎各方前来讨论生成式AI相关议题！ ─────────────────────────────────────── ◆ 从 Human-in-the-Loop → Human-AI Symbiosis (人机共生) ◆ LinkedIn：https://www.linkedin.com/in/zaious/ GitHub ：https://github.com/Zaious ChronicleCore (Multi-Agent Ecosystem) 白皮书： --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 1.161.112.26 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AI_Art/M.1775239167.A.322.html

※ 发信站: 批踢踢实业坊(ptt.cc) ※ 转录者: ZMTL (1.161.112.26 台湾), 04/04/2026 02:01:42