Google Cloud深度解析AI智能体治理难题

想象一下，你向AI智能体询问某款服务器的报价，它却因为没有权限访问内部价目表而哑口无言。但如果这份价目表属于高度敏感的机密数据，如何确保只有合适的智能体能查阅，且它们不会滥用数据——这已经成了企业AI部署中最棘手的难题之一。

Google Cloud智能体平台产品管理副总裁迈克尔·格斯滕哈伯（Michael Gerstenhaber）最近在接受《Computer Weekly》采访时，用谷歌内部一个真实案例点明了这一挑战。这个案例涉及两代张量处理器（TPU）硬件，内部代号分别是“Viperfish”和“Ghostfish”。

格斯滕哈伯描述了一个场景：用户让AI智能体计算这两代系统之间的财务换算比率，智能体显然无法凭空瞎猜，它必须访问一份高度受限的内部价格表。

“这份价格表极为敏感，只有具备一定权限的人员才能查阅。只有通过身份验证、权限管理、审计追踪和可观测性，我才能放心地让虚拟员工碰触敏感数据——因为我们对待真实员工，也正是这么干的。”他说。

所以，扩展自主AI智能体的能力，不能只靠更智能的前沿模型。成功与否，很大程度上取决于企业在AI治理实践上的完善程度——包括智能体生命周期管理和数据访问策略，这才是建立技术信任的基石。

默认安全与防止数据泄露

关于AI智能体的安全问题，格斯滕哈伯的建议很直接：企业应当秉持一种与人类责任机制相似的理念——软件必须默认安全。

“员工应当展现出良好的判断力，这意味着智能体也得如此。如果员工恶意窃取数据，要追责；但即便没有恶意，数据泄露也应当极其困难。”他说。

为此，Google Cloud部署了一套智能体网关，供管理员设置全局企业策略。这是一种纵深防御方案，整合了专用智能体注册表、技能库以及模型上下文协议（MCP）注册表。就算某个AI智能体构建了存在缺陷的工作流，企业级策略也会及时介入，阻止未经授权的访问。

“如果要访问敏感数据库，你必须每次都以相同的方式进行，并确保全程受到管控。”格斯滕哈伯强调。

智能体身份与人类身份的管理差异

虽然AI智能体常被拿来跟数字员工相提并论，但对它们的治理跟真正的人员管理有着本质区别。格斯滕哈伯指出，把人类和智能体的管理整合到同一个操作界面里，这本身就有独特挑战，因为两者的风险特征完全不同。

“智能体可以无限扩展，而我不行；智能体不怕被解雇，但我怕。”他打趣道，“你允许它们表达判断的程度必须有所不同，这一点得在权限设置中体现出来。”

管理这些权限级别需要严格的隔离机制。比如，AI智能体可能被授权访问某份特定的机密文件以完成特定任务，但同时被限制不能访问它的“人类上级”有权查看的绝密文件。

可观测性难题

另一个重大挑战是：怎么持续掌握智能体的决策过程？格斯滕哈伯在这方面有经验，他此前在可观测性领域的知名企业Datadog工作过，因此提出利用分布式追踪技术来监控智能体的工作流。通过这种方式，管理员可以审计智能体的每一个操作步骤：选择了哪些工具、查询期间的权限状态，甚至连模型内部的“思考过程”都能看到。

不过，把这些密集的遥测数据呈现给业务管理层，需要精心的界面设计。“难点在于不让解读数据的人感到困惑。”格斯滕哈伯说。比如，一位销售经理不应该为了搞明白AI助手在干什么，而不得不面对复杂晦涩的技术图表。

在安全防护层面，Google Cloud依托Model Armor来保护生产环境部署。Model Armor完全在带外运行，实时监控生成预填充内容的API与推理解码输出之间的交互过程。由于它跑在构建智能体的工程师职责范围之外，可以独立防范提示注入和有害内容，不受内部干扰。

智能体或许永不需要退役

说到企业该怎么管理智能体的全生命周期——包括部署、再训练和退役——格斯滕哈伯提出了一个不同寻常的观点：智能体或许根本不需要退役。

驱动智能体的底层基础模型在发布后保持不变，这使得智能体的运行行为可以持续修正，完全不需要下线。他说：“你甚至不需要真正退役它。”通过可观测性追踪数据，人类管理员或由大语言模型驱动的自动化“评判系统”可以标记出不良交互，把修正内容直接反馈到智能体的记忆里。

“它会通过在线学习不断改进，在运行期间把不良行为从模型中‘微调’掉。就算模型本身在同一代际内训练完成，它也会变得更智能、更精准。”他补充道。

迈向“弹性智能”

经过有效的治理和持续学习，智能体的终极目标就是格斯滕哈伯所说的“弹性智能”。对企业IT来说，这会从根本上改变工作资源的调配方式。复杂任务不再受制于人力工时，AI智能体让企业得以动态扩展运营能力。

“我们把原本受时间限制的事情，转化为受空间或成本限制的事情——但它可以在相同预算下无限快速地完成。”他说。

为了实现这个愿景，Google Cloud正在开发一系列新能力，包括即将推出的Gemini Spark个人AI智能体，专为自主运行而设计。到时候，人类员工不再需要给智能体分配细粒度的逐步任务，而是基于高层次的业务目标来指引它们。

“要做到这一点，你必须提前授予它相应的权限，让它能自主运行。”格斯滕哈伯说。一旦建立起这种信任，企业将拥有一支“永远不会感到厌倦、不需要睡觉、能全天候替我处理大量复杂工作”的数字化劳动力。

关于AI智能体治理的几个关键问题

Google Cloud的智能体网关到底是什么？它有什么作用？

简单来说，这是一套用于企业AI治理的安全管控工具。管理员通过它设置全局企业策略，整合了智能体注册表、技能库和模型上下文协议（MCP）注册表，形成纵深防御机制。即便某个AI智能体构建了有缺陷的工作流，企业级策略也会自动介入，阻止未经授权的数据访问，从而保障敏感数据安全。

AI智能体和普通员工在权限管理上有什么不同？

两者的风险特征差异很大。智能体可以无限扩展、不怕被解雇，所以不能按管理人类员工的方式来管。权限设置上需要严格隔离：智能体可能被授权访问某份特定机密文件来完成任务，但同时被限制不能访问人类上级有权查看的更高级别文件——权限的粒度必须根据任务需求精确控制。

AI智能体需要定期退役或更新换代吗？

按照Google Cloud的理念，智能体或许根本不需要退役。底层基础模型发布后保持不变，智能体的行为可以通过在线学习持续修正。人类管理员或大语言模型驱动的自动评判系统会标记不良交互，把修正内容反馈到智能体记忆里，使其在同一代模型框架内持续变得更智能、更精准，完全不需要下线重建。