2026年,AI代理内部治理实现标准化,开源工具大规模普及。然而,跨组织边界的代理交互——最关键的商业场景——仍缺乏治理机制。标准化的浪潮停在运营者围墙边,而真正的经济正在边界上构建。
几年前,每个部署AI代理的团队都得自己写护栏、审计日志、审批门禁,又烂又孤立。2025年底到2026年初,行业一口气把这些东西标准化并开源了。
2025年12月,Linux基金会成立Agentic AI Foundation(AAIF),核心项目来自Anthropic的Model Context Protocol、Block的goose和OpenAI的AGENTS.md。四个月内成员组织突破170家——比CNCF同期增长快一倍,成为Linux基金会史上增长最快的项目。2026年4月,微软在MIT许可下开源了Agent Governance Toolkit,声称覆盖OWASP Agentic Top 10的全部十项风险,策略执行亚毫秒级,支持五种语言SDK。到5月底,GitHub星标超3300,发布17个版本。OWASP的Agentic Top 10于2025年12月发布,是首个针对代理风险的正式分类法。Bengio主持的国际AI安全报告也注意到代理透明度和评估标准化的早期趋势。
这是好事。一年前需要大型安全团队数月定制开发的治理原语,现在变成一行依赖。真正的进步,建设者值得所有赞誉。
但有个问题一直困扰我。
仔细看这些工具的实际功能,模式很明显。微软的Agent Governance Toolkit在代理执行每个动作前拦截,对照策略检查,附加加密身份,沙箱执行,写入防篡改审计日志。文档说它回答三个问题:此动作是否允许?哪个代理执行的?能否证明之后发生了什么?
三个问题都对,但它们全都是运营者针对自己运行的代理提出的问题:是否允许——按我的策略;哪个代理——在我的部署中;能否证明——在我的审计日志里。整个体系假设一个单个运营者来定义策略、颁发身份、拥有日志。工具包自己也说:它治理的是运营者自己运行的服务中的代理。
同样的模式贯穿整个标准化栈。AAIF的创始项目——MCP、goose、AGENTS.md——处理连接、能力和指令:代理如何访问工具、如何构建、如何告诉它做什么。OWASP的Agentic Top 10列出代理被颠覆的方式——目标劫持、工具滥用、内存投毒、身份滥用——而跨代理条目ASI07将代理间不安全通信列为风险。推荐的修复方法和微服务层一样:认证代理、签名消息、防止重放、明确策略规定哪些代理可以和哪些通信。
所有这些都是正确的,而且都存在于一个信任域内。策略是运营者的策略,身份在运营者的目录中验证,审计日志回答运营者的审计员。2026年的标准化把一个组织内部混乱的代理部署变得干净、可移植、免费。这是真正的成就,但它精确地停在运营者的边界上。
有个数字应该让庆祝工具包的人担心。今年春季更新的安全调查显示,在积极部署代理的组织中,平均监控覆盖率约52%——意味着近一半的生产代理运行在无监控状态——而且这个数字自去年12月以来几乎没有变化,尽管总代理数翻倍。标准化治理存在,但采用速度跟不上部署速度,无监管代理的绝对数量在增加。
但内部无监控的代理是工具包至少知道如何解决的问题;差距在于采用,而非能力。安装依赖,编写策略,内部代理就得到治理。更棘手的问题没有工具包能解决,因为它位于任何单个运营者权力都无法触及的地方:运营者之间的边界。
想想你公司运行的代理调用了另一家公司运行的代理。你的治理工具包评估了你的代理的动作,按你的策略允许了。调用跨越边界。在另一边,另一个运营者的代理接收它,那个代理受治理——如果它被治理的话——依据不同的策略,携带不同目录颁发的不同身份,写入你审计员永远看不到的不同的审计日志。谁的政策决定复合动作是否允许?当担保身份的目录是你毫无关系的那个,你信任谁的身份?当动作出错,谁的审计日志保存记录,谁有权读取?
标准化栈没有答案,因为每个工具都被设计在单个运营者权限内运行,而边界正是权限耗尽的地方。这不是工具包的缺陷。这是它们设计的目标边缘,而代理经济正在被构建得径直跨越它。有趣的交易——一个代理向另一家公司代理购买、物流代理移交给合作伙伴的代理、医疗代理通过付款方代理路由——恰好发生在边界上,发生在从未就策略达成一致也永远不会的各方之间。
这里有一个有用的先例,工具包构建者自己也提到。微软自己的框架将代理治理比作Kubernetes:正如Kubernetes需要RBAC和准入控制器才能企业就绪,代理系统需要治理原语,这些原语应当开源。类比恰当,但值得比通常做类比的人多走一步。
Kubernetes确实解决了集群内的访问控制。RBAC在一个运营商管理的边界内管理谁能做什么,它有效。但任何在大规模运行Kubernetes的人都知道真正困难、仍未解决的问题在哪里:跨集群、跨信任域、在联盟中。让两个属于不同组织的集群就身份、策略和信任达成一致——而不让其中一个简单地吸收另一个——是生态系统十年来最混乱的问题之一。内部早早解决,联盟仍在争论。
代理治理处于同样关口,只是更快。内部在几个月内解决,因为内部是可处理的部分:一个权力机构、一种策略语言、一个日志。边界很难,原因与集群联盟相同,外加一个Kubernetes类比没有捕捉到的新困难。当两个集群联盟,它们通常仍然是合作方之间安排的两个部分。当来自两个运营者的两个代理交易时,它们可能完全没有事先关系,没有共同的上级权威,而且结算完成得比任何一方的人类干预都快。
去掉边界问题,剩下的不是标准化工具设计去回答的问题。它们回答:此动作是否允许,由谁,记录在哪里。边界问的是它们不问的:当一个动作跨越运营者之间并出错,谁负责?依据什么权威执行问责?
这不是身份问题。加密身份告诉你哪个代理行动了,它不告诉你是谁的政策本该阻止它,或者谁为结果负责。也不是策略执行问题,因为没有共享的策略引擎坐在两个独立运营者之上来强制执行。这是问责问题,而在没有共同权威的边界上的问责,是2026年标准化浪潮没有触及的问题。它构建了一个运营者在其域内使用的控制面,而把域之间的空间留得和之前一样开放。
我围绕这个边界转了很久。几个月前我写过“复合终结性”——代理动作链的可逆性由最后一个且最不可逆的跳点决定,即使完美授权的链也可能终止于无人能撤销的事。再之前,关于禁令制度,其边界变化比绘制它们的机构追踪得更快。我是在用问责的词汇描述安全文献现在从访问控制词汇到达的同一个地方:动作离开授权它的域并降落在没有单一权威管辖之处。两种词汇汇合在一个位置。两者都还没在那里建起任何东西。
乐观的解读是边界只是标准化浪潮接下来要解决的问题——AAIF或其继任者会将栈扩展到运营者之间,就像它扩展到不同框架之间一样,问题在几个月内关闭。我不认为它能那样关闭,有两个内部不必面对的原因。
第一,内部有一个单一权威可以围绕组织,而边界按定义没有。你可以标准化跨运营者的身份格式和消息签名——这项工作正在进行,如A2A协议等。但身份和消息完整性是容易的一半,真正像微服务的那一半。困难的一半是决定谁的判断管辖两个运营者都接触但都不完全拥有的动作,这不是你可以发布的格式。这是一个权威问题,权威不能像模式一样标准化。
第二,速度对抗合法性。边界需要的跨运营者问责——有人有权在动作完成前决定跨越两个域的复合动作不应继续——遇到每个预承诺制度都遇到的墙。负责此事的监管机构,首先是欧盟AI法案,以民主合法性所需的时间尺度运作,即数年。代理以网络往返的时间尺度运作。国际AI安全报告直接命名了这种不匹配,对比了以年移动的治理和以周变化的能力。在边界上,这种不匹配不是未来风险。它是运行环境。
所以这是这一年的形状,尽可能清晰地画出来。行业拿走了代理治理的内部——一个运营者墙内的部分——并在非凡的几个月内使其标准、开放、便宜。任何部署他们自己代理的人现在可以用一个依赖和一个策略文件来治理它们,唯一挡在他们和受管舰队之间的是采用现有东西的决定。这是一个真实且被低估的胜利。
2026年没有解决的是边界,而且问题的结构表明它不可能在同一时间线上解决。最重要的代理越来越是那些延伸到运营者线外的,进入它们自己的工具包看不到的域,受它们自己的运营者没有编写的策略约束,产生它们自己的运营者无法撤销甚至可能从未记录的后果。标准化栈中的每个工具都停在那条线。那条线正是代理经济正在被实际构建的地方。
内部今年有了主人。边界仍然不属于任何人。而庆祝已解决的内部越久,就越容易忽略未解决的部分从来就不是内部。
免费获取企业 AI 成熟度诊断报告,发现转型机会
关注公众号

扫码关注,获取最新 AI 资讯
3 步完成企业诊断,获取专属转型建议
已有 200+ 企业完成诊断