10 层体系已是业内最深
上个月我们发布治理体系时,它已经是 AI 自动化领域中最全面的。十层覆盖身份、数据保护、人工监督、合规和可观测性。没有竞争对手有接近的方案。
但 10 层体系存在一个缺口。您可以控制谁运行工作流。您可以控制工作流访问什么数据。您可以要求工作流执行前的人工审批。但您无法控制 agent 在执行期间调用哪些特定工具。
缺口:工具级治理
考虑一个使用 Slack、Gmail 和 Salesforce MCP 服务器的工作流。工作流已获批运行。Agent 有正确的权限。但该 agent 是否应该能在没有明确批准的情况下通过 Gmail 发送邮件?是否应该自主更新 Salesforce 记录?
n8n 认识到了这个缺口,并在单个工具调用级别添加了人工介入。他们的实现让单个用户在执行期间批准工具调用。但这是用户控制的,不是管理员控制的。没有组织策略层。
我们采取了不同的方式。
工具审批门:第 10 层
工具审批门让管理员对哪些工具在执行前需要人工审批进行细粒度控制。这不是工作流级别的暂停。而是工具级别的门控。
以下是其工作方式:
- 管理员在 MCP ACL 设置中配置需要审批的工具。账户 MCP 服务器目录中的任何工具都可以被标记。
- 在工作流执行期间,当 agent 尝试调用被标记的工具时,执行暂停。
- 创建审批请求,显示工具名称、agent 要发送的输入参数以及 agent 身份上下文。
- 审批者审核并决定 —— 批准继续、拒绝跳过,或让超时自动拒绝。
- 执行恢复,决定记录在审计追踪中。
与 n8n 方式的关键区别:审批策略由管理员设定,而不是由单个用户设定。审批者可以配置为 agent 的发起人、任何具有最低角色的用户或特定指名用户。超时和通知设置是组织策略,而不是每个用户的偏好。
完整的 10 层体系
以下是每一层的功能:
| # | 层 | 治理内容 |
|---|---|---|
| 1 | 基于角色的访问控制 | 谁能做什么(6 个角色、24 项权限、部门范围) |
| 2 | Agent 身份 | 按 agent 的权限、速率限制和审计上下文传播 |
| 3 | 审计日志 | 280+ 种操作类型,不可变、可导出的证据 |
| 4 | PII 检测 + 令牌化 | 自动检测和可逆令牌化处理敏感数据 |
| 5 | 渐进式自主权 | 4 个信任级别(手动到完全自动),策略驱动的升级 |
| 6 | 工具审批门 | 管理员控制的按工具执行前审批 |
| 7 | 数据驻留控制 | HIPAA、GDPR、PCI-DSS、SOX、FedRAMP 合规预设 |
| 8 | 信封密钥加密 | AES-256-GCM 和 HKDF-SHA256 密钥派生,用于 BYOK |
| 9 | 合规仪表板 + SOC 2 | 21 项策略、17 项 TSC 控制、证据导出、Vanta 集成 |
| 10 | EU AI Act 合规引擎 | 10 条条款映射(第 9-17、52 条)、风险分类、证据生成 |
| 10 | 治理就绪评估 | 跨所有治理层的自助评分及建议 |
每一层独立运作但与其他层集成。Agent 身份(第 2 层)通过工具审批门(第 6 层)传播,使审批者能看到确切哪个 agent 正在请求工具访问。审计日志(第 3 层)记录每个审批决定。合规仪表板(第 9 层)跟踪组织范围内的工具审批合规性。
为什么深度比广度更重要
Microsoft、OpenAI 和 Anthropic 都在投资治理。Microsoft 的 Agent Framework 添加了基本角色分配。OpenAI Frontier 有按 agent 的身份。Anthropic 提供企业管理员控制。
这些是重要的第一步。但治理深度以层数衡量,而不是功能数量。有基于角色的访问但没有 PII 检测的平台存在治理缺口。有审计日志但没有工具级控制的平台存在治理缺口。有合规预设但没有 EU AI Act 映射的平台存在治理缺口。
10 层意味着 10 个潜在故障点被覆盖。不是因为我们选择了 10 这个数字,而是因为企业 AI 部署至少有 10 个不同的治理需求。
下一步
治理竞赛正在加速。每个主要平台都在发布治理功能。问题不再是是否治理 AI agent,而是治理有多深。
随着新的治理需求出现,我们将继续添加层。体系的设计就是为了增长。