「隱形」聽起來像行銷詞。它其實是一張工程帳單。
在我們第一個月回顧中,我們寫過:「治理必須隱形——不是不存在。其他做法都會被繞過。」這句話讀起來像個口號。它其實是一張六位數美金的工程帳單。我們上週付了其中一塊。
我們在現場看到的大多數治理失敗——AI 寄出了不該寄的內容、工具呼叫越過了租戶邊界、核准佇列被一鍵全部通過——並非因為控管缺席。而是因為控管的摩擦大到操作員每天會繞過它們。控管在那裡。它們只是輸掉了每天的摩擦戰。
上週(2026-04-22 到 2026-04-29)我們交付了六樣東西。每一樣都磨掉了操作員工作流的特定毛邊,同時保留(通常是強化)底層的稽核軌跡。這篇文章是這些 PR 上實際發生的事,以及每一個值得做的原因。
1. 那 13 個悄悄繞過核准的快速操作處理器
Concierge——結構 AI 的 AI 副駕,住在每個操作員工作區旁邊——當初被連上了 13 個快速操作處理器(草擬回覆、撰寫追蹤、建議狀態變更、標記為、暫停排程等)。每一個都是獨立的程式碼路徑,可以直接觸發動作,因為它們比統一核准佇列更早出現。
功能上它們可用。架構上它們是一個 13 個洞那麼大的治理漏洞。
修復: 每個 Concierge 觸發的動作現在都流經跟平台其他部分一樣的黃燈核准管線。不是新的核准佇列——是同一個核准佇列。每個動作的門檻(自動執行、黃燈核准、紅燈核准)以帳號為單位設定;預設值對應每個垂直的風險輪廓。
稽核日誌的形狀保持相同(audit_event 帶有相同欄位),所以治理檢視不需要為「這個從 Concierge 來」做特例。每個進入點——工作流、API、側欄、電子郵件按鈕——產生相同的證據形狀。那種一致性才是功能。
2. 「AI 建議、操作員複製貼上」的反模式
操作員快速操作按鈕(那些寫著草擬回覆、總結對話、撰寫追蹤的)以前會把 AI 的輸出顯示在側欄。操作員複製文字、貼到回覆欄、編輯一下、傳送。
這個模式有三個問題:
- AI 的結構化輸出(通常帶有意圖中繼資料、來源、信心度)被複製貼上化約成一個字串
- 操作員每天執行同樣三個按鍵組合(Cmd-A、Cmd-C、點到編輯器、Cmd-V)幾百次
- 沒有「操作員接受了 AI 建議」的治理事件——只有「操作員傳送了訊息」
修復: 快速操作現在端到端執行配方,把結果直接串流到編輯器裡。操作員在傳送前編輯或直接接受。高風險動作(任何可計費、任何改變狀態的)仍會暫停確認。每個快速操作現在底下都是一個有版本、可 A/B bake-off 評估的配方。
輔助模式帳號的首次回應時間在第一週下降了 38%。我們沒預期到的有趣指標是:操作員強化 AI 草稿(而不是重寫)的編輯比例上升了。串流到編輯器讓操作員可以改進 AI 的輸出,而不是從頭開始。一樣的治理閘門,更少的鍵盤敲擊。
3. 我們以前用電子郵件收到的品牌語調 JSON 檔
如果客戶想要調整品牌語調——禁用詞彙、簽名區塊、句長目標、地區變體——工作流程是:客戶寫信給我們描述、我們轉換成 JSON 個人檔案、我們部署、客戶等 24-48 小時。
這個工作流程的每一步以前都是功能:「我們替你做」。當客戶想要在同一週 A/B 測試兩種語調時,它就變成摩擦了。
修復: 品牌語調編輯器現在住在客戶後台 /portal/settings/brand-voice。客戶用即時左右對比預覽(當前 vs. 上一版,對應同一個範例輸入)編寫自己的個人檔案。每次儲存產生新的修訂;回滾只要一鍵;現用個人檔案會被自動注入到每個面向客戶的配方。
不那麼明顯的勝利是版本歷史。客戶不再擔心「如果我編輯後變更糟,能不能拿回舊版本?」因為答案是可以,兩鍵搞定。可逆性才是摩擦,不是編輯器。
4. 那個要花 30 分鐘配對通話才能設定的 LINE 通道
把 LINE Messaging API 通道連到結構 AI 帳號以前需要:客戶建立 LINE 通道、把通道 ID 和通道密鑰複製給我們、我們 SSH 到伺服器註冊 webhook、我們回信確認、然後客戶測試。
順利時要 30 分鐘。出錯時(通道密鑰不匹配、webhook URL 模式錯誤、權杖過期)要兩天。
修復: /portal/channels/line 的通道接入 UI 跑完整流程:貼上通道 ID 和通道密鑰、UI 驗證、註冊 webhook、用一個合成訊息確認往返。通道密鑰用 AES-256-GCM 在靜態時加密。Webhook 健康指示器顯示最後一次成功傳遞、重試次數、目前 LINE 通道狀態。
90 秒,沒有 SSH,沒有支援票券。同樣的內部流程,過去用來支援我們在台灣與日本的售前示範,現在也支援客戶自助接入。我們把自己從通道接入的關鍵路徑移除,但沒有移除任何加密或驗證。
5. 那個是租戶隔離炸彈的「共用 Composio 實體」
直到上週,Composio(250+ 個第三方工具連接器層)使用共用實體模型——連線是以使用者為鍵、不是以結構 AI 帳號為鍵。UI 把這件事藏起來了。Worker 層在實務上尊重邊界。但沒有架構上的執行說「帳號 A 的 HubSpot 權杖無法從帳號 B 的配方觸及」。邊界是一個慣例。
對 SOC 2 Type II 稽核來說,「慣例」不是答案。
修復: 每個結構 AI 帳號現在在第一次整合連線時自行建立 Composio 實體。權杖、scope、連線狀態都以實體 ID 隔離。跨帳號洩漏測試加入標準測試套件——一個來自帳號 A 的合成動作試圖解析到帳號 B 擁有的實體會讓測試失敗、CI 失敗、阻擋合併。
這沒有 UI。這沒有示範。客戶唯一會看到的,是稽核員在年底的報告。
模式很重要:隔離應該住在實體層,不是 UI 層。 UI 會說謊。Worker 會 fail-open。實體層級的資料加上 CI 強制的跨租戶測試,是唯一在稽核員問「你怎麼證明?」時能撐住的架構。
6. 那個讓主管花 4 分鐘才能打開的核准
AI 提案了一筆可計費的時間記錄。主管收到一個 Slack 通知說「需要核准」。她點連結、被 bounced 到 SSO、輸入密碼、按 2FA、進到核准頁面、讀條目、點核准。4 分鐘。 現在乘以一天 4 個 MSP 技師、各 30 次。
這 4 分鐘不是因為任何人慢。是因為核准的路徑要求一個完整的身份儀式,而它功能上只是一個「讚」。
修復: 主管的電子郵件包含核准和拒絕按鈕,這兩個按鈕就是核准。每個按鈕的 URL 是一個 JWT 簽章、有時效、單次使用的連結,綁到特定的核准 ID 和核准者的電子郵件。冪等(按兩次核准只送出一次)。稽核等價(同樣 approval_event 形狀;進入點欄位寫 email_button 給治理報告用)。拒絕會開啟一行的表單捕捉原因。
密碼學做了 SSO + 2FA 過去做的工作。信任沒有變弱;它換了位置。 簽章連結對單一決定來說是憑證等價。
模式:信任 + 證據 + 對的邊界
把這六個重新讀一次。模式很一致:
- Concierge 閘門: 信任操作員的意圖;證據還是要捕捉(每個 Concierge 動作發出一樣的
audit_event) - 快速操作: 信任操作員的編輯;底層配方仍然有版本、被評估、有品質分數
- 品牌語調編輯器: 信任客戶寫自己的語調;每次儲存是一個有版本、可回滾的修訂
- LINE 憑證: 信任通道密鑰加密(AES-256-GCM 靜態加密、儲存時驗證往返),不再信任 SSH 到伺服器的儀式
- 帳號層級 Composio: 信任實體邊界(架構上強制、CI 測試),不再信任 UI
- 收件匣核准: 信任 JWT(簽章、有時效、單次使用),不再信任 SSO-然後-2FA 路徑
每個案例裡,信任沒有變弱——它換到了摩擦更低的層。其中一些信任(密碼學、實體層級資料)客觀上比它取代的(SSH 儀式、UI 慣例)更強。稽核日誌變得更豐富,不是更貧瘠。
這就是「隱形治理」實際需要的:在每個操作員或客戶碰到平台的地方,你都要問信任能不能住在摩擦更低的某層、同時產出一樣的證據? 答案是「能」時你就出貨。答案是「不能」時——你保留摩擦,但要在設計文件裡欠一個解釋。
這改變了我們怎麼規劃
過了上週,我們規劃流程裡有兩件事不一樣了:
- 每個路線圖項目現在有「信任層」欄位。 這個功能的信任住在哪裡?密碼學?實體邊界?操作員意圖?稽核日誌?如果答案是「UI」,我們會重新設計。
- 每個客戶摩擦故事都被重新問成信任換位問題。 不是「我們怎麼讓這個更快?」而是「信任現在住在哪裡,能不能搬到摩擦更低的層?」
這些不是安全工程裡的新想法。(如果你還沒讀,去讀 Saltzer & Schroeder, 1975。)但是把它們週復一週應用到每個操作員工作流上,是真正用起來愉快的 AI 平台被建造出來的方式。「隱形治理」這個口號是結果。工作是付那張工程帳單,一個發版接一個發版。
上週六個到期。我們預期下週還有六個。
免費開始 → — 或如果你想看八個月付這張帳單長什麼樣子,預約託管服務簡報,我們會給你看一個從第一天就被治理-而且-隱形的帳號的稽核日誌。