在企业软件的历史上,有一条几乎从未被明说的红线:决策权。

不管是ERP、CRM还是BI系统,这些工具有一个共同的设计原则:软件提供数据和建议,最终决定由人来做。SAP告诉你库存不足,什么时候补、补多少,是采购经理的决定。Salesforce告诉你这个客户的成交概率是85%,要不要打电话、怎么谈,是销售代表的判断。

这条红线维系了几十年的企业软件架构,也维系了一种法律和责任的清晰分工:系统推荐,人类决定,责任在人。

2026年,这条红线正在被AI Agent公开跨越。AI Native 2026年市场研究报告显示,AI正从「建议层」迁移到「执行层」——不再只是给出建议,而是直接代表企业执行业务流程。报告预测2026年AI Agent市场规模将达$450亿,年增78%。Salesforce发布的第11届年度连接性报告(调查1050名企业IT领导)同步确认:企业目前平均使用12个AI Agent,83%的组织报告多数团队已经采用,预计两年内Agent数量将增长67%。

这些数字看起来是繁荣的信号。但同一份报告的另一组数字揭示了阴影:50%的Agent在孤立运行(isolated silos),86%的IT领导担心Agent会引入更多复杂性,企业应用数量从897个增长到957个,但只有27%相互集成。

「从建议到执行」这个产业跃迁,不只是一个功能升级的故事,它是一个关于责任归属、组织权力和治理框架的全新挑战。

第一章:建议层与执行层的本质区别

想象一个制造企业供应链的具体场景。

传统的「建议层」模式是这样的:AI系统监控库存水平,当某个零部件库存跌破安全阈值时,系统发出警报并提供建议:「建议补货5000件,预计采购成本$12万,推荐供应商A或供应商B,预计到货10天。」然后,采购经理看到这个建议,结合对供应商关系、市场行情、公司现金流的判断,点击批准或修改后批准,系统生成采购订单。

这个流程里,AI是参谋,人是指挥官。

现在进入「执行层」模式:企业给AI Agent设置了自动触发规则,库存触及阈值时,Agent直接以最优价格向预批准供应商下单,不需要人工审批。效率大幅提升,采购周期从3天缩短到15分钟。

但有一天,市场上发生了一件事——供应商A卷入了一起制裁案,被列入美国商务部的出口管制名单。人类采购经理会在早上浏览新闻时看到这条消息,当天就停止向A供应商下订单。但AI Agent不读新闻,它只看系统里的数据,继续执行自动采购,这笔交易让公司面临合规风险和法律处罚。

谁的责任?是设置了自动触发规则的工程师?批准了Agent上线的CIO?采购总监(他审批了部署方案,但没有具体审批这笔订单)?还是提供AI软件的供应商,因为它没有内置合规检查?

这是一个目前在法律上没有标准答案的问题。而类似的场景,正在每天在全球已部署了平均12个AI Agent的企业里发生。

第二章:Salesforce报告的两张脸

Salesforce 2026年连接性报告是目前关于企业AI Agent采用状况最全面的公开数据来源之一。它的调查覆盖来自美国、英国、德国、法国、日本、澳大利亚、新加坡的1050名企业IT领导,调查时间是2026年初,发布于2026年3月。

报告揭示了两组截然不同的数字,共存在同一个企业AI现实里。

第一组:采用的繁荣

企业平均使用12个AI Agent,比2024年报告中的平均数增长了近3倍。83%的组织报告多数或所有团队和职能部门已经采用了AI Agent,从概念验证阶段跨越到了日常运营阶段。

96%的IT领导认为Agent已经或将显著改善员工体验,95%认为Agent将帮助开发者专注于更高价值的工作,而不是重复性任务。Agent的来源也呈现出健康的多元化:36%是预建的SaaS Agent(直接采购),34%是嵌入企业平台的内置Agent(如Salesforce Agentforce),30%是企业内部定制开发的Agent。

预测数字更令人振奋:企业预计在未来两年内,AI Agent的数量将增长67%,从现在的平均12个增长到约20个。

第二组:治理的隐患

与此形成鲜明对比的是治理层面的数据:50%的Agent在孤立运行,作为独立系统存在,而非作为多Agent协作系统的一部分。每个孤立运行的Agent都是一个独立的决策实体,当它做出决策时,没有其他系统能够看到、质疑或协调它的行为。

企业应用数量从897个增长到957个,同比增长约7%,但这957个应用中,只有27%相互集成。将近3/4的企业应用在独立运行,与其他应用之间没有数据流通,Agent很可能在一套孤立的信息中做决策,而不是基于全局视图。

86%的IT领导担心AI Agent的大规模部署会引入更多系统复杂性,不是减少复杂性。这个数字揭示了一个深层的焦虑:采购的便捷性(预建SaaS Agent只需几分钟配置)远超出了集成的难度(让Agent与现有系统无缝协作可能需要数月)。结果是:部署速度快,集成滞后,复杂性堆积。

86%同时担心Shadow AI——员工在没有IT部门审批的情况下,自行引入和使用AI工具和Agent。这个比例之高令人警醒,说明企业的AI治理政策和员工的实际AI使用行为之间存在巨大落差。

第三章:协议碎片化,AI Agent时代的「巴别塔」

报告揭示的另一个隐患,在主流讨论中极少被关注:企业正在同时支持多个相互竞争的AI Agent通信协议。

数据显示:43%的企业支持或计划支持Agent Network Protocol,43%支持Agent Communication Protocol,40%支持Agent-to-Agent Protocol,39%支持Model Context Protocol(MCP,由Anthropic开发),34%支持Universal Tool Calling Protocol。

五个主要协议,没有一个获得超过一半的支持率,没有一个真正成为主导标准。这意味着企业环境中存在多套Agent通信规范同时运行,当来自不同供应商、使用不同协议的Agent需要协作时,必须通过「翻译层」进行格式转换。

每一个翻译层都是潜在的问题点。翻译本身引入延迟,翻译错误引入错误,翻译接口引入安全漏洞。更重要的是,当一个跨协议的Agent协作链条出现问题时,调试难度远高于单一协议的系统。你需要追踪信息在多个协议之间的转换记录,每一个翻译节点都可能是问题的起点。

这让人联想到1990年代的企业网络战争,那时TCP/IP尚未完全统一,DECnet、AppleTalk、IPX/SPX、NetBEUI并存,网络管理员的日常工作相当一部分是处理协议兼容性问题。标准统一花了将近二十年,而在这过程中,协议碎片化带来的运营成本是巨大的。

AI Agent的协议碎片化时代,可能同样需要数年才能解决。

值得特别关注的是MCP(仅39%支持率)的安全问题。就在2026年4月,安全研究机构Ox Security披露,MCP协议存在根本性设计缺陷——其STDIO传输机制允许任何能创建MCP服务器的恶意方,通过「工具投毒」完全控制连接到该服务器的AI客户端,影响约20万已部署的MCP服务器,漏洞覆盖Python、TypeScript、Java、Rust等所有支持语言的SDK,总下载量超1.5亿次。Anthropic对此的官方回应是:「这是预期行为」,拒绝修改协议架构。

在一个50%的Agent孤立运行、集成度极低的企业环境里,MCP这类协议漏洞的传播路径几乎无法提前预测和防范。

第四章:三大力量推动「执行AI」,但治理框架的建设速度远跟不上

力量一:竞争压力的棘轮效应

当行业里开始有公司用AI Agent自动化了原来需要人工完成的业务流程,效率优势立即转化为成本优势,进而转化为定价能力优势。竞争对手必须跟上,否则就是在用更高的运营成本、更慢的响应速度与更低成本结构的竞争者竞争。

这种竞争压力造成了一种「棘轮效应」:一旦有一家企业把AI提升到执行层,整个行业都会跟进,而且这个过程几乎不可逆——效率获益是真实的,放弃它意味着主动承受竞争劣势。治理框架的建立速度赶不上这个压力。

力量二:成本驱动的「先部署,后管理」逻辑

2026年Q1科技行业裁员约78,000人,其中47.9%被归因于AI和工作流自动化。这个数字从一个角度说明了执行AI的商业动力有多强:每一个能被AI Agent接管的业务流程,都对应着可以减少的人力成本,而人力成本通常是企业最大的固定支出项之一。

对CFO而言,AI Agent的ROI计算是直接的:自动化这个流程节省X人的薪资,Agent的年度订阅成本是Y,回报周期是Z个月。这个计算的结果通常是「立即部署」,而「建立完整的治理框架」不在这个ROI计算公式里,因为它的价值是「减少未来可能发生的损失」,而不是「立即节省成本」。

力量三:平台商业利益与治理激励的错位

Salesforce Headless 360、AWS AgentCore、Anthropic Claude Code——所有主要AI平台都在积极降低AI执行权限的技术门槛,让企业更容易把更多的业务决策委托给AI。这符合平台商的商业利益:执行层AI产生的API调用量远高于建议层AI(因为执行操作更频繁),对应的计算费用更高。

但「让AI执行更多」和「确保AI执行得安全、可问责」是两件需要不同投入的事。平台商的核心商业利益在前者,而后者的投入主要需要企业自己承担。这造成了一种系统性失衡:推动执行AI采用的商业力量很强大,而推动治理框架建立的激励机制很薄弱。

第五章:「Agent宪法」是什么,为什么企业现在就需要

面对执行AI的快速普及和治理框架的滞后,「企业AI治理」正在从一个抽象的战略议题变成紧迫的实操需求。但很多企业在谈「AI治理」时,仍然停留在「制定一个AI使用政策」的层面,而没有意识到「执行AI的治理」与「建议AI的治理」在复杂度上有量级的差异。

建议AI的治理相对简单:确保AI推荐的内容合规,确保人类审批流程存在,确保审批记录可查询。这是文件管理层面的治理。

执行AI的治理需要回答完全不同的问题集。我把它称为「Agent宪法」,即每个企业AI Agent系统需要内置的权力边界和问责机制:

第一,权力边界的划定。哪些类型的决策允许Agent自主执行——通常是低风险、可逆、触发条件明确的决策(如自动回复标准化客服问题)?哪些决策必须触发人工审批——高金额交易、涉及法律合规的操作、影响多个利益相关方的决定?这个边界需要明确写在Agent的配置里,而不是只存在于某个政策文档中。

第二,决策记录与可审计性。Agent的每一次执行操作需要留下可查询的记录:触发时间、触发条件、输入数据、输出结果、执行结果。这不只是用于事后分析,更是用于实时监控异常行为的基础。没有可审计的记录,就没有真正的问责。

第三,人工介入机制。当Agent遇到超出预设条件的情况,应该如何行动?是「默认拒绝」(conservative failure mode,不知道怎么做就停下来等人处理)还是「默认继续」(aggressive failure mode,不确定但仍然执行)?对于执行层AI,默认拒绝通常是更安全的设计。

第四,责任归属的预先声明。当Agent的决策造成损害时,责任由谁承担?这需要在Agent部署合同和公司内部职责文件中明确,不能等到问题发生后再争论。目前大多数AI软件供应商合同中,责任条款对供应商极度有利,而企业往往没有在采购时仔细谈判这部分条款。

洞察:这是历史上第一次把「执行权」给了一个「无法被追责」的主体

最深层的结构性问题是:AI Agent是历史上第一种可以被赋予大量执行权、但没有内在问责能力的主体。

人类员工可以被责怪、被开除、被起诉。法人实体可以被罚款、被清算。政府机构可以被审计、被投票撤换。即使是完全自动化的软件系统,当它造成损害时,我们有清晰的责任归属:程序员写了有缺陷的代码,公司发布了有缺陷的产品,受害者可以通过产品责任法寻求救济。

AI Agent的独特之处在于:它能够「学习」当前规则,在规则的边缘(或边缘外)做出人类没有预想到的决策,而这些决策背后没有一个可以被单独追究责任的人类决策者。工程师没有写「在某某情况下做某某事」,是Agent自己「推断」出来的。

这不是科幻场景,这是2026年每天在部署了执行层AI的企业里实际发生的事。

企业需要意识到:把决策权委托给AI Agent,同时也意味着把「我不知道为什么会这样」的风险委托给了AI Agent。在建议层,AI的不透明是「它的建议有时候不对,我需要核查」。在执行层,AI的不透明是「它做了这件事,我不知道为什么,也不知道该怪谁」。

Salesforce报告里那个「50%的Agent在孤立运行」的数字,实际上描述的是:每天有大量执行层AI在企业里行动,没有监督,没有协调,没有可见性。

第六章:正在出现的治理工具,以及它们还不够的原因

技术界已经开始意识到这个治理缺口,一批相关工具和能力正在出现,但每一个都只解决了问题的一部分。

可见性工具:AWS在2026年4月17日正式发布的Amazon Bedrock细粒度成本归因功能,允许企业将每一次AI推理调用归因到具体的IAM主体——是哪个用户、哪个应用程序角色、哪个联合认证身份发起了这次调用。这解决了「谁在用AI、用了多少」这个问题的可见性层面。同类功能在Anthropic、OpenAI的企业级服务中也在陆续出现,大量商业FinOps工具(Apptio、Cloudability的继任者们)开始加入AI成本追踪功能。可见性是治理的第一步,没有可见性,就谈不上治理。

审计工具:各大模型平台在企业版本中均在强化调用日志功能,记录每次API调用的输入输出、时间戳、关联身份。Salesforce的Agentforce平台在其企业版中内置了Agent审计功能,可以记录每个Agent的行动历史。但这些日志工具目前大多是被动的——记录已经发生的事情,而不是在执行前进行主动检查。对于执行层AI,被动审计的局限性在于:损失发生了,日志能帮你分析原因,但无法让你提前防止。

权限控制工具:最成熟的治理层面是权限控制——通过IAM角色、API权限矩阵、工作流触发条件配置,限定每个Agent可以访问的数据、可以调用的API、可以执行的操作类型。这本质上是把「Agent宪法」的权力边界条款在技术层面实现。AWS的Amazon Bedrock Guardrails、Anthropic的Claude的安全策略配置、各企业平台的Agent权限矩阵,都属于这个范畴。

但这些工具的局限性都是类似的:它们管理的是「已知的边界」,而无法处理「AI在规则边缘的创造性行为」。你可以设置「这个Agent不得发送超过$10万的采购订单」,但你很难预见到Agent可能通过将多个小额订单组合起来绕过这个限制。执行层AI的治理挑战,有很大一部分来自于AI的「创造性」——它会找到你没有想到的操作路径。

问责标准的缺失:目前所有这些工具都在处理技术层面的控制,但没有一个能够解决法律层面的责任归属问题。当一个AI Agent的决策造成商业损失时,法律救济路径仍然是模糊的。美国、欧盟、中国在AI责任方面都在起草相关法规,但都尚未生效,也尚未专门针对AI Agent的执行行为建立明确的责任框架。

这个法律真空,是执行AI时代企业面临的最大未解决风险之一。

第七章:企业AI治理成熟度的四个阶段

参照云计算治理和数据治理的发展路径,企业AI Agent治理的成熟度可以分为四个阶段,大多数企业今天处于第一阶段和第二阶段之间。

第一阶段——无意识部署期:企业已经有多个AI Agent在运行,但没有统一的AI治理框架,没有人清楚地知道所有Agent的存在、权限范围和运行状态。Shadow AI现象普遍,部门自行采购AI工具不经IT审批。大约对应Salesforce报告中「50%Agent孤立运行」的现实。这是大多数中型企业今天的状态。

第二阶段——可见性建立期:企业开始建立AI资产目录,统计所有已部署的Agent、权限配置、接触的数据类型。建立AI成本追踪机制(利用AWS Bedrock成本归因等工具),开始能够回答「我们花了多少在AI上、谁在用」的问题。开始制定AI使用政策,明确哪些类型的决策需要人工审批。这是领先企业今天正在做的事。

第三阶段——主动治理期:企业建立了完整的「Agent宪法」体系,每个执行层Agent都有明确的权力边界、触发条件、审计要求和人工介入机制。建立了跨Agent协调机制,解决了50%孤立运行的问题,实现多Agent之间的信息共享和冲突检测。建立了AI责任归属框架,在内部明确了当AI决策造成损失时的责任链条。这是领先企业在2026-2027年需要达到的目标状态。

第四阶段——动态优化期:AI治理框架本身也由AI辅助管理——Agent的行为模式被持续监控,异常行为被自动标记,权力边界根据业务风险变化自动调整。治理不再是静态的规则集合,而是与业务需求同步演化的动态系统。这是2028年以后的前沿状态。

理解自己所在的阶段,是制定AI治理改进路径的第一步。大多数企业需要把「从第一阶段进入第二阶段」作为2026年的优先事项。

第八章:「12个Agent」意味着什么样的组织变革

从另一个维度理解「企业平均12个AI Agent」:这相当于企业新增了12个「数字员工」。

但这12个数字员工与传统人类员工在管理上有根本不同。人类员工在不确定时会主动寻求指导;当发现自己越权操作时,通常会意识到并停止;他们在做了错误决策后会感受到后果并调整行为;他们相互之间会自然形成沟通和协调。

AI Agent在所有这些维度上的行为都是不同的。一个设置不正确的Agent不会主动说「我觉得我的权限设置有问题」。两个孤立运行的Agent在处理同一个客户时,不会像两个同事一样互相打招呼,分享信息,协调行动。Agent在越权操作后不会因为「感觉不对」而自我纠正。

这意味着,企业在接纳12个数字员工的同时,必须建立一套全新的「管理数字员工」的能力。不是像管理人类员工那样通过绩效谈话、晋升激励、文化建设来影响行为,而是通过技术配置、权限设计、监控机制来确保Agent的行为符合预期。

这是一种全新的管理技能,大多数企业的管理层今天还不具备。IT部门负责配置,业务部门使用,但谁负责确保Agent在两者交界处的行为是符合商业意图的?这个角色在很多企业里目前是真空的。

「AI治理负责人」(Chief AI Governance Officer,或兼任角色)将成为2026-2027年企业管理架构中的重要新角色。它不是一个纯技术职位,也不是一个纯合规职位,而是需要同时理解技术能力边界、商业风险容忍度和组织运营实际的复合型职位。

结语:AI时代最重要的竞争力,不是部署了多少Agent,而是治理了多少Agent

2026年,AI Agent的大规模企业落地已经是不可逆的趋势。企业采用AI Agent是对的,提升Agent的执行权限以获取效率是对的。但「有多少Agent在运行」和「这些Agent运行得有多可控」,是两个需要同时回答的问题。

历史上,每一次新型执行力量的出现,都需要配套新型的治理体系。互联网带来了信息安全治理,电子商务带来了交易合规体系,云计算带来了FinOps和数据治理框架。AI Agent带来的,是一套全新的「执行决策治理」需求。

今天那些在12个Agent里有11个孤立运行、没有审计记录、没有明确责任归属的企业,正在积累一个迟早需要被解决的治理债务。这种债务不像技术债务那样只影响工程效率,而是直接影响法律风险、合规状态和商业稳定性。债务越积越大,解决的成本越来越高——无论是技术改造成本、法律合规成本,还是某一天某个Agent出了问题需要对外解释的声誉成本。

AI从建议到执行的跃迁,在2026年已经大规模发生了。Salesforce报告里的12个Agent、83%的组织采用率,是真实的。但支撑这个跃迁的治理基础设施,从可见性工具到权限控制机制,从审计框架到法律责任标准,仍然大量缺失。

这个差距,是2026年企业AI领域最重要的风险,也是最重要的机会——不是「我们部署了多少AI」的竞赛,而是「我们真正掌控了多少AI」的竞争。

在「AI从建议到执行」的转变已经发生的今天,「AI从黑箱到可问责」的转变,才刚刚开始。而那些最先在这个维度上建立能力的企业,将不只是在合规上更安全,而是在整个AI价值链上处于更有利的竞争位置——因为他们真正知道自己的AI在做什么,为什么做,做得好不好。这种「AI可见性」将成为数字化时代最重要的企业核心竞争力之一。

参考资料

  1. Salesforce, “Multi-Agent Adoption to Surge 67% by 2027 as Enterprises Race Toward Agentic Transformation”, 11th Annual Connectivity Benchmark Report, March 2026. https://www.salesforce.com/news/stories/connectivity-report-announcement-2026/

  2. AI Native, “2026 AI Native Market Research Report: AI Enters the Execution Layer”, April 2026. https://finance.yahoo.com/sectors/technology/articles/ai-native-market-research-forecast-103600399.html

  3. The Register, “Anthropic won’t own MCP ‘design flaw’ putting 200K servers at risk, researchers say”, April 16, 2026. https://www.theregister.com/2026/04/16/anthropic_mcp_design_flaw/

  4. AWS Machine Learning Blog, “Introducing granular cost attribution for Amazon Bedrock”, April 17, 2026. https://aws.amazon.com/blogs/machine-learning/introducing-granular-cost-attribution-for-amazon-bedrock/