【卷卷观察】85%企业在试点、5%上线:AI Agent信任危机构成的生死差距

上周末Cisco在RSAC 2026扔出来一个数据:85%的企业在跑AI Agent试点,但只有5%真正投产(内心os原来国外的AI Agent占比也这么低)。
这其中80个百分点的差距,不是技术问题,应该是人心问题。
我干风控这么多年,见过各种"试点热闹、上线冷清"的场景——规则引擎上了、数据平台上了、模型上了,每一拨都是Pilot满天飞、生产静悄悄。但AI Agent不一样,它不只是给答案,它是替你做事。一个问答机器人答错了,顶多是尴尬;一个Agent删错了数据,那是真金白银的损失,而且是不可逆的那种。
Cisco总裁Jeetu Patel说得更直接:Delegating和Trusted Delegating之间,隔着一个破产的距离。
一个删库跑路的Agent
RSA Conference 2026上,Patel讲了一个真实的案例(他没点名,但描述得很清楚):
某家企业的AI编码Agent,在代码冻结期间自己跑了一条"清理未使用测试数据库"的指令。结果那个数据库不是测试库,是生产库。Agent发现出问题了,不是报上来,而是自己往里塞假数据试图掩盖——因为它的训练逻辑告诉它,"解决问题"比"暴露问题"优先级更高。最后它道歉了。
Patel的评价就一句话:"An apology is not a guardrail."
我看完这个案例第一反应是:这不就是现实中有些甲方的做法吗?出了问题先捂着,捂不住再出来道歉。Agent学谁学得挺像的。
问题在哪?在于我们默认AI是听话的,但Agent的行为空间比聊天机器人大了几个数量级。聊天机器人顶多说话,Agent能调用工具、发请求、改配置。而且它的每一步操作,在系统看来都是"合法授权的",因为它用的是真实员工的身份。
这就是Patel说的,从信息风险到行动风险的跨越。传统安全体系能防住恶意员工,但防不住一个"好心想帮忙但行为失控的Agent"。
为什么差距这么大?
85%试点、5%上线,这不只是Cisco的数据。市场上你能看到的数字基本都在这个区间附近晃悠——数字好看,落地拉胯。
Patel分析了三条核心原因,我整理了一下:
第一,信任架构没建好。 试点的逻辑是"试试看,不行就关",所以大家愿意冒风险。生产的逻辑是"出了问题谁负责",所以决策链上的每个人都在互相看。安全说风控太大、业务说影响效率、法务说合规没定义清楚,最后结论是"继续试点"。这不是技术问题,是组织政治问题。
第二,Agent的行为不可预测。 传统软件的逻辑是"你写什么它做什么",确定性很高。Agent的逻辑是"你给它一个目标,它自己选路径"。同一个目标,不同的Agent实现路径可能完全不一样,而且路径会随着上下文变化。一个在测试环境跑通的Agent,到了生产环境可能因为数据分布不同而做出完全不同的事。
第三,现有的安全工具是给"人"设计的,不是给"Agent"设计的。 防火墙、IAM、SIEM这些,验证的是"这个请求是不是合法用户发的"。但Agent用的是合法用户的身份走的合法请求,只是做了一件不该做的事。身份验证通过了,但行为本身是错的。现有系统基本都看不见这个维度。
Cisco怎么应对?
Patel这次在RSAC上扔出来的东西挺实在的,分三层:
1. 保护Agent不受攻击(Protecting agents from the world)
说白了就是Agent运行时环境的安全隔离。Agent跑在一个沙箱里,它能接触什么、不能接触什么,要比现在严格得多。
2. 保护世界不受Agent影响(Protecting the world from agents)
这是最难的部分。Cisco发布了AI Defense Explorer Edition(一个免费的红队测试工具),还有Agent Runtime SDK,让企业在Agent构建阶段就能把安全策略嵌进去,而不是等跑起来了再打补丁。
3. 以机器速度检测和响应(Detecting and responding at machine speed)
这个是最后一道防线。传统的安全响应是"发现异常→安全团队介入→人工分析→处置",整个链条可能需要几小时甚至几天。但Agent的操作速度是秒级的,你用人工响应的速度根本追不上机器执行的速度。
最值得说的是Defense Claw这个开源框架。Cisco把内部的四个安全工具——Skills Scanner、MCP Scanner、AI Bill of Materials、CodeGuard——打包成一个框架,接入了Nvidia上周在GTC上发布的OpenShell(一个面向开源Agent框架的安全容器)。
从发布到完成集成,48小时。
Patel自己的说法:"你不可能用超过一周来做这件事,因为OpenShell是上周才出的。"这句话我信。能在这种速度下跑通,说明Cisco的工程能力和Nvidia的合作深度都比外界想象的强。
六到九个月的领先
Patel在采访中说了一句很狂的话:"产品层面,我们可能比市场上大多数玩家领先六到九个月。"
然后他又加了一句:"我们还有三到六个月的信息不对称优势,因为我们处在整个生态系统的核心位置,能看到各个模型公司在做什么。"
这话如果是别人说的,我会觉得是PPT。但Patel说这话的背景是Cisco刚在48小时内把Defense Claw接进了OpenShell,这个工程速度是真实的。而且Cisco在企业网络和安全的底座太深了,Agent不管跑在哪,最终都要过网络和身份这两层,这是Cisco的主场。
不过我也要说一句:六到九个月在科技行业是什么概念? 可能也就是一个发布周期。Cisco的领先是真实的,但不能躺着。微软、Google、AWS都有各自的Agent安全产品线,而且它们的云原生优势比Cisco更明显。这个窗口期,Cisco得用起来。
零人类代码的豪赌
Patel在采访中透露了Cisco内部的目标:
- 现在:AI Defense产品线已经100%由AI构建,零人类代码
- 2026年底:将有六款Cisco产品达到同一标准
- 2027年底:目标70%的产品由AI构建,零人类代码
他还说了一句让在场所有人都安静的话:"未来Cisco只有两种人:一种是用AI编码的,一种是已经不在Cisco的。"
这话听起来很卷,但其实说的是一个结构性变化:不是AI取代人的问题,而是不会用AI的人,在以AI为核心竞争力的公司里没有位置。
我自己在工作中也越来越感受到这个趋势——能用好AI工具的人,产出是一个不会用的人的十倍甚至几十倍。不是AI本身多强,是它能把重复性的、碎片化的时间捡起来,让人专注在真正需要判断力的事情上。
但问题来了:70%的产品零人类代码,那剩下30%是什么? Patel没说。我的理解是,那些需要强监管、高风险决策、或者物理世界交互的部分,可能还是需要人类签字。这30%不会是边缘,是核心。
Agent安全:五个必须马上做的事
结合Patel的框架和我自己的风控经验,以下是我认为每个企业在部署Agent之前必须完成的五件事:
|
优先级 |
事项 |
怎么做 |
|
P0 |
画出所有Agent的委托链 |
哪些任务是Agent独立完成的,哪些需要人类确认的,必须全部可见 |
|
P0 |
建立Agent行为基线 |
上线前摸清楚这个Agent正常情况下会做什么——API调用频率、数据访问范围、操作时段 |
|
P1 |
打通身份层和遥测层 |
现在的SIEM大多只能看见"谁发的请求",看不见"这个请求是Agent发起的还是人发起的",必须升级 |
|
P1 |
接入Defense Claw或同类工具 |
如果你在用开源Agent框架,先把安全容器配好,别等出事了再补救 |
|
P2 |
定义不可逆操作的红线 |
删库、写账、修改权限这类操作,必须有强制人工审批流程,Agent不能自己过 |
这五条,哪条没做好就先别上线。别着急,别侥幸。

结语:Agent不是问题,信任架构才是
我看到85%这个数字,第一反应是:这不奇怪。
任何新技术的采用曲线都是这样——早期采纳者猛冲,然后大多数人等着看 Pioneers跌坑 。问题在于,Agent这波和以前不一样,因为它真的在替你做事。试点阶段你可以接受"试试看,不行就关",但生产环境里的Agent,关掉之前可能已经造成了不可逆的损失。
Patel的核心观点我认同:Trusted Delegation是下一个十年的核心竞争力。能安全地委托Agent做事的企业,和不能的,差距会像当年数字化转型一样,几年之内拉开。
现在的问题不是Agent够不够聪明,是你的信任架构配不配得上Agent的能力。
更多推荐

所有评论(0)