纳德拉要给微软的 AI 智能体"办工牌"了

行业快讯

微软 CEO 纳德拉宣布将像管理员工一样管理内部 AI 智能体——给身份、给沙盒、给权限策略,并推出 Agent 365 工具套件。他自己同时跑 100 个编程智能体,已经被认知负荷压得够呛。

纳德拉要给微软的 AI 智能体"办工牌"了

微软 CEO 萨提亚·纳德拉今天放出一个信号:公司内部那一堆已经在跑的 AI 智能体,不能再这么"野生"下去了。要给它们发身份、划权限、建沙盒、做审计——基本上,按管员工的那一套来管。

据《商业内幕》6 月 6 日的报道,纳德拉说微软正在梳理工具和政策,目的是"监管内部创建的所有 AI 智能体"。具体怎么做?三句话:给身份、给沙盒、给治理策略。配套产品叫 Agent 365,里面打包了 Entra(数字身份与网络访问)和 Purview(数据标记与合规)。

这事听起来像是又一个企业管理工具发布会,但底下藏着一个更值得开发者注意的转变:智能体不再被当成"被使用的工具",开始被当成"需要被治理的主体"。

微软 CEO 纳德拉在公司活动上发言,背景是 Agent 365 相关介绍

纳德拉自己被 100 个智能体围攻

先看一个挺有画面感的细节。纳德拉说他经常"同时运行 100 个 AI 编程智能体",如果每一个都要他通过聊天界面去逐一指挥,"管理这些东西时承受的认知负荷非常高"。

这话从一个 CEO 嘴里说出来,分量不一样。它意味着两件事:

第一,微软高层确实在用这套东西,不是 PPT 工程。一个 CEO 跑 100 个并发 agent,已经完全不是"我跟一个聊天机器人对话"的范式,而是"我是一个项目经理,下面有一百个永不疲倦但也永不靠谱的初级工程师"。

第二,目前的人机交互形态根本扛不住这种规模。聊天窗口适合一对一,不适合一对多。Cursor、Claude Code、GitHub Copilot Workspace 这一拨工具今年都在往"任务面板 + 后台并发"的方向走,本质上就是在解决同一个问题——人脑没法同时盯 100 个对话框。

纳德拉最近那篇万字访谈里提过一句更直白的话:未来的 IDE 会变成一个融合电子表格、文档和消息流的"任务控制中心",人不再是操作者,而是"拥有宏观委派能力的指挥官"。今天这个智能体治理框架,其实就是那个图景的安全底座。

Agent 365 在管什么

纳德拉的原话是:"安全性、隔离性、可管理性和可观测性,是我们建立对这些 AI 智能体信心的方式。"

拆开看,Agent 365 想解决的是企业 IT 已经熟得不能再熟的四件事,只是把对象从"人"换成了"智能体":

  • 身份(Identity):每个 agent 在 Entra 里有自己的账号,谁创建的、归哪个部门、调谁的 API,全部可追溯。这不是新概念——服务账号(service account)一直就是这么干的,但 agent 的特殊在于它会自己做决策、自己调工具,传统服务账号那种"开个权限就跑五年"的方式不够用。
  • 权限边界(Scoping):明确哪些数据能读、哪些不能读。这点对微软来说尤其敏感,因为 Microsoft 365 Graph 里堆着邮件、文档、Teams 通话——一个跨部门 agent 如果权限没切干净,分分钟把财务数据泄露到产品讨论里。
  • 沙盒(Sandbox):让 agent 在一个隔离环境里跑,错了不会污染生产数据。这部分在编程智能体场景里已经是标配,但在企业流程类 agent 里还很欠缺。
  • 审计与数据标记(Purview):agent 生成的内容会被打标,方便后续追责和合规审查。这个在受监管行业(金融、医疗、法律)几乎是必需品。

Agent 365 架构示意图,展示身份、权限、沙盒、审计四个层面

把 agent 当员工管,是聪明还是偷懒?

这套思路最有意思的地方是"借鉴管理员工的方式"。值得多问一句:这个类比成立吗?

成立的部分:身份、权限、审计这套 IAM(身份与访问管理)框架,过去几十年企业 IT 已经踩过的坑足够多,直接套上来确实省事。一个 agent 进入企业系统,必须有 principal、有 scope、有 log——这跟一个新员工入职拿工牌、配权限、留痕迹,结构上是一回事。

不成立的部分也得说清楚:

  • 员工有自我克制,agent 没有。一个员工知道"这个文件夹我虽然有权限但不该看",agent 在 prompt injection 面前会被一句话骗着到处翻。
  • 员工的行为是低频、可预测的,agent 是高频、并发、随机的。一个 agent 一天可以调用上千次 API,传统审计系统的日志量和告警规则得整个重做。
  • 员工出了事可以谈话、培训、解雇,agent 出了事只能下线、回滚、重训。问责链条完全不一样。

所以"像管员工一样管 agent"是个好用的入门类比,但落到产品里,Entra 和 Purview 必然要做大量 agent 专属的扩展。光把人类的 ACL 搬过去是不够的。

为什么是现在

企业级 AI 在过去一年砸了巨额预算,但 agent 怎么和员工协作,行业里基本还在摸索。Gartner 之前给过一个判断:到 2027 年大约 40% 的 agentic AI 项目会被取消,原因不是模型不行,而是治理跟不上、ROI 算不清。

微软选择在这个节点把治理工具产品化,时机很对。几个背景:

  1. Copilot 已经在 Microsoft 365 里大规模铺开,企业 IT 的反馈集中在"权限范围对不准"、"机密文档被检索"、"输出无法溯源"这几件事上。Purview 这次把 agent 生成数据也纳入标记,是直接回应客户痛点。
  2. Anthropic 的 MCP(Model Context Protocol)今年成了事实标准,agent 调用外部工具的接口越来越统一,但谁来调、能调什么、调用记录归谁——这层治理是空白。
  3. 多 agent 编排框架(AutoGen、LangGraph、CrewAI)爆发,开发者已经习惯让一组 agent 互相协作。可一旦进入企业内网,一个失控的子 agent 就能把整套权限模型撕开。

纳德拉这次更像是在给整个行业立一个参照标准:你要在企业里跑 agent,请按这四件事(身份、隔离、可管理、可观测)来。这套话术明显是冲着 CIO 和 CISO 去的——他们才是企业 AI 采购真正的把关人。

对开发者意味着什么

如果你在做 agent 类产品,几个方向需要尽早想清楚:

  • 每个 agent 是不是都有独立身份? 不要再用"一个 API key 走天下"的偷懒做法。哪怕是内部工具,至少给每个 agent 配一个可追溯的 principal。
  • 权限是不是 scoped 的? 让 agent 拿用户的全权令牌去调下游系统,是个非常常见的安全反模式。OAuth 2.1 + 细粒度 scope 是基础。
  • 输出有没有打标? agent 生成的内容、写入的数据库记录、发出的邮件,最好都带元数据标识来源。出了事能查,平时也能做评估。
  • 审计日志是不是结构化的? 自然语言日志看着热闹,但没法做异常检测。把 tool call、参数、结果都记成结构化事件,后面才好做安全监控。

这些其实都是老生常谈,只不过过去面向"服务",现在面向"agent"。区别在于 agent 的不确定性更高,所以这层基础设施必须更厚。

一个判断

短期看,Agent 365 不会立刻让别的厂商跟进——AWS、Google Cloud 各有各的 IAM 体系,硬塞 agent 治理需要时间。但中期看,agent 治理大概率会从"安全功能"变成"基础设施层",跟今天的 IAM、KMS、SIEM 一个量级。

微软这次的算盘也很清楚:模型层它不一定赢得了 OpenAI 和 Anthropic(虽然它都投了),但企业 IT 的盘子它已经守了二十多年,把 agent 治理塞进 Entra 和 Purview,等于把竞争维度从"谁的模型聪明"拉回到"谁能让 CIO 睡得着觉"。

这是一个对微软非常有利的战场。

顺便提一句,对于想在自己的 agent 系统里同时调用 GPT、Claude、Gemini、DeepSeek 等不同模型做对比和编排的开发者,OpenAI Hub 提供 OpenAI 兼容格式的统一接口,国内直连,一个 Key 切换不同模型,调试 multi-agent 工作流时省去不少 SDK 切换的麻烦。

参考来源