Agent 从“能用”到“管好”，中间差了什么？

推荐语

从“玩具”到“工具”，Agent规模化落地面临哪些挑战？本文揭示企业AI治理的四大痛点与解决方案。

核心内容：
1. 企业Agent规模化落地的四大核心挑战
2. AgentRun开放平台的三层多租户体系设计
3. 安全、可控、高效的Agent生产与管理环境构建

杨芳贤

53AI创始人/腾讯云(TVP)最具价值专家

许多企业在初期尝试引入 Agent 时，往往采取“单点突破”的策略——由个别极客员工或小型团队基于开源框架或云 API 快速搭建原型。这种模式在 POC（概念验证）阶段行之有效，但当企业试图将 Agent 规模化推广至全公司时，混乱随之而来。数据孤岛、权限失控、成本黑洞、安全漏洞等问题接踵而至。传统的 IT 治理体系在面对具有高度自主性、动态交互性和复杂依赖关系的 AI Agent 时，显得捉襟见肘。

例如某企业中可能存在如下角色：

• 基础设施团队负责底层 Agent 实例的创建、VPC/RDS/OSS 等资源的配置和运维，但他们不直接开发业务 Agent，也不应该参与业务层面的权限分配。
• 企业管理和运维人员需要制定资源策略、审批权限申请、监控整体用量，但如果没有管理平台，只能通过人工流程或直接在云控制台操作，既低效又容易出错。
• 业务开发者需要快速创建和迭代 Agent 来解决实际问题，但在没有自助平台的情况下，他们要么过度依赖基础设施团队（提需求、等排期），要么被迫直接操作底层资源（安全风险高、学习成本大）。

这三类角色关注的是完全不同的抽象层面，如果没有一个中间平台承接业务语义层的治理，协作链路就会变得冗长、脆弱且不可追溯。

以上基础层面痛点在企业实际操作中会具象化为一系列具体困境：

• 跨团队协作效率低：业务开发者创建 Agent 需要向基础设施团队提需求、等排期，一个权限变更走工单链路耗时数天。
• 团队间数据互相可见：市场部和研发部共用同一个 Agent 实例，两边的 Prompt、知识库、调用记录彼此可见，缺乏隔离。
• 人员变动导致权限失控：员工离职后无法自动回收 Agent 使用权限，也无法追溯该员工创建和管理了哪些 Agent。
• 成本超支无感知：某个团队大量调用高规格模型，月底结算时才发现 Token 消耗远超预期，事前没有配额和预警机制。
• 审计无法支撑合规：企业需要回答“哪个团队创建了多少 Agent”、“某个 Agent 的完整生命周期是什么”，但现有工具只能记录 API 调用日志。

AgentRun 团队推出的 AgentRun 开放平台，正是为了解决这一“规模化落地难”的核心痛点而生。它并非仅仅是一个 Agent 开发工具，而是一个基于 AgentRun 底层强大算力与运行时能力构建的企业级 AI 运维中台。该平台以员工权限管理为核心，通过三层多租户体系、精细化的资源隔离机制以及全流程的合规审计能力，为企业构建了一个安全、可控、高效的 Agent 生产与管理环境。

在企业内部推广 Agent，本质上是一场组织变革与技术重构的双重实验。在这个过程中，基础设施团队、管理层与业务开发者三类角色之间的张力，构成了云资源管理体系的核心难点。

传统的企业身份与访问管理（IAM）系统，如阿里云 RAM，其设计初衷是控制对云产品 API 的操作权限。例如，它可以精确控制“谁可以调用 CreateAgent 接口”或“谁可以读取 OSS 存储桶”。然而，企业内部的实际管理需求往往是基于业务语义的。

管理者需要的权限策略通常是：“市场部的所有员工可以使用已审批通过的‘营销文案生成’类 Agent，但不能访问‘财务数据分析’类 Agent”，或者“实习生只能在使用沙箱环境中测试 Agent，且无法导出知识库数据”。若强行使用 RAM 来实现这些需求，需要编写极其复杂且难以维护的政策脚本（Policy），且无法原生支持“申请-审批-授权-回收”这样的动态流程。这种抽象层级的不匹配，导致权限配置要么过于宽松（存在安全隐患），要么过于僵化（阻碍业务创新）。

在缺乏专用中台的情况下，多个团队往往共用同一个 AgentRun 实例或云账号。这意味着，市场部的 Prompt 模板、研发部的代码片段、甚至包含敏感客户信息的知识库，可能在同一存储空间中彼此可见。

这种“裸奔”状态带来了巨大的数据泄露风险。更严重的是，由于缺乏细粒度的资源隔离，某个团队的高并发调用可能耗尽共享实例的计算资源，导致其他关键业务 Agent 响应延迟甚至服务中断。企业急需一种轻量级、逻辑严密且易于管理的隔离机制，既能保障数据安全，又能避免资源争抢。

在没有统一平台载体时，Agent 的生命周期管理依赖于人工流程。业务开发者想要创建一个新的 Agent，可能需要向基础设施团队提交工单，等待 VPC 配置、数据库初始化、API Key 分配等一系列操作。这个过程短则数天，长则数周，严重拖慢了业务迭代速度。

反之，如果为了追求速度而赋予业务开发者过高的底层权限，让他们直接操作云控制台，则极易引发配置错误、密钥泄露等安全事故。企业陷入两难：要么牺牲效率换取安全，要么牺牲安全换取效率。这种协作链路的断裂，是阻碍 Agent 大规模普及的主要人为障碍。

大模型调用的 Token 成本高昂且波动巨大。在传统模式下，企业很难实时监控每个团队、每个用户甚至每个 Agent 的 Token 消耗情况。往往直到月底收到账单时，才发现某项非核心业务的调用量激增，导致预算超支。

此外，合规审计也是一大难题。当发生数据泄露或违规操作时，企业需要回答“是谁创建的 Agent ？”、“该 Agent 访问了哪些数据？”、“它的完整生命周期是怎样的？”。现有的云日志仅记录 API 调用，缺乏业务层面的上下文关联，使得追溯变得异常困难。

面对上述挑战，AgentRun 开放平台没有选择修补式的解决方案，而是从底层架构出发，构建了一套以员工权限管理为核心的三层多租户体系。这一体系将复杂的云资源管理封装在后台，向前台暴露出符合人类直觉的业务语义接口，实现了“平台级→团队级→个人级”的分层治理。

用户组是平台中核心的权限隔离和资源分配单元。它解决了企业中用户众多、逐个配置权限不现实的难题。

• 批量继承与高效管理：管理员只需配置一次用户组的权限策略，组内所有成员自动继承。例如，将“研发部全员”加入“研发用户组”，该组被赋予访问特定高性能模型和内部代码知识库的权限。新员工入职时，只需将其加入该组，即可瞬间获得相应权限，极大降低了运维成本。
• 硬性资源隔离与成本控制：不同用户组拥有独立的工作空间配额、AgentRuntime 数量限制以及 Token 月度上限。这种组级配额机制从源头上防止了资源滥用。例如，限制“实习生组”每月只能使用低规格模型且 Token 上限较低，而“核心算法组”则享有更高配额。
• 存储空间与广场配置：不同的用户组配置不同的存储空间，不同的存储空间相互不可见，从根本上控制了资源隔离的问题。同时增加了广场配置功能，不同的用户组下面的用户所见广场的内容各不相同，相互隔离。

在用户组提供的标准化权限之上，用户管理层提供了个性化的微调能力，以应对企业中的特殊场景。

• 统一管控中心：管理员可以通过集中入口查看、搜索、编辑所有开发者用户的状态。支持启用/禁用账号，对于离职或异常用户，可一键阻断其对所有 Agent 资源的访问，确保安全性。
• 细粒度权限叠加：除了继承用户组的权限，管理员可以为单个用户配置额外的资源权限。例如，某位资深工程师虽然属于普通研发组，但因负责特定重点项目，需要额外访问一个高密级的知识库。这种“基础权限+额外授权”的模式，既保持了管理的规范性，又保留了足够的灵活性。
• 注册与身份集成：平台支持与企业现有的身份提供商（IdP）通过 SSO（单点登录）集成，支持 OIDC 协议，支持企业微信登录，飞书登录，钉钉登录。这不仅简化了用户的登录体验，更确保了身份源的统一性和权威性。

用户空间是开发者在平台上进行实际工作的独立单元，也是权限落地的最终场景。每个用户空间都是一个逻辑上完全隔离的沙箱。

• 资源隔离与数据隐私：不同用户空间之间的 AgentRuntime、Prompt、知识库、记忆库等资源完全隔离。市场部的空间无法看到研发部的任何数据，彻底解决了数据泄露问题。
• 角色分权协作：在每个用户空间内部，进一步细化为 Owner（所有者）、Admin（管理员）、Member（成员）三级角色。Owner 拥有最高权限，负责空间的整体配置；Admin 可以管理成员邀请和资源绑定；Member 仅能使用已配置好的 Agent 进行对话或调试。这种内部的分权机制，模拟了真实项目团队的协作结构。
• 动态配额优先级：用户空间的配额来源遵循严格的优先级逻辑：空间级自定义配额 > 所有者用户额外配额 > 用户组默认配额 > 系统全局默认值。这种设计允许在必要时对特定项目进行资源倾斜，而不影响整体治理框架。

AgentRun 开放平台中新增了用户组，用户，以及用户空间的概念，这些概念在 AgentRun 中是不存在，那么它们的之间的关系是怎样的呢？

对于 AgentRun，资源之间的隔离是通过账号级别以及 Workspace 工作空间来实现的，这种权限的隔离方式是与阿里云的账号体系的 RAM 深度绑定，但是对于企业级的不同的用户，不同的用户组之间的隔离却没有做到那么精细。

• 用户组关联多个工作空间：用户组可以具有多个工作空间的权限，也就是在该用户组下的用户均可以访问用户组对应的工作空间的资源，例如 Agent, Skill，知识库等。
• 在 AgentRun 开放平台中，每个用户组需绑定一个唯一的存储工作空间用于资源落地。当组内成员创建 Agent、知识库等资源时这些资源物理上均存入该存储工作空间。

• 隔离机制：虽然用户组可能拥有其他工作空间（如工作空间 A、B）的访问权限, 但其绑定的存储工作空间（如工作空间 C）默认对组内其他成员不可见。
• 权限规则：只有资源的创建者（Owner）拥有该存储工作空间内对应资源的访问权，组内其他成员无法查看或使用他人创建的资源。
  
• 示例说明：若用户组拥有工作空间 A 和 B 的访问权，但绑定工作空间 C 为存储空间。当成员甲在组内创建资源时，资源实际存入 C。此时，成员乙虽能访问 A 和 B 中的共享资源，却无法看到或访问成员甲存放在 C 中的私有资源，从而实现了“资源统一存储”与“个人数据隔离”的双重保障。

• 用户关联工作空间：用户关联了多个工作空间，用户关联的工作空间是对用户组的补充。该用户不仅继承了用户组的资源权限，并且又具备他本身的资源权限。
• 用户空间：用户空间是属于该用户的空间，用户 A 和用户 B 都位于同一个用户组下面，那么用户 A 创建的 Agent 资源，用户 B 是看不到的。例如用户 A 创建了专属于自己的知识库，他是不想让用户 B 看到和使用的，这个资源隔离是通过用户空间进行的隔离。

用户组，用户，用户空间共同构建了资源的隔离和访问的基石，使不同用户组之间资源相互隔离，不同的用户的资源也能进行隔离。

依托于 AgentRun 强大的底层能力，AgentRun 开放平台不仅解决了“管”的问题，更在“用”的层面提供了丰富的功能矩阵，形成了完整的 Agent 生产力闭环。

平台提供了从 Agent 创建、调试到运行、监控的全链路能力：

• AgentRuntime：支持对话型和流程编排型两类智能体。每个智能体拥有独立的运行环境和可观测数据，开发者可以在用户空间内轻松复制、版本化管理 Agent 实例。
• 工具与技能生态：内置了浏览器、搜索引擎、VPC 访问等常用技能，并支持注册 Function Call 工具和 MCP（Model Context Protocol）协议工具。管理员可以集中配置平台级技能，用户按需安装，实现了能力的复用与标准化。
• 知识库与 RAG 增强：支持本地文件上传、OSS 同步、飞书知识库同步，以及对接百炼、Ragflow 等外部知识库。通过内置的高效检索增强生成（RAG）引擎，企业可以快速构建基于私有数据的智能问答系统。
• 记忆库与长期学习：为智能体提供长期记忆和短期记忆能力，支持配置独立的 LLM 和 Embedding 模型。Agent 能够持续学习交互内容，随着使用时间的推移变得越来越“懂”业务。

相较于通用的云控制台或开源方案，AgentRun 开放平台在以下方面展现了显著的差异化优势：

• 极致安全的密钥管理：这是企业最关心的痛点之一。在平台上，API Key 等敏感凭据由管理员统一配置并加密存储。Agent 运行环境中无法直接获取明文 Key，开发者无需在代码中硬编码密钥，从根源上杜绝了凭证泄露风险。
• 灵活多样的成本控制策略：

• 节省模式：针对低频使用的场景，提供按量付费实例，页面关闭即回收资源，显著降低闲置成本。
• 精细化配额：支持系统默认配额与用户级自定义配额相结合，事前预警，事后审计。
• 多档规格选择：提供从 1c1g 到 4c8g 共六档算力规格，企业可根据业务负载灵活选择，避免算力浪费。

• 持久化与无缝体验：通过挂载 OSS 实现工作空间持久化，实例重启后所有文件和配置原样保留。同时，支持钉钉、飞书、企业微信、个人微信等多渠道即时通讯接入，除钉钉外均支持扫码配对，让 Agent 真正融入员工的日常沟通场景。
• 可观测性与运维透明化：基于 OpenTelemetry 构建开箱即用的可观测大盘，实时展示 Token 消耗、响应延迟、错误率等关键指标。内置阿里云 CLI，方便高级用户进行自动化运维操作。

AgentRun 开放平台重新定义了企业内部各角色在 AI 时代的工作方式：

• 基础设施团队：聚焦于 AgentRun 实例的创建、VPC、RDS、OSS 等底层资源的稳定运维，不再介入具体的业务 Agent 开发。
• 管理和运维人员：通过管理后台制定全局资源策略、审批权限申请、监控整体用量、管理平台级技能和模板。他们成为了企业 AI 治理的“守门人”。
• 业务开发者：通过开发者控制台，专注于业务逻辑的实现。他们可以自助创建 Agent、调试 Prompt、管理知识库，并通过简单的配置即可将 Agent 发布到钉钉或微信等渠道。

这种清晰的分工，使得各方各司其职，既保障了底层设施的稳定性与安全性，又释放了业务层的创新活力。

当用户 A 开发出一款高效实用的 Agent 并渴望将其推广至全公司时，如何平衡资源共享的便捷性与企业数据的安全性成为关键。为此，开放平台借鉴阿里内部成熟的权限治理体系，设计了一套严谨且流畅的“资源发布与审批”流程，旨在实现从个人私有到团队共享的安全过渡。

• 平台遵循“默认最小权限”原则。用户创建的所有 Agent 资源，初始状态均严格限定为“仅本人可见”，其他同事无法检索或访问，从而从源头杜绝了敏感逻辑或未成熟功能的意外泄露。
• 当用户 A 确认其 Agent 具备推广价值时，可发起“公开申请”。在资源管理界面，用户需点击“公开资源”按钮。此时，系统不仅会触发审批流，还要求用户填写简要的功能说明与应用场景，以便管理员评估。
• 审批请求将实时推送至拥有相应权限的管理员工作台。管理员在收到通知后，可查看 Agent 的详细元数据、潜在风险评级及用户描述。经过合规性与安全性审核后，管理员执行“批准”操作。一旦审批通过，系统将自动更新该资源的访问控制列表，指定的用户组即刻获得查看与使用权限，无需人工逐个配置。

这一机制既保留了开发者快速迭代的自由度，又通过中心化审批确保了企业级应用的分发规范。它不仅降低了内部工具推广的门槛，更构建了一道坚实的安全防线。

AgentRun 开放平台的推出，标志着企业 AI 应用进入了一个新的阶段：从野蛮生长走向有序治理，从单点试用走向体系化运营。

通过三层多租户体系和完整的生命周期管理，平台记录了每一个 Agent 的创建者、修改者、使用者以及所有的交互日志。当面临合规审查时，企业可以轻松导出报表，回答“哪个团队创建了多少 Agent”、“某个 Agent 在何时访问了哪些敏感数据”等问题。这种可追溯性是企业规模化应用 AI 的法律与安全基石。

精细化的配额管理和节省模式，使得企业能够将大模型调用成本控制在合理范围内。据初步测算，通过合理的配额限制和资源回收机制，企业可降低 30%-50% 的非必要 Token 消耗。同时，自助式的服务模式大幅缩短了 Agent 的开发与上线周期，提升了业务响应速度。

当安全与成本的顾虑被平台化解后，业务人员不再畏惧尝试新技术。低门槛的使用体验和丰富的模板库，鼓励更多非技术人员参与到 Agent 的创新中来。这种全员参与的文化氛围，将是企业在 AI 时代保持竞争力的核心源泉。

AgentRun 开放平台不仅仅是一个技术产品，它是 AgentRun 为企业量身打造的 AI 业务操作系统。它以 AgentRun 为坚实底座，以员工权限管理为核心纽带，巧妙地平衡了安全合规与敏捷创新之间的矛盾。

对于渴望在 AI 浪潮中乘风破浪的企业而言，选择一个具备完善治理能力的中台系统，比单纯追求模型的参数规模更为重要。AgentRun 开放平台所提供的隔离、权限、流程、角色分工、成本与安全六大核心价值，正是企业从“能用 Agent”迈向“能管好 Agent”，最终实现“用好 Agent”的必经之路。在未来，随着 AI 技术的进一步演进，这样一个具备高度弹性、安全性和可扩展性的中台系统，必将成为企业数字化基础设施中不可或缺的一部分。

了解更多：

• 阿里云 AgentRun 产品文档：https://help.aliyun.com/zh/functioncompute/fc/what-is-agentrun
• AgentRun 控制台：https://functionai.console.aliyun.com/cn-hangzhou/agent/runtime
• AgentRun 客户钉钉群群号：134570017218，如有技术问题或合作意向，欢迎联系我们。