先说个让做企业 IT 的人睡不着的场景:
你公司这季度接了 3 个 AI agent,跑得挺好。下个月业务部门自己又接了十几个,研发塞进去几十个,外加各种工具自带的。等你回过神,公司里同时跑着上百个 agent——而你说不清其中哪个能读财务库,哪个能往客户邮箱发东西,哪个被人塞一句话就被牵着走。
6 月 2 日这天,两家公司几乎同一时间动手堵这个窟窿。一家是微软,开源了一套管束 agent 的标准;一家是安全公司 Noma,推出了给 agent “上户口”的产品。做的不是同一件事,盯的是同一个洞。
微软:给 agent 套一根能跨平台带走的”缰绳”
微软这套东西叫 Agent Control Specification,缩写 ACS,开源。
它的思路不是写死在某个框架里,而是做成一份可以随 agent 搬走的策略文件。开发、合规、安全三拨人各自把规矩写进去:这个 agent 能干什么、绝对不能干什么、哪些动作得人来点头、哪些操作要留证据日志。
具体怎么拦?ACS 在 agent 干活的四个节点上插桩——
- 收到输入之前
- 调用工具之前
- 拿到工具返回结果之后
- 把答案吐给用户之前
每个节点都能选:放行、拦截、把敏感内容打码,或者卡住等人批。还能挂上分类器、用大模型当裁判、加逻辑校验来盯工具调用和输出。
最值得说的是它的覆盖面。ACS 以 SDK 形式发布,配了一堆插件,能接上 LangChain、AutoGen、CrewAI、Semantic Kernel、微软自家的 Microsoft.Extensions.AI,还有 MCP 工具——连竞争对手 OpenAI 的 Agents SDK 和 Anthropic 的 Agents SDK 都在支持名单里。
微软想解决的痛点很直白:现在企业管 agent 靠的是系统提示词、写死的代码检查、几个分类器,东一块西一块,既难审计又没法复用。ACS 想把这套护栏标准化、做成能跟着 agent 走的东西,免得换个框架就得重写一遍。
Noma:你管不住你看不见的东西
同一天,安全公司 Noma 上线的 Agent Access Control,走的是另一条路——不是给开发者定标准,是给安全团队一双眼睛。
它分两层。
第一层是登记和门禁。系统自动给公司里每一个 agent、每一台 MCP server 建一份实时更新的清单,给每个 agent 一个独立身份,然后用三档状态管理:通过、待审、拉黑。控制还能细到 MCP server 里的单个工具。说白了就是先给所有 agent 上户口,再决定谁能进哪扇门。
第二层是运行时盯防。它监控整段 agent 会话的行为,专门抓三类动作:prompt 注入、数据外泄、越权操作。
Noma 的 CEO Niv Braun 把为什么要分两层讲得挺清楚:
“Knowing what each agent is authorized to do is the foundation. But agents are also influenced by everything they encounter at runtime: the prompts they receive, the tools they call, the data they retrieve.”
讲人话就是——知道每个 agent 被授权干什么,这只是地基。但 agent 在跑的过程中,会被它碰到的一切影响:收到的提示词、调的工具、取回的数据。一句被人精心塞进去的话,就能把一个本来权限合法的 agent 拐去干坏事。
所以光有门禁不够,还得有人一直盯着。他还有句话点得很到位:“Security teams can’t govern what they can’t see.” ——看不见,就别谈管理。
两条路,堵的是同一个临界点
把这两家放一起看就有意思了。
| 微软 ACS | Noma Agent Access Control | |
|---|---|---|
| 立场 | 开发侧 | 安全侧 |
| 形态 | 开源标准 + SDK | 商业产品 |
| 管什么 | 事前定规矩,跨框架可移植 | 事中盯行为,实时拦异常 |
| 核心动作 | 在四个节点插桩拦截 | 上户口 + 运行时监控 |
一个负责”事前把规矩写明白”,一个负责”事中看着别越界”。不冲突,反而像一套组合拳的两半。
它们为什么挤在同一天出手?因为问题到临界点了。
企业用 agent,从去年”试着跑几个”到现在”一口气跑几十上百个”,速度远远甩开了治理工具的进化。原来给单个聊天机器人设计的那套安全办法,根本兜不住一群会自己调工具、自己取数据、还能互相触发的 agent。工具被滥用、一个出错引发连锁崩盘——这些原来停留在 PPT 上的风险,现在是 IT 部门每天要面对的事。
谁在这波里真赚到钱
去年这个圈子比的是:谁家的 agent 更能干、能跑多少步、能不能自己写代码自己改。
今年风向开始变。当公司里真的跑起几百个 agent,老板第一个问题不再是”它够不够聪明”,而是”它会不会捅娄子、捅了我能不能查到是谁”。
微软用开源标准卡住开发这一端,安全公司用产品守住运行这一端——同一天动手,本身就是个信号:agent 能干活,只是入场券;能管住 agent,才是企业敢大规模用的前提。
所以这波 AI agent 热潮里,最先稳稳赚到钱的,未必是做 agent 的那几家,而是做”管 agent”的。这门生意,6 月 2 日才刚开张。
参考来源:Microsoft offers devs a better way to control AI agent behavior(TechCrunch);Noma Launches Agentic Access Control to Govern AI Agents and MCP Servers Across the Enterprise(PR Newswire)