周一早上,运营群里有人 @了运营 Agent:「帮我看看上周退款率为什么涨了」。
Agent 开始干活。它先查了 AI 表格里的退款明细,又调了客服工单系统的投诉分类,接着跑了一段 SQL 算出各渠道的退款占比,最后生成一份带趋势图的分析报告发到群里。整个过程 40 分钟,中间还主动追问了一句:「要不要把退款金额 > 500 的单独拉出来?」
报告质量不错。但安全团队事后审计时发现了三个问题:
- Agent 查退款明细时,用的是 @它那个人的 App Token——这个人恰好是运营总监,有全量数据权限。群里其他人没有这个权限,但他们都看到了报告。
- Agent 调工单系统时,用的是一个 写死在环境变量里的 API Key,这个 Key 的权限范围是
read:all,理论上 Agent 可以读任何人的工单。 - 日志里只记了「运营总监访问了退款表」, 没有记录是 Agent 在执行。
这是一个典型场景,我在不同企业里见过不同程度的版本。
在 Claude Tag 的 Agent Identity:为什么这是 Agent 时代的 OAuth 中,我讨论了 Agent 为什么需要自己的身份。这篇接着往下走: 当 Agent 进入钉钉群,权限、凭证、审计这套架构具体怎么设计?
