AI Agent 平台的資安怎麼看？企業選型的五層檢查表：從模型、資料到治理

一個只會回答問題的機器人答錯了，頂多是一句廢話；一個會自己跨系統做事的 Agent 出錯，可能是一筆真的被改掉的資料、一封真的被寄出的信。能力越大，資安的份量就越重。這篇提出一張五層檢查表，幫企業在選平台時，把「它管不管得住」看清楚。

我們團隊發現，大家都在問同一個沒被講清楚的問題

我們團隊跟企業主管聊 AI Agent 時，資安幾乎是每場必到的議題，但問法都很模糊：「這東西安不安全？」這個問題很難一句回答，因為 AI Agent 的資安不是單一開關，而是一條從模型、資料、行動到治理層層疊上去的鏈。任何一層破了，前面做得再好都白費。

更麻煩的是，多數廠商 Demo 只秀「它能做多少事」，很少有人主動講「它做事的時候，哪裡可能出包、你能不能管」。於是企業常常被功能吸引而簽約，上線後才發現權限設不細、行為查不到、出事煞不住。把資安拆成五層來看，能讓這個模糊的問題變成一張可以逐項打勾的檢查表。

先認清一件事：Agent 的風險跟一般軟體不一樣

傳統軟體照著寫死的規則跑，你知道它每一步會做什麼；AI Agent 會自己判斷、自己拆解、自己決定下一步，這讓它強大，也讓它難以預測。這份不可預測性，正是它的資安風險來源。

OWASP 在 2025 年版的「LLM 應用十大風險」裡，把這些風險講得很具體：提示詞注入（Prompt Injection）讓惡意輸入誘導 Agent 做不該做的事、敏感資訊外洩（Sensitive Information Disclosure）讓它吐出不該吐的資料，而「過度代理權」（Excessive Agency）更直指 Agent 被授權太多、能動到不該動的系統。同樣地，NIST 的 AI 風險管理框架（AI RMF）把風險治理拆成治理（Govern）、映射（Map）、量測（Measure）、管理（Manage）四個功能，核心精神也是：一個會自主行動的系統，必須被持續地看著與約束。把這些權威框架翻成企業選型語言，就是下面這五層：OWASP 對應的是攻擊面，NIST 對應的是治理流程，兩者合起來剛好覆蓋這條鏈。

AI Agent 平台的五層檢查表

評估一個平台的資安與成熟度，建議從這五層由下往上問。前四層決定它跑得起來，最上面那層決定它跑起來之後管不管得住。

第 1 層 Model（模型）

問題很簡單：它支不支援多個模型，能不能自由切換？把整套系統綁死在單一模型，意味著成本與彈性都被綁住，模型一漲價、一出事，你沒有退路。能接多模型的平台，給的是議價與風險分散的空間，也讓你在某個模型的資料處理政策有疑慮時，能換得掉。

第 2 層 Knowledge（知識與資料）

這層問的是：Agent 碰得到哪些資料，這些資料的權限、更新、來源管不管得好？這通常比模型本身更重要，因為 Agent 的回答品質，直接取決於它讀到的資料乾不乾淨、完不完整。一個讀到錯誤或過期資料的 Agent，會用很有自信的口吻講錯話。

第 3 層 Action（行動）

Agent 能不能真正執行任務，例如呼叫 API、寫入系統、發送訊息？只會回答問題的 Agent，仍比較接近聊天機器人。但一旦它能動手做事，資安的份量就立刻變重，因為它的每一個動作都可能造成真實後果。

第 4 層 Orchestration（編排）

這層問的是：它支不支援多 Agent 協作、條件分支、失敗重試、以及人工介入（human-in-the-loop）？複雜任務很少一步到位，能在關鍵處停下來等人確認，是把風險關在可控範圍的重要設計。

第 5 層 Governance（治理）

這是資安的最後一道、也是最關鍵的一層。它問的是：平台有沒有身份與權限控管、稽核日誌、行為監控、成本控制、資料外洩防護？企業最終的選型差異，往往不出現在 Demo，而出現在這一層。因為治理才是讓 Agent 從一個試用品，變成敢放上正式環境的關鍵。

為什麼治理是必考題，不是加分題

把五層走完，會發現越往上，資安的重量越重，而 Governance 是唯一一層「沒做就不能上線」的。

回到 Gartner 預測四成 agentic AI 專案會在 2027 年底前被取消，風險控管不足是失敗主因之一。原因就在自主性：一個會自己做決定的系統，如果沒有治理在旁邊看著，企業等於把方向盤交出去卻沒裝煞車。這也是為什麼越完整的企業平台，越會把治理做進核心。

巨頭生態系在這層投入最深。Gemini Enterprise 的 Agent Platform 把治理列為四階段之一，提供代理的集中註冊與盤點、身份與權限管理、稽核日誌，以及防止惡意提示詞與資料外洩的防護機制；Microsoft 的 Foundry Agent Service（屬開發與部署層，與面向員工的 Copilot Studio 分工不同）則以企業身份（Entra Agent ID）與私有網路選項管控代理的存取。這些設計回應的，都是同一個問題：讓公司知道有哪些 Agent 在跑、各自被授權做什麼、做過什麼。這個「行為要能被掌控」的判斷，跟 選 CDP AI Agent 前該問的四個關鍵問題 其實是同一套思路。

治理的前提，是你先掌握得住自己的資料

五層檢查表裡，第 2 層 Knowledge 常被當成技術細節快速帶過，但它其實是治理的地基。權限要設得精細，前提是資料本身先被歸戶、結構化、貼上清楚的標籤。資料一團亂，再強的治理工具也無從管起。

這正是台灣零售品牌容易卡關的地方。當會員資料線上一套、門市一套、各品牌一套，彼此對不起來，你連「這個 Agent 碰到的是哪一筆客人資料」都說不清，遑論替它設權限。很多品牌在談 AI 時跳過這層，結果就像 把 AI 行銷的失敗歸咎於模型，其實卡點在數據品質。

談到資料的資安，91APP 作為台灣上市的零售雲端軟體公司，在意的是兩件事：第一方數據的自主，以及資料的可控。CDMP 在零售場景做的，是把品牌散在官網、App、門市 POS 的會員資料歸戶到單一會員 ID、串成統一身份，依消費行為貼上結構化標籤。對資安來說，這代表品牌的第一方數據維持自主、可控，有清楚的身份與權限，而不是一團分不清來源、誰都能讀的原始資料。資料底座先乾淨，第 5 層的治理才設得出來。這也是為什麼我們一直強調，AI 算算力，但資料的定義與品質要由企業自己掌握。

企業要握住 AI Agent 的資安，先做這幾件事

資安不是買了哪個平台就自動到手，它是一套企業要自己建立的紀律。導入時建議同步做這幾件。

1. 把五層檢查表變成選型問卷：每評估一個平台，就逐層問模型、資料、行動、編排、治理，特別把治理那層問到細（建議週期：選型階段就完成）。
2. 權限與護欄設成預設值：每個 Agent 上線前，先定義它能存取哪些資料、能動用哪些工具、回應要過哪些護欄，而不是先開放再補救（建議週期：每個 Agent 上線前）。
3. 從低風險、可回復的任務起步：先讓 Agent 做查詢、摘要這類出錯成本低的工作，把寫入與對外動作留到治理成熟後再開（建議週期：首兩個月）。
4. 留好稽核與煞車機制：確保每個 Agent 的行為都被記錄，出事時有明確的人能介入、能停用（建議週期：與首個 Agent 同步建立）。
5. 先理乾淨第一方資料底座：權限與治理的精細度，取決於資料是否被歸戶、結構化、貼標，這部分可由 CDMP 這類平台承接（建議週期：與選型同步啟動）。

資安是組織的能力，不是 Demo 的承諾

回到主管那句「這東西安不安全」。這個問題的答案，不在任何一場 Demo 裡，而在企業願不願意把五層檢查表一路問到底、把治理的紀律建起來。AI Agent 能替公司做的事會越來越多，企業要守住的那條線，是無論它做得多自動，公司永遠知道它在做什麼、也隨時叫得停。平台給的是工具，真正讓資安成立的，是組織自己握住的那份掌控權，以及它腳下那份乾淨、自主、管得住的資料。

品牌最常問的 AI Agent 資安問題

Q1：評估 AI Agent 平台的資安，該看哪些層面？ A1：建議用五層檢查表由下往上看：Model（能否多模型切換）、Knowledge（資料權限與品質）、Action（執行能力的風險）、Orchestration（能否人工介入與重試）、Governance（身份權限、稽核、防護）。前四層決定它跑得起來，治理那層決定它跑起來之後管不管得住，是資安的最後一道防線。

Q2：AI Agent 的資安風險跟一般軟體有什麼不同？ A2：差別在自主性。傳統軟體照寫死的規則跑，行為可預測；AI Agent 會自己判斷、決定下一步，行為難以預測。OWASP 2025 年的 LLM 十大風險點出提示詞注入、敏感資訊外洩、過度代理權等問題，都是因為 Agent 會自己做事，一旦被誘導或授權過多，後果是真實的。

Q3：為什麼治理對 AI Agent 特別重要？ A3：因為它會自己做決定。一個會自主行動的系統若沒有治理在旁監看，等於把方向盤交出去卻沒裝煞車。Gartner 預測四成 agentic AI 專案會在 2027 年底前被取消，風險控管不足正是主因之一。治理提供集中盤點、權限控管、稽核日誌與防護機制，是讓 Agent 敢上正式環境的前提。

Q4：導入 AI Agent 前，資料面的資安要先準備什麼？ A4：要先把資料盤點清楚並結構化。權限要設得精細，前提是資料先被歸戶、貼標、有清楚身份與來源。對零售品牌來說，會員與訂單資料若散在官網、App、門市且對不起來，連 Agent 碰到的是哪筆資料都說不清，資安與治理就無從設起。第一方數據的自主與可控，是這一層的核心。

Q5：怎麼避免 AI Agent 把敏感資料外洩出去？ A5：靠多層防護。在治理層設定資料外洩防護政策與精細權限，限制每個 Agent 能存取的資料範圍；在資料層確保第一方數據被歸戶、貼上權限標籤，讓 Agent 只讀得到該讀的；並留完整稽核日誌，記錄它讀過、做過什麼。OWASP 也建議對輸出做適當處理，避免敏感資訊隨回應外流。

Q6：治理會不會拖慢 AI 導入的速度？ A6：短期看像多一道工，長期看它是讓 AI 敢放大的前提。沒有治理，Agent 只能停在小範圍試用，不敢上正式環境；有了治理，企業才敢把它擴展到全公司。治理的作用，是讓企業能在可稽核、可介入的前提下，安心擴大 Agent 的使用範圍。

延伸閱讀

1. 選 CDP AI Agent 前，先問這 4 個問題：不然你買的只是一個會聊天的介面
2. 破解 CDP 的 AI 神話：從 MCP 報表到自動化腳本的隱藏陷阱
3. Agentic Commerce 的資料困局：為什麼 CDP 升級成 CDMP 是零售品牌的下一步
4. Gemini Enterprise Agent Platform 是什麼？當 AI 會自己做事，企業怎麼把掌控權握在手上
5. AI Agent 平台怎麼比較？2026 四大陣營全解：開發框架、低程式碼、巨頭生態系與桌面代理
6. 企業導入 AI Agent 平台怎麼選？依雲端棧、誰來建、預算的決策指南
7. 你的 AI agent 為什麼老是出錯？問題根源在數據

想把 AI Agent 的資料權限與資安基礎理清楚，歡迎與我們的數據顧問團隊聊聊。