如何管控 AI 代理无序扩张：Gartner 六步框架企业实战指南

什么是 AI 代理无序扩张？

AI 代理无序扩张（AI Agent Sprawl）指企业内部 AI 代理的不受控增殖，代理部署速度远超组织治理、安全审核乃至清单管理的能力。当一个代理在没有指定负责人、没有书面权限记录、没有安全审查，或在原有使用场景结束后仍持续运行时，即构成无序扩张的典型问题。

2026 年 4 月 28 日，Gartner 发布研究成果，提出管控 AI 代理无序扩张的六个步骤，并预测到 2028 年，财富 500 强企业平均将管理逾 15 万个 AI 代理，而 2025 年这一数字不足 15 个。这一轨迹带来了企业 IT 前所未有的治理挑战。

 

2026 年 AI 代理无序扩张问题有多严峻？

根据 2026 年数据，普通企业目前已部署 37 个 AI 代理，Gartner 指出超过 80% 正在使用 AI 代理的财富 500 强企业完全没有管理策略。部署速度与治理成熟度之间的落差，是问题的核心所在。

安全后果已可量化。Gravitee 2026 年调查显示，88% 的组织报告了已确认或疑似的 AI 安全事故，只有 14.4% 的企业对现有 AI 部署取得完整安全审批，仅 24.4% 对代理间通讯拥有完全可见性。

问题根源在于结构性矛盾。大多数代理由业务部门使用低代码平台构建，部署门槛已大幅降低，但与之匹配的治理基础设施在大多数组织中尚未跟上。

Writer.com 2026 年企业 AI 采用报告访问了 2,400 名全球领导者，发现 75% 的高管承认其 AI 策略"更多是对外展示，而非实质指引"。这一现象在代理管控问题上尤为突出。

 

Gartner 管控 AI 代理无序扩张的六个步骤

以下是 Gartner 2026 年 4 月 28 日发布的六步框架，每一步针对企业代理管控中的特定失败模式。

第一步：建立代理治理政策。制定清晰规则，明确代理的构建条件、创建与共享的授权人员，以及允许使用的连接器。在明确政策之前，各部门将采用各自的标准，治理失控由此而来。

第二步：建立集中式代理清单。使用 AI 信任、风险与安全管理（AI TRiSM）工具，发现并分类组织内所有代理，包括影子 AI 代理。Gartner 数据显示，大多数企业实际运行的代理数量远超 IT 团队的认知，清单发现是最关键的治理第一步。

第三步：定义代理身份、权限与生命周期。管理每个代理的身份、权限模型及访问控制，建立正式的审查与退役流程。Strata Identity 2026 年研究指出，仅 23% 的企业拥有正式的代理身份管理策略。

第四步：建立 AI 信息治理。管控每个代理可访问的信息范围，确保有流程使数据保持最新、管理权限以防止过度共享，并在代理不再需要数据时将其归档。

第五步：监控并修正代理行为。建立代理使用情况的持续可见性，确保合规性，检测异常行为，并纠正超出预定范围或风险承受度的代理。这需要超越静态策略文件的实时监控工具。

第六步：培育负责任的 AI 使用文化。为员工提供培训计划及最佳实践社群，推动代理管理知识在组织内传播。没有文化采纳的治理框架在用户层面必然失效。

 

AI 代理无序扩张为何如此迅速？

三种结构性动态加速了企业中的代理扩张。

低代码民主化。Microsoft Copilot Studio、Salesforce Agentforce 等平台让非技术业务用户能在数小时内创建并部署功能完整的代理。创建代理的门槛大幅降低，但治理门槛并未同步下降。

部门自主性缺乏集中可见性。各业务部门各自构建代理，通常不通知 IT，直到出现问题。每个代理代表新的数据连接和凭证分配，安全团队在运行清单扫描之前完全不可见。

缺乏正式退役流程。为特定项目构建的代理很少被主动停用，在使用场景结束后仍持续持有数据访问权并按计划执行操作。Gartner 预测，到 2028 年，大量的 15 万个代理将是没有活跃负责人的遗留代理。

 

无管控 AI 代理的真实风险

代理无序扩张带来四类具体的组织风险。

数据外泄与未授权访问。持有宽泛或不明确数据访问权限的代理，尤其是以共享人类凭证配置的代理，代表着高权限访问账户，鲜少被纳入常规访问审查，一旦被攻破后果严峻。

合规失败。无法提供 AI 代理完整清单、数据访问文件或政策控制措施的组织，将难以满足监管审计要求。个人数据保护法规对在无书面治理记录情况下处理个人数据的代理有明确约束。

代理冲突导致运营事故。只有 24.4% 的组织对代理间通讯拥有完全可见性，意味着大多数组织无法在代理冲突影响运营之前检测或诊断问题。

声誉与法律责任。当无管控代理的决策损害客户或合作方时，组织需要能够证明负责任的治理已到位，这需要当前大多数组织无法提供的代理身份、权限及合规文件。懂AI，更懂你。

 

准备好管控你的 AI 代理环境了吗？

大多数企业低估了组织内已在运行的 AI 代理数量。UD 团队手把手带你完成每一步——从代理清单评估、政策设计，到部署治理与持续监控。懂AI的冷，更懂你的难——UD 同行 28 年，让科技成为有温度的陪伴。