2026年5月16日

AI Agent 的权限分级:数字员工不能一上来就拥有全部权限

这篇文章以万象片场的自动发布流程为例,拆解如何给 AI Agent 设计权限分级:先观察,再建议,再执行,最后才进入有限自动化。

AI自动化数字员工Agent实战权限边界
电脑屏幕上的工作流程与权限控制界面,象征 AI Agent 数字员工的分级授权和安全边界

在设计 AI Agent 工作流时,很多人最容易犯的错误,是把“能自动做”直接理解成“应该全自动做”。一旦 Agent 能写文章、改文件、登录网页、提交代码、部署网站,就会自然产生一种冲动:既然它能做,那就全部交给它。

但在「万象片场」的内容系统里,我越来越明确一件事:数字员工不是权限越大越好,而是权限越清楚越可靠。 一个没有权限分级的 Agent,看起来像效率工具,实际上更像一个没有培训就拿到所有后台账号的新员工。

这篇文章不讨论抽象的 AI 安全,而是从真实内容生产和博客发布流程出发,拆解我会如何给 AI Agent 设计权限分级。

一、为什么 Agent 不能一开始就全自动

自动化最诱人的地方,是它可以把重复工作交出去。比如每天早上,Agent 可以读取计划文件、检查已有文章、写 Markdown、启动本地预览、运行构建、部署到 Cloudflare Pages,再把代码提交到 GitHub。

这条链路如果跑通,看起来非常适合全自动。但问题在于,链路越长,出错点越多:

  • 主题可能和历史文章重复;
  • 文章可能偏离品牌定位;
  • 图片链接可能失效;
  • 构建可能通过,但页面排版不理想;
  • 部署可能成功,但线上缓存仍然是旧内容;
  • Git 提交可能混入不相关文件;
  • 某些平台操作可能涉及账号资料、公开发布或付费行为。

如果这些动作都在同一个“全自动”权限里,Agent 一旦判断失误,就会把错误从本地一路推到线上。真正可靠的做法,是把权限拆成不同等级,让它先证明自己能做好低风险动作,再逐步进入高风险动作。

二、第一层权限:只读观察

数字员工的第一层权限应该是“只读”。也就是:它可以读取信息、整理状态、输出判断,但不能修改文件、不能发布、不能提交。

在万象片场的博客流程里,只读权限包括:

  1. 读取内容计划文件,确认今天的槽位和主题方向;
  2. 扫描 src/content/posts/,列出已经发布的标题;
  3. 查看 Git 工作区状态,判断是否有未提交变更;
  4. 打开线上页面,确认当前首页和文章列表;
  5. 检查内容体系文件,理解品牌定位和平台分工。

这一层看似“不干活”,但它非常重要。因为很多自动化错误不是执行能力不足,而是执行前没有看清楚现场。只读观察让 Agent 先像编辑助理一样熟悉通告单、素材库和当前进度,而不是一上来就开机拍摄。

三、第二层权限:建议与草稿

第二层权限是“可以生成方案,但不直接发布”。这适合内容选题、文章大纲、社媒切片、页面改版建议、SEO 标题优化等工作。

例如 Agent 可以做这些事:

  • 根据已有文章,推荐下一个不重复选题;
  • 生成文章标题、摘要和小标题;
  • 写出 Markdown 草稿;
  • 提醒某个主题可以沉淀成 SOP 或模板;
  • 给出小红书笔记的钩子,但不直接发布。

这一层的核心价值是把“思考成本”降下来,但仍然保留人工或流程验收。对刚开始接入的 Agent,我会先让它长期停留在这一层,观察它是否稳定理解品牌、是否会重复、是否会编造不存在的案例。

对于万象片场来说,草稿权限尤其适合新平台:比如微信公众号还没有完全完成定位切换,就应该先生成草稿,而不是直接群发。因为账号名称、历史受众和内容方向之间存在认知风险,不能只因为技术上能发,就跳过确认。

四、第三层权限:限定范围内执行

当 Agent 在只读和草稿阶段表现稳定后,可以进入第三层:限定范围内执行。

“限定范围”有三个关键条件:

  1. 限定目录:只能操作指定项目,例如博客只允许写入 /Users/william/projects/cloudflare-blog
  2. 限定动作:只能做写文章、预览、构建、部署、提交这类已授权流程;
  3. 限定主题:必须服务 AI 自动化、数字员工、Agent 实战和内容系统主线。

这也是目前万象片场博客自动发布代理所在的权限层级。它不是无边界地控制电脑,而是在一条明确 SOP 里工作:写 Markdown、检查本地页面、构建、部署、线上验证、Git 同步。只要本地预览、标题、图片和文章页正常,就可以按既有授权直接发布。

这种权限不是“信任 AI 不会错”,而是把错误限制在可观察、可回滚、可验证的范围内。

五、第四层权限:高风险动作必须人工确认

有些动作即使 Agent 技术上能做,也不应该默认自动做。比如:

  • 修改账号名称、头像、简介;
  • 删除历史内容;
  • 私信、评论、拉黑或互动;
  • 投放广告、付费加热、购买服务;
  • 替换已有线上产品或域名;
  • 发布涉及法律、金融、医疗等高风险承诺的内容;
  • 在不清楚归属的项目里批量改文件。

这些动作的共同点是:一旦出错,影响的不只是一个页面,而是账号信任、品牌识别、资金成本或用户关系。所以它们应该被写进“必须确认”的边界里。

数字员工真正成熟的标志,不是它什么都敢做,而是它知道什么时候该停下来。

六、我会用这张清单检查 Agent 权限

如果要把权限分级变成一张可复用清单,我会这样问:

  • 这个动作是只读、草稿、执行,还是高风险操作?
  • 它会不会影响公开页面、账号资料、资金或用户关系?
  • 出错以后是否容易回滚?
  • 是否有明确的项目路径和文件范围?
  • 是否有构建、预览、浏览器检查等验收步骤?
  • 是否会混入无关变更?
  • 是否已经得到过明确授权?
  • 是否需要在最终报告里留下记录?

只要其中任何一项说不清楚,Agent 就不应该升级权限。自动化不是用来赌运气的,而是用来稳定交付的。

结尾:权限分级是数字员工的管理制度

我现在更愿意把 AI Agent 看成万象片场里的不同岗位:有的负责观察和整理,有的负责写草稿,有的负责发布博客,有的未来可能负责小红书切片、公众号周报或主站导航更新。每个岗位都应该有自己的权限,而不是共享一个“万能通行证”。

当权限分级清楚以后,AI 自动化才会从炫技变成生产系统。它不再只是一个会执行命令的模型,而是一个知道输入、边界、流程和验收标准的数字员工。

下一步,我会继续把万象片场的自动化流程拆成更细的岗位:哪些只读,哪些可草稿,哪些可自动执行,哪些必须人工确认。等这套权限制度稳定下来,博客、小红书、公众号和未来的轻产品,都可以在同一套安全边界下协同运转。