先知道有什么

企业治理 AI,第一步常被说成制定政策。实际更早的一步是资产清单。组织要先知道环境里到底有哪些 Agent、模型、插件、工作流和自动化脚本。

IBM 提到 AI sprawl,正是这个问题。AI 工具越容易创建,越容易绕过正式流程。试点、原型和部门工具堆起来,很快会变成看不见的风险面。

看不见,就谈不上治理。

清单要记录责任

一个有效清单不能只列名字。它要记录 owner、业务用途、接入系统、权限范围、数据类型、模型来源、成本账户、上线时间和失效日期。

这些字段看似琐碎,决定事故发生时能不能追责。没有 owner 的 Agent,最后会变成所有人都用、没人负责的系统。

Agent 365 这类 registry 叙事,正是在补这个组织缺口。

清单连接安全和成本

安全团队需要清单来判断权限和数据风险。财务团队需要清单来归集成本。法务和合规团队需要清单来确认数据处理边界。业务团队需要清单来知道哪些自动化仍然有效。

如果这些信息散在各部门,治理会变成会议。清单把治理变成可执行对象。

这也是 AI governance 最容易被低估的基础设施。

没有清单就没有规模化

企业可以在没有清单的情况下做几个 AI 原型,但不能在没有清单的情况下规模化。规模化意味着更多人、更高权限、更多数据和更长期运行。

Agent 越像工作负载,越需要像工作负载一样登记和管理。资产清单不是官僚流程,而是让 AI 真正进入组织的入口。