当人类员工访问不应访问的文件、将数据发送到未授权的端点或产生意外的云费用时,组织已有成熟的系统来检测和响应。但当AI代理做同样的事情时——行业分析师预测到2026年底,40%的企业应用将使用特定任务的AI代理——大多数组织都在盲目应对。Codenotary已推出AgentMon来填补这一空白,该产品揭示了一个行业一直不愿承认的真相:部署AI代理而不监控其行为是一种操作疏忽。
AI代理监控问题
传统的应用性能监控(APM)工具是为确定性软件世界设计的。你为代码添加检测,通过微服务追踪请求,测量延迟,并根据错误率发出警报。经过良好测试的应用行为是可预测的——相同的输入产生相同的输出,偏差则表明存在错误。
AI代理完全打破了这一模式。它们的行为本质上是非确定性的。相同的提示可能会产生不同的行动。与外部工具(文件系统、数据库、API、网页浏览器)交互的代理可能会采取开发者未曾预料到的路径。一个被要求总结客户反馈的代理可能会决定访问计费数据库以获取额外上下文。一个编写代码的代理可能会安装包含已知漏洞的npm包。一个管理云资源的代理可能会配置昂贵的GPU实例,因为其成本优化推理凭空想象了一个不存在的折扣。
这些并非理论上的担忧。在生产环境中运行AI代理的组织已经遇到了数据泄露问题,代理在发送到第三方API的输出中包含敏感信息;成本超支问题,代理在没有预算意识的情况下做出资源分配决策;以及安全策略违规问题,代理通过以意外方式链接工具调用来绕过访问控制。
AgentMon的功能
Codenotary AgentMon位于AI代理和它们所访问的资源之间,监控三个主要维度:行为模式、文件和数据访问以及资源消耗。该平台使用自己的AI模型为每个代理建立行为基线,然后标记可能表明问题的偏差——一个通常每个任务读取三个文件的代理突然读取三十个文件,一个通常生成文本的代理突然对外部服务进行API调用,或者一个令牌消耗激增一个数量级的代理。
文件访问监控对于关注数据治理的企业尤为重要。AgentMon 追踪每个代理访问的文件、数据库和 API 端点,创建与现有数据分类政策相对应的审计跟踪。如果代理访问被分类为包含 PII 或财务数据的文件,安全团队会收到警报,并能审查该访问是否适合代理正在执行的任务。
资源消耗跟踪解决了成本维度问题。每个任务进行多次 LLM 调用的 AI 代理,每次消耗数千个 token,可能会产生惊人的云账单。AgentMon 提供按代理和按任务的成本归属,使组织能够识别低效的代理行为,并设置预算限制,在达到支出阈值时停止代理执行。
超越传统 APM
AgentMon 和类似工具的出现——几家初创公司和开源项目正在解决相关问题——标志着一个新的基础设施类别的诞生:AI 代理可观测性。这在几个重要方面与传统 APM 不同。首先,观测的单位不是请求或事务,而是任务,任务可能跨越数分钟或数小时,包含多次 LLM 调用、工具调用和决策点。其次,正确行为的定义是概率性的,而非确定性的——你不能简单断言输出应该等于特定值。第三,安全模型必须考虑自主决定访问哪些资源的代理,而不是遵循硬编码路径。
对于安全团队而言,AI 代理可观测性填补了一个关键空白。传统的 SIEM 和 SOAR 平台可以检测人类用户和常规软件的未授权访问。但是,访问敏感文件的 AI 代理在技术上使用其分配的服务账户凭据和平台团队授予的权限运行。即使在任务层面不适当,访问在基础设施层面也是被授权的。AgentMon 引入了任务级别的访问控制推理——不仅询问代理是否有权限,还要考虑给定代理被要求执行的任务,该访问是否有意义。
组织挑战
仅靠技术无法解决 AI 代理监控问题。部署代理的组织需要制定新的治理框架,定义可接受的代理行为,建立异常操作的升级程序,并为代理决策分配责任。当 AI 代理删除生产数据时,谁应负责——构建代理的开发人员、授予权限的平台团队,还是批准部署的经理?
这些问题并不新鲜——它们反映了其他领域关于自主系统的辩论——但 AI 代理的采用速度超过了管理它所需的治理框架。公司部署 AI 代理到生产环境的速度比制定监控它们的政策更快,造成了一个风险差距,像 AgentMon 这样的工具可以帮助缩小这一差距,但无法单独消除。
安全团队现在应该做什么
对于已经运行或计划部署 AI 代理的组织而言,行动项目是具体的。首先,清点您环境中所有的 AI 代理,包括它们的权限、数据访问模式和外部服务连接。其次,在扩展代理部署之前实施行为监控——无论是通过 AgentMon、竞争产品还是定制解决方案。第三,建立成本护栏,防止因代理行为循环导致的失控支出。第四,将代理监控集成到现有的安全运营工作流程中,使异常的代理行为能够与异常的人类行为一样得到事件响应处理。
2026 年 40% 的采用率预测可能被证明过于乐观或保守,但方向是明确的。AI 代理将成为企业软件架构的标准组成部分。监控它们的行为不是可选的附加功能——而是负责任部署的先决条件。Codenotary AgentMon 是将成为一个拥挤且重要的市场类别的早期进入者。