一份 Trust Center 页面清单,用来说明 AI Agent 的边界、数据使用、安全控制和人工审核机制。
为什么 Trust Center 重要
很多团队发布 AI Agent 时太晚解释信任问题。他们有产品页、演示、价格页,也许有安全问卷回答,但没有一个清晰页面说明 Agent 如何行为、使用什么数据、能调用哪些工具、哪里保留人工。早期 AI Agent 的 Trust Center 不需要很庞大,但应回答认真买家和谨慎用户在采用前会问的问题。
说明 Agent 做什么
先用普通语言说明 Agent 的工作。不要只说“用 AI 自动化工作流”。要说明支持哪些工作流、面向哪些用户、产出什么结果。如果是网站助手,就说明它回答已批准站点内容的问题并引导用户到资源。
说明 Agent 不做什么
好的 Trust Center 会写清边界:Agent 不做哪些决定、不能采取哪些动作、哪些地方必须有人参与。清楚写限制能降低不现实期待,也能保护团队不承诺超过系统安全能力的内容。
描述数据来源
用户和买家想知道 Agent 使用什么数据。页面应区分公开文档、客户提供数据、内部记录、上传文件、知识库文章、日志和第三方系统,并说明是实时检索、使用索引数据、保存会话历史,还是记住用户上下文。
描述工具权限
如果 Agent 能调用工具,Trust Center 应说明工具边界:能访问哪些系统、只读还是可写、是否能发送消息、触发流程或创建工单,哪些动作需要确认或人工审批,哪些动作不可能。
解释人工审核
人工审核要讲具体。买家需要知道什么时候有人参与、谁能批准动作、审批如何记录、Agent 不确定时怎么处理。不要只写“human in the loop”,而要说明高影响动作、低置信输出、敏感数据或账号变更是否需要人工。
总结安全控制
页面应总结买家关心的控制:认证、授权、租户隔离、日志、限流、prompt injection 测试、数据保留、事故响应和供应商评审。不需要公开秘密或攻击细节,但要具体说明控制存在且被复查。
说明数据保留和训练使用
两个问题会反复出现:数据保留多久,客户数据是否用于训练。Trust Center 应回答这两个问题。如果会话日志用于支持或质量复查,要说明;如果可删除,要说明路径;如果客户数据不用于训练基础模型,也应明确写出。
提供联系和升级路径
Trust Center 不应是死路。要提供联系邮箱、安全联系、支持路径或审计请求路径。如果客户看到不安全回答或有数据疑虑,应该知道找谁。企业买家需要问卷、样例审计报告或技术评审时,也应有明确下一步。
保持页面更新
过期 Trust Center 可能比没有更糟。添加最后更新时间,并在新工具、新模型、新数据源、新保留行为、新审批策略或新客户群上线后复查。保持更新后,它会同时成为销售资产、客服参考和内部上线清单。
如何使用这份资源
把这篇文章当作工作评审辅助,而不是法律认证、正式渗透测试或安全保证。真正有用的下一步,是把每个部分转成可复查的证据:trace、策略、测试样例、负责人、阈值和上线决策。
相关 IBBS 资源
可复制的分享文案
AI Agent Trust Center 页面清单:一份 Trust Center 页面清单,用来说明 AI Agent 的边界、数据使用、安全控制和人工审核机制。 阅读链接:https://ibbs.ai/zh/2026/07/08/ai-agent-trust-center-page-checklist-cn/
如果需要更完整的评审,可以先做 AI Agent 就绪度自评,或查看 样例审计报告。