数据访问是很多 AI Agent 风险变成真实事故的地方。模型答错可能只是烦人;但如果模型同时拥有广泛客户数据、写权限和持久记忆,错误就可能变成事故。
列出每个数据源
包括应用数据库、上传文件、CRM 记录、支持工单、日志、向量索引、临时文件、记忆存储和第三方 API。团队常常忘记,检索上下文本身也是数据访问。
区分读取、写入和记忆
Agent 可能可以读取文档,但不能写入记录。它可以在一个会话中使用上下文,但不能写入记忆。读取、写入、检索和记忆要当作不同权限处理。
检查租户和角色边界
安全的 Agent 不应该依赖 prompt 指令来遵守租户边界。用户角色、账号范围和对象级授权应该在模型路径之外强制执行。
评审暴露路径
询问敏感数据可能从哪里离开系统:聊天输出、工具参数、日志、分析工具、邮件通知、导出报告和客服截图。日志也可能变成第二条泄露路径。
定义删除和保留规则
决定 prompt、trace、检索片段、上传文件、embedding 和生成报告保留多久。上线评审不应该把保留规则留给实现细节。
快速清单
- 添加新工具前先盘点数据源。
- 拆分读取、写入和记忆权限。
- 在服务端强制执行租户边界。
- 尽可能在日志中脱敏敏感数据。
- 记录数据保留和删除行为。
如何使用这份内容
把这篇文章当作工作评审辅助,而不是合规证书。准备把 AI Agent 推向生产环境的团队,应该把它和 trace、测试样例、策略决策以及每个未解决风险的负责人结合起来使用。
相关 IBBS 资源
可复制的分享文案
AI Agent 数据访问评审模板:一份实用模板,用来评审 AI Agent 在上线前可以读取、写入、记忆、检索和暴露哪些数据。 阅读链接:https://ibbs.ai/zh/2026/07/07/ai-agent-data-access-review-template-cn/
如果你的团队正在准备让 AI Agent 进入生产环境,可以先做 AI Agent 就绪度自评,或查看 样例审计报告。