Agent 安全的隐藏层：为什么我们为企业客户引入 Golf

AI agents 正在快速成熟。从最初简单的“带工具的聊天机器人”，如今正演进为分布式系统：它们会响应、推理、委派工作，并与其他服务通信。在 AgentX，我们的许多企业客户已经在多个工作区中运行着数十个私有 MCP servers、数百个 tools，以及每天数千次的 tool calls。

而有意思的是：
随着 agents 的复杂度提升，风险的性质也会随之改变。

我们注意到，传统的安全层——API gateways、WAFs、access tokens——并不能完全理解在 agent 驱动的工作流内部到底发生了什么。它们看得到网络调用，却看不到意图。它们看得到 JSON，却看不到 tool 语义。它们看得到 tokens，却看不到 MCP 资源边界。

这就是为什么我们将 Golf——一个专为 Model Context Protocol 构建的 firewall——引入我们的 Enterprise offering。

而这篇文章不只是功能发布——它试图解释 AI 世界正在发生的一次转变，以及为什么需要一种新类型的安全层。

Agents 不只是“调用 API”——它们会决定下一步做什么。

在大多数软件系统中，行为是可预测的：

1. 客户端发送请求

2. 服务器执行动作

3. 完成

但在 agents 的世界里，这个模型会失效。一次 agent turn 可能包含：

• 解读非结构化文本

• 决定使用哪个 tool

• 使用该 tool

• 读取结果

• 再做一次决策

• 把结果传递给另一个 agent

从安全角度看，这带来了一个新问题：意图是动态的，而不是硬编码的。

一个 agent 可能会突然决定去调用：

• 一个它很少使用的 tool

• 一个在当前上下文中本不应使用的 tool

• 或者一个会暴露敏感数据的 tool

这并不意味着 agent 是恶意的——而是 AI 系统具有概率性，需要一种不同类型的监督方式。

真正的优势：你从未拥有过的可见性

问任何一个在规模化部署 agents 的企业，最让他们害怕的是什么，答案很少是“模型质量”。

而是不知道。

不知道：

• agents 最常使用哪些 tools

• 你的敏感资源在哪里被访问

• 你的 prompt 指令是否被绕过

• 哪些工作流表现得不可预测

• 一个被攻破的 token 可能会如何扩散

借助 Golf 和 AgentX，你将获得一个全新的可观测性维度：

一张结构化的地图，展示 agents 如何与你的内部 tools 与系统交互。

这带来的远不止可见性。
一旦你能看见系统，你就能治理它、优化它、并保护它——而当 Golf 直接集成到面向 Enterprise customers 的 AgentX 中时，你默认就能获得这种清晰度。

这出乎意料地强大。

安全不再只是阻断——而是理解

这就是我们采用 Golf 的哲学原因。

企业不再只是部署一个聊天机器人——他们正在部署agent 生态系统，每个 agent 都有不同的能力、角色与 tools。禁止它们做事并不是答案。引导它们、观察它们、并控制边界才是。

Golf 与这个新世界完美契合，因为它与 agents 的行为方式一致：

它在同一层级上与 agents 对话。

那么，对 AgentX Enterprise customers 来说有什么变化？

这不是一个炫目的产品发布——而是一次基础性的转变。有了 Golf：

• 每一次 MCP tool call 都会在具备协议级理解的前提下被校验。

• 敏感环境获得可见性，而不再是黑箱。

• 工作区变得更安全，但不会变得更受限。

• agents 仍然可以灵活行动——但会在合理的护栏之内。

这是一种支持 agent 行为、而不是与之对抗的安全方式。

为高要求的企业团队打造

如果你只是在试验一个 agent，你可能暂时还感受不到这个需求。
但当你在运行会触达内部系统、客户数据或基础设施的 autonomous workflows 时，一个具备协议感知能力的 firewall 就不再只是“锦上添花”。

它会成为我们多年前就应该构建的缺失层。

我们加入 Golf，是因为企业 AI 的未来不只是强大——它还需要在规模化条件下可理解、可治理、且安全。

而这就是迈向那个未来的 一步。

— AgentX 团队