很多公司想把客服、帳號復原、內部 IT 支援或例行營運交給 AI。這裡的 AI agent,指的是會自己連續執行多步驟的 AI:它不只回答問題,還可能查資料、呼叫工具、改設定、發送連結,甚至幫使用者完成一段流程。
問題不是 AI 一定會「亂做」。更常見的風險,是它很聽話地照流程做了不該做的事。
Stack Overflow Blog 在 6 月 15 日的一篇文章中,用一個帳號支援情境說明這種風險:攻擊者不一定需要破解密碼,只要能說服有權限的支援流程替他改資料、補上新信箱或送出重設連結,就可能把原本屬於別人的帳號帶走。文章把這連到資安裡的「confused deputy」問題:有權限的代理人,被權限較低的人說服,替對方做了不該做的事。
對一般團隊來說,這個提醒比單一事件更重要。很多流程過去其實靠人類在中間判斷:客服看到請求不對勁會停一下;IT 同事看到要求太奇怪會多問一句;主管看到例外狀況會拒絕。把 AI agent 放進同一個位置後,如果這些判斷沒有寫成清楚規則,AI 可能只看到「下一步可以做」,看不到「這一步其實不該替這個人做」。
先找出哪些關卡原本靠人心裡判斷
導入 AI agent 前,不要先問「它可以自動化幾成」。先問:這個流程裡,哪些地方以前其實靠人類感覺不對、暫停、拒絕或升級?
常見例子包括:
- 客服替使用者改帳號信箱、電話、收件地址或付款資料。
- IT 支援替同事重設密碼、開權限、加入群組或產生存取憑證。
- 業務或營運系統替客戶更改方案、退款、折扣或資料匯出。
- 內部流程替某個人送出核准、例外申請或刪除資料請求。
這些事情看起來都是「照流程辦理」,但流程裡常常有一段沒有被寫下來:這個人是不是本人?他為什麼現在要改?這個變更會不會讓第三方拿到帳號?過去有沒有異常紀錄?如果要求來自陌生裝置、陌生地區或新聯絡方式,能不能直接做?
人類客服可能會把這些訊號放在腦中一起判斷。AI agent 如果只收到一句「請幫我把信箱改成這個」,又剛好有工具權限,就可能把自然語言請求翻成工具操作。真正危險的地方,不是 AI 會不會聊天,而是工具呼叫前沒有重新確認身份和授權。
用四格表檢查:身份、權限、理由、後果
把 AI agent 接到任何會改資料、改帳號、發送重設連結或觸發付款的流程前,可以先用下面這張表檢查。
| 檢查點 | 要問的問題 | 如果答案不清楚 |
|---|---|---|
| 身份 | 請求者是誰?系統如何確認他就是本人或有代理資格? | 不讓 AI 直接執行,先走人工確認 |
| 權限 | 這個人能不能要求這種變更?權限是系統帶入,不是他自己說的嗎? | 不接受單靠文字說明的請求 |
| 理由 | 這個變更是否符合正常情境?有沒有異常時間、地點、裝置或歷史紀錄? | 要求補充證據或升級給負責人 |
| 後果 | 做錯後會造成什麼?帳號被拿走、資料外流、金錢損失,還是只是文字回覆錯誤? | 只允許低風險步驟自動化 |
這張表的重點,是把「AI 能呼叫工具」和「AI 可以替這個人做這件事」分開。工具權限是系統能力;授權判斷是流程責任。兩者混在一起時,AI agent 會變成一個很有禮貌、很有效率、但可能替錯人開門的櫃檯。
什麼請求一定要停下來
不是所有客服或內部流程都不能自動化。查詢訂單狀態、整理常見問題、提醒缺少文件、把資料格式化,通常風險較低。真正要小心的是「做完後很難復原,或會把權限交出去」的請求。
下面幾類請求,不適合讓 AI agent 直接一路做完:
- 更改登入信箱、電話、備援信箱或多因素驗證方式。
- 產生密碼重設、付款、退款、刪除資料或資料匯出連結。
- 新增管理員、提高權限、加入敏感群組或發放 API key。
- 修改客戶方案、合約條件、帳單地址或付款方式。
- 任何請求理由只靠一句話,卻會影響帳號控制權、公司資料或金錢。
API key 是讓程式存取服務的鑰匙;如果發錯給不該拿的人,對方可能讀取資料、執行操作或產生成本。多因素驗證則是登入時除了密碼以外的第二道確認,例如驗證 App 或簡訊。這些項目一旦被改掉,帳號真正的主人可能反而進不去。
所以,AI agent 可以做的不是「完全拒絕幫忙」,而是把流程改成:先收集資料、先比對規則、先標出異常,再把高風險請求交給負責這件事的人確認。
最小可用做法:讓 AI 收件,不讓 AI 放行
如果團隊剛開始把 AI agent 放進客服或營運流程,可以先採取比較保守的設計:讓 AI 處理收件、分類、補資料與草擬回覆,但不要讓它直接完成高風險變更。
一個最小可用流程可以這樣設計:
- AI 先判斷請求類型:查詢、一般修改、敏感修改、帳號復原、付款或權限。
- 系統自動帶入請求人身份、登入狀態、既有權限與異常訊號,不讓 AI 只靠使用者口頭說明。
- 低風險請求可以自動回覆或排入處理。
- 中風險請求要留下摘要、證據與建議下一步,由人按確認。
- 高風險請求直接暫停,交給人工流程,不讓 AI 發送重設連結或更改權限。
這不是反對 AI 自動化,而是避免把「收件效率」誤認成「放行資格」。AI 很適合整理訊息、找缺漏、提醒下一步;但只要下一步會改到帳號控制權、敏感資料、付款或權限,就要有明確的人工關卡。
用日常來理解
- 很多請求同時進來時,AI 可以先幫忙收件與分類,不必讓人逐封整理。
- 只要牽涉帳號控制權、付款、資料或權限,就不能把「說得像本人」當成已授權。
- AI 可以整理證據與缺漏,但身份、權限、理由與後果要有清楚規則,也要有人能確認。
- 低風險請求可以快速通過;高風險請求先停在門口,交給負責人決定。
導入前先問三個問題
如果你正在評估客服 AI、IT 支援 agent、內部流程 agent 或任何會幫人改資料的自動化工具,先問三個問題:
- 這個 agent 每一步工具操作前,是否都帶著請求者身份與權限,而不是只帶著一句文字?
- 系統有沒有明確寫出哪些請求要拒絕、暫停或交給人,而不是讓 AI 自己判斷?
- 如果 AI 做錯,能不能查到是哪個請求、哪個工具、哪個規則、哪個人最後放行?
如果三題有任何一題答不出來,就先不要把高風險動作交給 AI。可以從低風險的整理與草擬開始,等身份、授權、拒絕與追蹤規則都寫清楚,再逐步放大範圍。
AI agent 的價值,是讓流程更快、更不漏訊息;它不該取代原本用來保護帳號、資料與金錢的判斷。把那些「以前靠人覺得不對勁」的瞬間寫成規則,才是導入客服與營運 agent 前最重要的一步。
AI 整理卡
依這篇情境,請 AI 幫你整理
複製到你自己的 AI 聊天工具,讓它把這篇微課轉成你的個人版檢查清單。BMC 不會看到你貼給 AI 的內容。
參考來源
- Stack Overflow Blog:AI agents expose the security checks you never actually wrote — https://stackoverflow.blog/2026/06/15/ai-agents-expose-the-security-checks-you-never-actually-wrote/
- Help Net Security:Omada Agent Governance helps organizations manage AI agent access, risk, and compliance — https://www.helpnetsecurity.com/2026/06/15/omada-agent-governance/
- SANS:Your AI Agent Is an Easily Confused Deputy — https://www.sans.org/blog/your-ai-agent-easily-confused-deputy-why-cloud-security-needs-credential-broker
- OWASP:Top 10 for Agentic Applications 2026(ASI03 Identity & Privilege Abuse)— https://genai.owasp.org/resource/owasp-top-10-for-agentic-applications-for-2026/
