无论从技术成熟度还是从业务需求度,2026年都将成为Agent大年。Agent不再仅仅是少数技术极客的玩具,而是具备一定生产力(尤其是对于那些高频低智场景)的“数字员工”。越来越多的企业,正在鼓励内部业务或职能部门,结合具体的业务场景探索专属Agent。而Agent制作本身的低代码、低技术门槛,使得“全员Agent”具备一定可能性。
但是,在此背景下,各种Agent的编排逻辑、工具接口及知识库等可能会暴露企业经营策略、业务逻辑、技术架构等核心商业秘密,同时Agent还可能被授予更高权限,去调取、处理公司内部系统(如ERP、CRM或EMAIL)中的敏感数据。为此,越来越多的企业放弃了Maas方式的Agent开发平台(Agent Infra的一部分),转而通过私有化部署以Dify为代表的自有Agent开发平台,从而建立企业的“专属AI堡垒”,以保护企业竞争优势,确保Agent行为可控、数据安全及业务连续性。当然,很多企业私有化部署Agent Infra,还有监管合规以及token成本等方面的考虑。
本文中,汇业律师事务所黄春林律师团队结合类似项目经验,简要分析私有化部署以Dify 为代表的Agent开发平台的主要法律实务问题,仅供参考。
一、关于Agent开发平台与法律定性
1. Agent开发平台的定义及行业实例
参照《信息技术 云计算 智能云服务通用要求》等,Agent开发平台,包括应用开发框架、模型仓库、提示词工程、记忆管理、外部组件、知识管理、应用管理等模块,通常可以通过可视化、语义化编排技术降低Agent开发门槛并提高开发效率,是典型的Agent Infra的一部分。典型的行业实例除开源的Dify外,还包括字节跳动的Coze(扣子)、AWS Agent Builder等。
2. Agent开发平台的多维法律定性
Agent开发平台(尤其是多租户服务模式)的法律定性呈现复合平台特征。首先,根据《电信业务分类目录》,Agent开发平台可能符合B11类“互联网应用开发环境、互联网应用部署和运行管理”的法律定性;提供Agent发布、分发服务的,甚至还可能符合B25类信息服务、应用分发平台的法律定性。其次,根据《互联网信息服务深度合成管理规定》,Agent开发平台还可能符合“深层合成技术服务提供者”的法律定性。最后,在网络安全法、数据安全法等语境下,还可能被认定为网络运营平台、数据处理平台甚至应用分发平台等。
3. Dify的不同版本与部署范式
Dify目前主要提供社区版与企业版。社区版通常遵循GitHub上的开源协议(Apache2.0+补充约束),基本只能满足测试、体验目的;企业版则为商用版本,相关限制更少,安全保障更好,生产能力更强一点。
在部署方式上,Dify同时提供Maas模式,用户可以直接登录dify.ai平台在线使用;Dify也提供前述开源版和企业版的容器镜像,允许企业私有化部署“专属AI堡垒”。
二、Agent与Agent开发平台的关系
1. Agent附属于Agent开发平台
Agent本身不是一个独立的文件或软件,而是附属于Agent开发平台,与Agent开发平台本体存储在同一个网络环境(例如VPC)。换句话说,例如用户在Dify界面上配置的Prompt、Workflow及变量设置等发布后,都会变成Dify数据库(PostgreSQL + Redis)里的逻辑记录。
通过Agent开发平台制作的Agent应用发布后,外部APP、小程序等,是通过Agent开发平台提供的API接口、前端网址等方式调用Agent,因此Agent运行过程高度依赖Dify等Agent开发平台。而且,Agent的数据库(例如存储历史会话记录)通常与Agent开发平台本体共用一个PostgreSQL数据库。也正是因为以上特点,从安全与合规的角度,企业级Agent开发平台必须要私有化部署。
2. 同一个Agent开发平台的不同租户、Agent之间无法绝对隔离
主要体现在如下几个方面:(1)不同租户共享同一套PostgreSQL和向量数据库,无法实现物理及数据库层面的硬隔离;(2)Dify平台没有业务Owner的概念,不同的Editor级别用户可能会相互查看、编辑甚至删除各自的Agent(包括其中的prompt和知识库);(3)不同的Agent共享同一个大模型及模型权重、知识库等。这进一步强化了企业甚至部门级私有化部署Agent开发平台的必要性。
3. 单Agent具有有限的独立性
Dify支持导出DSL文件,方便企业数字资产管理,同时也提高了企业部署Agent的灵活性,也降低了业务对Dify平台的依赖性。
此外,在标准的Dify部署中,不同Agent虽然都共用数据库,但Dify平台通过“Tenant ID”在代码层面实现了逻辑隔离。
三、法律意义上的私有化部署及实现路径
1.私有化部署的法律认定条件
在很多项目上,技术部门或供应商均宣称“私有化部署”,但实际上并非法律意义上的私有化部署。以Agent开发平台为例,是否属于私有化,具体项目中建议从以下四个核心维度进行实质审查:
环境私有性:运行环境须处于企业拥有控制权的物理或虚拟网络环境中,排斥非授权的外部访问及第三方共享,必要时还应当确保具有独立的网络资源(例如公网IP)。在当前行业认知中,一般认为专有云托管也满足环境私有性要件。
模型专属性:专属模型而非API远程调用,模型权重文件本地存储,能够自主决定模型设置、更新甚至替换,推理过程不依赖未受控的外部算力。仅Agent开发平台私有化部署,底层LLM通过共有API调用的,并非法律意义上的完整私有化部署。
运维自主性:企业保留对运行系统的完整最高权限,自主决定Dify的个性化配置、更新甚至替换,未经授权的第三方不应拥有隐蔽的后门或强制更新权。
数据隔离性:确保自主掌握LLM回传控制及Agent应用层相关数据库的管理密码,并在存储上与其他企业、实例数据有效隔离。
2.常见的私有化部署路径
结合类似项目经验,企业部署Agent开发平台的常见私有化路径包括:
本地设备、专属机房或自有数据中心部署,常见于金融行业、政企组织等强监管行业。
云上托管,通常包括裸金属、VPC及容器(例如ACK、VKE等)。Dify的开源版和商用版都支持Docker/Docker Compose/ K8s(企业级常用)类容器化私有部署。
但是,我们认为Serverless的瞬时触发与算力共享等特性,其在物理层面的数据漂移不可控,难以满足严格意义上的法律私有化部署要求。
四、私有化部署下多租户服务模式的
主要法律挑战
所谓多租户服务模式(Muti-tenant Service),是指企业利用私有化部署的Agent Infra(例如Dify)向多个租户(Dify将租户等同于Workspace)提供Agent开发及部署能力。实践中,常见的多租户服务模式包括,企业利用私有化部署的Agent Infra向公众、关联独立实体或上下游合作伙伴提供服务,此时,企业本身的地位与提供Maas模式的Dify平台、扣子平台等相类似。根据前述分析,多租户服务模式除了面临本节第五部分的合规义务外,还面临的特殊法律挑战包括但不限于:
(1)软件许可协议限制:例如Dify开源版本在协议中明确禁止利用开源代码直接构建商业化SaaS服务。若企业未经授权构建多租户(包括多Workspace)平台的,将面临严重的违约及侵权法律风险。
(2)电信业务准入:为多租户提供应用开发环境和应用分发,以及相关的MCP或工具调用服务,极易被认定为经营“互联网资源协作业务(IRCS)”“在线数据处理(EDI)”及“互联网信息服务(ICP)”等,从而触及增值电信业务牌照的准入门槛。
(3)不同租户的数据隔离:在多租户服务部署下,不同租户的配置、向量数据与知识库等资源可能仅实现逻辑隔离(例如使用RBAC机制),难以达到法律意义上的数据独立控制要求,一旦发生越权访问或配置错误,容易引发个人信息与商业数据混同风险,进而放大数据安全风险。也正是这个原因,企业才应必须放弃Maas模式的Agent开发平台,转而投身“私有AI堡垒”。因为,在Maas模式的Agent开发平台下,不同企业(平台租户)的资源可能只实现了逻辑隔离。
(4)算法备案或大模型备案:多租户模式下,平台为用户提供私有化部署的大模型仓库服务,若平台对相关大模型做了训练或微调的,其自身可能会被认定为向公众提供算法服务、生成式人工智能服务(尽管很多平台否认这一点),进而根据《互联网信息服务深度合成管理规定》《生成式人工智能服务管理暂行办法》等规定,须依法履行算法备案、大模型备案/登记等合规义务。
五、私有化部署下单租户服务模式的
主要合规责任
单租户服务模式,是指企业私有化部署的Dify仅向内部用户(例如内部业务部门或员工)提供Agent开发及部署能力,而向不同的内部用户单独私有化部署Dify实例。此时,企业除了需要遵守Dify许可协议相关条款,还需要承担的合规责任重点包括但不限于:
(1) 接入大模型及MCP、工具接口等合规:即使Dify平台是私有的,其后端接入的大模型必须是合规的,通常可以本地模型或境内合规的外部模型,例如DS、Qwen、豆包等,不能是境外的大模型;其次,提供给Agent调用的外部MCP、工具接口也必须符合中国法律规定;最后,除非经过严格审计,严禁将生产系统(例如CRM\\\\ERP等)等的系统接口开放给Agent。
(2) 网络安全合规:即便私有化Dify暂时不开展等保备案及测评工作,建议参照等保2.0的标准进行建设,通过配置Dify镜像相关参数及安全策略,包括PostgreSQL & Vector DB数据库加固与隔离,以及开启HTTPS强制加密、SSRF防御、RBAC权限控制,强化入侵检测与日志审计,等等。此外,还必须建立用户实名制,违法违规内容过滤机制等。
(3) 算法透明度与局限性告知:应当以显著的方式告知用户,或者面向内部员工开展培训,说明接入的大模型、算法的基本情况,以及Dify及Agent本身的局限性,以减少因算法依赖、AI幻觉、盲目跟风等导致的法律责任。
(4) Agent发布与使用合规审核:用户制作完成Agent后对外服务的,平台应当建立先审后用机制,确保Agent本身的安全性、合规性。评估维度可以参考我们之前的文章:汇业研究 | 企业上线AI Agent的主要安全风险与合规自评估清单
(5) 数据生命周期管理:重点解决知识库数据合规,向量化及用户历史会话存储、使用合规,记忆库及算法训练合规,不同用户、Agent业务数据隔离,以及通过MCP、工具接口调用系统数据的身份鉴别及权限管理。
(6) 出口管制:Dify虽然具有中国基因,但是由美国商业实体运营。因此,企业在中国基于某些特殊目的、特殊架构而下载、部署商业版Dify镜像的,还可能会触发美国出口管制相关政策;等等。
综上,私有化部署Agent Infra (例如Dify平台)是当前非常流行的话题,但并非合规的绝对“避风港”, 而是一种在特定条件下有助于风险可控、业务可信的技术安排。企业在部署Dify 类 Agent 开发平台时,仍需回到业务实质,结合部署方式、服务对象及数据流向,进行系统性的法律评估与合规设计,最终确保“专属AI堡垒”在合规的法律框架内运行。
最后,私有化部署具有生产能力的Agent Infra的投入不菲,在行动之前,企业/部门一定要充分评估相关技术成熟度和业务需求度,充分评估内部人员的技术素养,不要让高价私有化部署的Agent Infra成为“炫技”的摆设。毕竟,员工指望Agent帮忙干活后“躺赢”,企业期待部署Agent后变成“一人公司”的美好愿望,在短期内应该还不现实。
2026年,企业AgentInfra建设应当行稳致远。Agent Infra或许成不了企业的生命线,但决不能成了企业的斩杀线。
声明:本文来自网数与人工智能法律实务,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
