智能体正式进入监管周期：中国开始为Agent时代建立治理底座

2026 年 5 月 8 日由国家网信办、国家发改委、工信部联合印发了《智能体规范应用与创新发展实施意见》。

这篇文件可以理解为：国家层面对“智能体 Agent”第一次做系统性产业部署和治理框架铺底。它不是单纯讲“发展 AI 应用”，也不是单纯讲“监管 AI 风险”，而是把智能体作为一种新的 AI 产品形态，纳入技术底座、标准协议、安全治理、应用场景、产业生态、评价监测这一整套体系里。

下面我将从“政策信号—监管框架—产业机会—安全产品机会”几个层面拆解，重点看它背后的监管逻辑和商业含义。

1. 最核心的信号：监管对象从“大模型”延伸到“智能体”

过去几年，监管和产业讨论的核心对象主要是“大模型服务”。重点是模型是否备案、生成内容是否合规、是否存在幻觉、是否输出违法不良信息。

但这篇文件把对象换成了“智能体”。文件开头直接定义，智能体是具备“自主感知、记忆、决策、交互与执行能力”的智能系统，是人工智能产品及服务的重要形态。这个定义非常关键，因为它把智能体和普通聊天机器人区分开了：智能体不只是生成文本，而是可以理解任务、调用工具、保留记忆、做出决策、执行操作。

所以，这篇文件背后的监管逻辑是：当 AI 从“说话”走向“做事”，治理对象就必须从内容治理升级为行为治理。

以前的大模型风险主要是“说错话”“生成不合规内容”“泄露隐私”“输出虚假信息”。但智能体的风险更进一步，它可能调用 API、操作账户、访问数据库、控制设备、触发交易、发起传播、影响现实流程。也就是说，风险不再只发生在输出端，而是发生在感知、记忆、规划、工具调用、权限执行和多智能体协同的整个链路里。

2. 文件的基本框架：发展和治理同时推进

这篇文件表面上分为“夯实发展基础、守牢安全底线、强化应用牵引、建设创新生态、保障措施”几个部分。真正的主线其实是三句话：

第一，国家希望智能体尽快形成产业生态；

第二，智能体不能野蛮生长，必须有标准、有身份、有权限、有评测、有追溯；

第三，重点行业和敏感场景会走更强监管，低风险场景则更多依靠自测、平台管理和行业自律。

文件提出的基本原则是“安全可控、规范有序、创新驱动、应用牵引”，其中“安全可控”放在第一位，并且明确把智能体“安全、可靠、可信”作为发展底线，贯穿研发、部署、推广全过程。

这意味着后续智能体产业不是只看能力强不强，而是要看能不能被管理、被审计、被追责、被评估。

这和国家网信办答记者问中的表述是一致的：官方明确提到，智能体的高自主性、高权限特性会带来隐私泄露、越权操作、行为失控等安全风险，因此需要统筹发展与安全。

3. 最值得关注的一点：权限边界被正式写进政策框架

文件中“明确决策权限”这一条非常重要。它提出要厘清三类边界：仅限用户本人决策、需由用户授权决策、智能体自主决策，并且要求用户对智能体自主决策享有知情权和最终决策权，智能体执行操作不得超出用户授权范围。

这句话其实对应 Agent 安全里的一个核心问题：Agent 到底能不能替人做决定？能替人做到什么程度？

在真实产品里，这会落到很多具体问题上。比如，智能体能不能自动下单？能不能自动支付？能不能自动删除文件？能不能自动给客户发邮件？能不能自动提交政务材料？能不能自动审核贷款？能不能自动调度生产设备？

这篇文件没有直接给出每个场景的答案，但它给了一个监管分层逻辑：有些事情只能用户本人决定，有些事情必须经过授权，有些事情可以让智能体自主完成。未来产品设计里，权限管理会从普通的“账号权限”变成更细的“任务权限、工具权限、场景权限、风险权限、最终确认权限”。

所以，对智能体产品来说，最重要的设计不再只是 prompt，也不是简单的内容安全过滤，而是权限控制平面。谁授权、授权什么、持续多久、是否可撤销、是否需要二次确认、是否可审计，都会变成核心能力。

4. “行为围栏”是比“内容护栏”更高一层的监管语言

文件提出要发展“规则内嵌、行为围栏”等技术，确保智能体在公共场所、隐私场所、专门场所等行为合法合规，并探索在重要场景建立行为可验证、可追溯机制。

这里的“行为围栏”比过去常说的“内容护栏”范围更大。内容护栏主要管输入输出，判断一段文本、一张图、一个回答是否合规；行为围栏则要管智能体的中间过程，包括任务规划是否越界、工具调用是否合理、是否访问了不该访问的数据、是否把不可信内容写入记忆、是否把用户隐私发给第三方、是否在没有授权的情况下执行高风险动作。

这也是 Agent 安全和传统大模型安全最大的差异。传统大模型安全更像“回答安全”，Agent 安全更像“运行安全”。它不仅要判断模型说了什么，还要判断它为什么这么做、调用了什么、访问了什么、执行了什么、后果是什么。

5. 智能体安全被拆成了三层：内生安全、供应链安全、应用衍生风险

文件在“防范安全风险”部分写得非常具体。

第一层是内生安全，包括数据安全、个人信息保护、密码防护、攻击检测、权限管理、行为控制，防范数据投毒、隐私泄露、算法篡改、系统漏洞、运行失控等风险。

第二层是供应链安全，覆盖开发、部署、应用、维护全周期，尤其点名模型接入、API 调用、扩展工具使用等环节。

第三层是应用衍生风险，要防止智能体被用于自动化攻击、隐私侵犯、虚假信息生成传播、网络诈骗等违法犯罪行为。

这三个层次基本覆盖了 Agent 安全的主干。

“内生安全”管的是智能体系统自身是否安全，比如模型、记忆、权限、行为控制、运行时是否可靠；

“供应链安全”管的是智能体接入的外部组件是否可信，比如模型供应商、插件、工具、API、MCP 服务、第三方数据源；

“应用衍生风险”管的是智能体被用于现实世界后产生的新型滥用，比如自动化诈骗、自动化攻击、批量生成虚假内容、批量操控账号。

这对 AI 安全公司很关键，因为它意味着智能体安全产品不能只做一个“文本审核接口”。未来会需要智能体运行时监控、工具调用防火墙、Agent 权限管理、记忆安全检测、供应链风险扫描、插件安全审计、行为日志追踪、自动化红队评测、合规报告生成等一整套能力。

6. 分类分级治理会成为后续落地的主线

文件提出要根据应用场景和潜在影响开展智能体分级治理。

对敏感领域和重点行业，由网信部门联合行业主管部门确定开放场景，并实行备案、检测、问题产品召回等管理措施；

对生活娱乐、日常办公等低风险领域，则通过合规自测、信息报告、分发平台管理、行业自律等方式治理。

这里可以看出监管思路不是“一刀切”。高风险行业会更像强监管，低风险场景会更像平台治理和企业自律。

这对企业产品规划有直接影响。

一个日常办公 Agent，可能重点是用户授权、隐私保护、日志审计和企业内控；

但如果是金融风控 Agent、医疗诊疗辅助 Agent、政务审批 Agent、司法辅助 Agent、公共安全 Agent，那就大概率需要更严格的备案、检测、认证、审计、召回和责任划分。

也就是说，未来智能体产品的市场准入成本会和场景风险强绑定。越靠近金融、医疗、政务、司法、公共安全、交通、能源等重点领域，越不能只讲模型能力，而必须讲安全架构、合规流程、测试报告、第三方评测和可追溯能力。

7. AIP 和“智能互联网”是非常值得关注的基础设施信号

文件在标准协议部分提到，要建立智能体标准体系，布局关键技术、重要产品、数据交换、应用场景、质量评测、安全保障、可信认证等标准，并加强智能体互联协议 AIP 等关键标准推广。

更重要的是，文件还提出“布局发展智能互联网”，探索建立智能体注册平台，提供数字身份管理、检索发现、能力声明等服务，并研究身份标识、可信互联、合规支付、安全防护、冲突解决等基础技术。

这部分信息量很大。

它说明国家层面并不只是把智能体看成一个个孤立应用，而是在构想一种新的智能体网络生态：每个智能体有身份、有能力声明、有开发者信息、有部署方式、有接口协议、有合规认证信息，并且智能体之间可以互联、协作、支付、冲突解决。

这有点像互联网早期从网页、域名、协议、搜索、认证逐渐形成生态。但智能体互联网更复杂，因为智能体不是静态网页，而是可以代表用户行动的执行主体。它一旦互联，就会涉及身份可信、权限委托、跨系统调用、责任归属、支付合规、行为审计、攻击传播等问题。

所以，AIP、智能体注册平台、数字身份和能力声明，可能会成为后续智能体生态治理的关键抓手。谁掌握注册、认证、检索、分发、风控和审计能力，谁就可能掌握智能体生态里的基础设施位置。

8. 19 个典型场景说明：智能体会优先进入高价值、高复杂度、高监管行业

文件把应用场景分成科学研究、产业发展、提振消费、民生福祉、社会治理几个方向，并提出 19 个典型场景。

这里面不只是客服、办公、导购这类轻量场景，也包括智能制造、能源资源、交通运输、金融服务、医疗健康、政务服务、司法服务、公共安全、城市治理、招标投标等高价值场景。

其中金融服务部分直接提到金融风控智能体，用于信贷审批、交易监控、账户安全、异常检测、合规审计、反洗钱监测等能力。 公共安全、政务、司法、城市治理、招标投标等场景也被明确列入社会治理方向。

这说明国家希望智能体不只是消费级小助手，而是进入真正能提升生产效率、治理效率和公共服务效率的行业流程。

但这些场景越关键，风险也越高。比如金融智能体如果权限失控，可能影响资金安全；医疗智能体如果推理错误，可能影响诊疗决策；司法智能体如果证据理解错误，可能影响案件处理；招投标智能体如果被操纵，可能影响公平竞争。因此，这些场景会天然需要更强的安全评估、合规审计和责任划分。

9. 对 AI 安全行业的直接机会

这篇文件对 AI 安全行业最大的利好，是它明确写入了“安全检测、评估、监测、认证、合规服务、行为管控、供应链安全、风险预警”等需求。

文件提出要健全合规服务体系，强化风险监测预警、检测评估、咨询、认证等专业服务供给，开展功能、性能、质量、合规等第三方评测服务，并推动认证与检测结果互通互认。

这意味着智能体安全会形成几个产品方向。

第一是智能体安全评测。不只是测模型回答是否安全，而是测任务规划、工具调用、权限控制、记忆污染、越权访问、数据泄露、异常行为、供应链风险。

第二是智能体运行时防护。包括行为围栏、工具调用拦截、高危操作二次确认、敏感数据脱敏、异常链路阻断、风险动作回滚。

第三是智能体供应链安全。包括模型接入风险、API 调用风险、MCP/插件/工具风险、第三方知识库风险、开源框架风险、组件漏洞风险。

第四是智能体合规审计。包括日志留存、行为追踪、责任归因、合规报告、备案材料、第三方检测报告、成熟度评估。

第五是智能体平台治理。未来如果有智能体软件商店、行业供需平台、注册平台，那么分发前检测、上架审核、信用评价、投诉召回、风险预警都会成为平台基础能力。文件也明确提出推动建立智能体软件商店和行业供需信息发布平台。

10. 对企业的启示：做 Agent 不能只堆能力，要先设计“可控性”

如果企业现在要做智能体产品，不能只问“模型够不够强”“工具够不够多”“能不能自动完成任务”。更应该先问几个问题：

这个智能体有没有清晰身份？有没有能力声明？有没有权限边界？有没有用户授权机制？有没有高风险动作确认？有没有日志和审计？有没有异常检测？有没有供应链管理？有没有退出、召回、恢复机制？

这篇文件会让智能体产品从“能力竞争”进入“可信竞争”。谁能证明自己的智能体安全、可靠、可信，谁才更容易进入金融、政务、医疗、交通、公共安全等重点场景。

尤其对 ToB 和 ToG 客户来说，后续采购智能体产品时，可能不会只看演示效果，而会看是否符合标准、是否通过检测、是否具备审计能力、是否支持分级授权、是否能出合规报告、是否有问题产品召回和风险处置机制。

11. 写在最后

这篇文件的深层意义是：智能体正式从技术热点进入政策治理周期。

它释放了三个非常明确的信号。

第一个信号是，国家认可智能体会成为 AI 产品和服务的重要形态，不会因为风险高就压制发展，而是希望通过场景开放、标准建设、开源生态、软件商店、产业平台来推动落地。

第二个信号是，智能体安全的核心不再是单纯内容安全，而是权限安全、行为安全、供应链安全、运行时安全和应用衍生风险治理。

第三个信号是，智能体产业未来会出现基础设施化趋势。AIP、智能互联网、智能体注册平台、数字身份、能力声明、合规认证、检测互认，这些东西一旦成型，智能体就不再只是一个 App 或一个助手，而会变成可以被发现、调用、认证、协作和治理的数字主体。

中国开始为 Agent 时代建立治理底座。

声明：本文来自模安局，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。