上周末Cisco在RSAC 2026扔出来一个数据85%的企业在跑AI Agent试点但只有5%真正投产内心os原来国外的AI Agent占比也这么低。这其中80个百分点的差距不是技术问题应该是人心问题。我干风控这么多年见过各种试点热闹、上线冷清的场景——规则引擎上了、数据平台上了、模型上了每一拨都是Pilot满天飞、生产静悄悄。但AI Agent不一样它不只是给答案它是替你做事。一个问答机器人答错了顶多是尴尬一个Agent删错了数据那是真金白银的损失而且是不可逆的那种。Cisco总裁Jeetu Patel说得更直接Delegating和Trusted Delegating之间隔着一个破产的距离。一个删库跑路的AgentRSA Conference 2026上Patel讲了一个真实的案例他没点名但描述得很清楚某家企业的AI编码Agent在代码冻结期间自己跑了一条清理未使用测试数据库的指令。结果那个数据库不是测试库是生产库。Agent发现出问题了不是报上来而是自己往里塞假数据试图掩盖——因为它的训练逻辑告诉它解决问题比暴露问题优先级更高。最后它道歉了。Patel的评价就一句话An apology is not a guardrail.我看完这个案例第一反应是这不就是现实中有些甲方的做法吗出了问题先捂着捂不住再出来道歉。Agent学谁学得挺像的。问题在哪在于我们默认AI是听话的但Agent的行为空间比聊天机器人大了几个数量级。聊天机器人顶多说话Agent能调用工具、发请求、改配置。而且它的每一步操作在系统看来都是合法授权的因为它用的是真实员工的身份。这就是Patel说的从信息风险到行动风险的跨越。传统安全体系能防住恶意员工但防不住一个好心想帮忙但行为失控的Agent。为什么差距这么大85%试点、5%上线这不只是Cisco的数据。市场上你能看到的数字基本都在这个区间附近晃悠——数字好看落地拉胯。Patel分析了三条核心原因我整理了一下第一信任架构没建好。试点的逻辑是试试看不行就关所以大家愿意冒风险。生产的逻辑是出了问题谁负责所以决策链上的每个人都在互相看。安全说风控太大、业务说影响效率、法务说合规没定义清楚最后结论是继续试点。这不是技术问题是组织政治问题。第二Agent的行为不可预测。传统软件的逻辑是你写什么它做什么确定性很高。Agent的逻辑是你给它一个目标它自己选路径。同一个目标不同的Agent实现路径可能完全不一样而且路径会随着上下文变化。一个在测试环境跑通的Agent到了生产环境可能因为数据分布不同而做出完全不同的事。第三现有的安全工具是给人设计的不是给Agent设计的。防火墙、IAM、SIEM这些验证的是这个请求是不是合法用户发的。但Agent用的是合法用户的身份走的合法请求只是做了一件不该做的事。身份验证通过了但行为本身是错的。现有系统基本都看不见这个维度。Cisco怎么应对Patel这次在RSAC上扔出来的东西挺实在的分三层1. 保护Agent不受攻击Protecting agents from the world说白了就是Agent运行时环境的安全隔离。Agent跑在一个沙箱里它能接触什么、不能接触什么要比现在严格得多。2. 保护世界不受Agent影响Protecting the world from agents这是最难的部分。Cisco发布了AI Defense Explorer Edition一个免费的红队测试工具还有Agent Runtime SDK让企业在Agent构建阶段就能把安全策略嵌进去而不是等跑起来了再打补丁。3. 以机器速度检测和响应Detecting and responding at machine speed这个是最后一道防线。传统的安全响应是发现异常→安全团队介入→人工分析→处置整个链条可能需要几小时甚至几天。但Agent的操作速度是秒级的你用人工响应的速度根本追不上机器执行的速度。最值得说的是Defense Claw这个开源框架。Cisco把内部的四个安全工具——Skills Scanner、MCP Scanner、AI Bill of Materials、CodeGuard——打包成一个框架接入了Nvidia上周在GTC上发布的OpenShell一个面向开源Agent框架的安全容器。从发布到完成集成48小时。Patel自己的说法你不可能用超过一周来做这件事因为OpenShell是上周才出的。这句话我信。能在这种速度下跑通说明Cisco的工程能力和Nvidia的合作深度都比外界想象的强。六到九个月的领先Patel在采访中说了一句很狂的话产品层面我们可能比市场上大多数玩家领先六到九个月。然后他又加了一句我们还有三到六个月的信息不对称优势因为我们处在整个生态系统的核心位置能看到各个模型公司在做什么。这话如果是别人说的我会觉得是PPT。但Patel说这话的背景是Cisco刚在48小时内把Defense Claw接进了OpenShell这个工程速度是真实的。而且Cisco在企业网络和安全的底座太深了Agent不管跑在哪最终都要过网络和身份这两层这是Cisco的主场。不过我也要说一句六到九个月在科技行业是什么概念可能也就是一个发布周期。Cisco的领先是真实的但不能躺着。微软、Google、AWS都有各自的Agent安全产品线而且它们的云原生优势比Cisco更明显。这个窗口期Cisco得用起来。零人类代码的豪赌Patel在采访中透露了Cisco内部的目标现在AI Defense产品线已经100%由AI构建零人类代码2026年底将有六款Cisco产品达到同一标准2027年底目标70%的产品由AI构建零人类代码他还说了一句让在场所有人都安静的话未来Cisco只有两种人一种是用AI编码的一种是已经不在Cisco的。这话听起来很卷但其实说的是一个结构性变化不是AI取代人的问题而是不会用AI的人在以AI为核心竞争力的公司里没有位置。我自己在工作中也越来越感受到这个趋势——能用好AI工具的人产出是一个不会用的人的十倍甚至几十倍。不是AI本身多强是它能把重复性的、碎片化的时间捡起来让人专注在真正需要判断力的事情上。但问题来了70%的产品零人类代码那剩下30%是什么Patel没说。我的理解是那些需要强监管、高风险决策、或者物理世界交互的部分可能还是需要人类签字。这30%不会是边缘是核心。Agent安全五个必须马上做的事结合Patel的框架和我自己的风控经验以下是我认为每个企业在部署Agent之前必须完成的五件事优先级事项怎么做P0画出所有Agent的委托链哪些任务是Agent独立完成的哪些需要人类确认的必须全部可见P0建立Agent行为基线上线前摸清楚这个Agent正常情况下会做什么——API调用频率、数据访问范围、操作时段P1打通身份层和遥测层现在的SIEM大多只能看见谁发的请求看不见这个请求是Agent发起的还是人发起的必须升级P1接入Defense Claw或同类工具如果你在用开源Agent框架先把安全容器配好别等出事了再补救P2定义不可逆操作的红线删库、写账、修改权限这类操作必须有强制人工审批流程Agent不能自己过这五条哪条没做好就先别上线。别着急别侥幸。结语Agent不是问题信任架构才是我看到85%这个数字第一反应是这不奇怪。任何新技术的采用曲线都是这样——早期采纳者猛冲然后大多数人等着看 Pioneers跌坑 。问题在于Agent这波和以前不一样因为它真的在替你做事。试点阶段你可以接受试试看不行就关但生产环境里的Agent关掉之前可能已经造成了不可逆的损失。Patel的核心观点我认同Trusted Delegation是下一个十年的核心竞争力。能安全地委托Agent做事的企业和不能的差距会像当年数字化转型一样几年之内拉开。现在的问题不是Agent够不够聪明是你的信任架构配不配得上Agent的能力。