如何管控 AI 代理無序擴張：Gartner 六步框架企業實戰指南

什麼是 AI 代理無序擴張？

AI 代理無序擴張（AI Agent Sprawl）指企業內部 AI 代理的不受控增殖，代理部署速度遠超組織管治、安全審核乃至清單管理的能力。當一個代理在沒有指定負責人、沒有書面權限記錄、沒有安全審查，或在原有使用場景結束後仍持續運行時，即構成無序擴張的典型問題。

2026 年 4 月 28 日，Gartner 發布研究成果，提出管控 AI 代理無序擴張的六個步驟，並預測到 2028 年，財富 500 強企業平均將管理逾 15 萬個 AI 代理，而 2025 年這一數字不足 15 個。這份報告為本文的核心框架提供了依據。

2026 年 AI 代理無序擴張的問題有多嚴峻？

根據 2026 年資料，一般企業目前已部署 37 個 AI 代理，而 Gartner 指出，超過 80% 正在使用 AI 代理的財富 500 強企業完全沒有管理策略。部署速度與管治成熟度之間的落差，是問題的核心所在。

安全後果已在現實中量化。Gravitee 2026 年調查顯示，88% 的組織報告了已確認或疑似的 AI 安全事故，只有 14.4% 的企業對現有 AI 部署取得完整安全審批，僅 24.4% 對代理間通訊擁有完全可見性。

問題根源在於結構性矛盾。大多數代理由業務部門使用 Microsoft Copilot Studio、Salesforce Agentforce 等低代碼平台構建，這些工具大幅降低了代理創建的門檻，但管理代理所需的治理基礎設施，在大多數組織中尚未跟上。

Writer.com 的 2026 年企業 AI 採用調查訪問了 2,400 名全球領導者，發現 75% 的高管承認其 AI 策略「更多是對外展示，而非實質指引」。這一現象在代理管控問題上尤為突出。

Gartner 管控 AI 代理無序擴張的六個步驟

以下是 Gartner 2026 年 4 月 28 日發布的六步框架，每一步針對企業代理管控中的特定失敗模式。

第一步：建立代理管治政策。制定清晰規則，明確代理的構建條件、創建與共享的授權人員，以及允許使用的連接器。在明確政策之前，各業務部門將各自對代理行為、權限及資料存取採用不同標準。政策必須先於擴張。

第二步：建立集中式代理清單。使用 AI 信任、風險與安全管理（AI TRiSM）工具，發現並分類組織內所有代理，包括官方認可工具構建的代理及影子 AI 代理。Gartner 資料顯示，大多數企業實際運行的代理數量遠超 IT 團隊的認知，清單發現是最關鍵的治理行動。

第三步：定義代理身份、權限與生命週期。管理每個代理的身份、權限模型及存取控制，建立正式的審查與退役流程，確保廢棄代理被移除而非持續持有有效憑證運行。Strata Identity 2026 年研究指出，僅 23% 的企業擁有正式的代理身份管理策略。

第四步：建立 AI 資訊治理。管控每個代理可存取的資訊範圍，確保有流程使資料保持最新、管理權限以防止過度共享，並在代理不再需要資料時將其歸檔。這一步將現有資料治理原則延伸至代理場景。

第五步：監控並修正代理行為。建立代理使用情況的持續可見性，確保合規性，偵測異常行為，並糾正超出預定範圍或風險承受度的代理。這需要超越靜態政策文件的工具，實現對代理實際行為的即時監控。

第六步：培育負責任的 AI 使用文化。為員工提供培訓計劃及最佳實踐社群，推動代理管理知識在組織內傳播。沒有文化採納的治理框架在用戶層面必然失效，理解治理重要性的業務團隊，是防止無授權代理創建的最有效最後防線。

AI 代理無序擴張為何發展如此迅速？

三種結構性動態加速了企業環境中的代理擴張。

低代碼民主化。Microsoft Copilot Studio、Salesforce Agentforce 等平台讓非技術業務用戶能在數小時內創建並部署功能完整的代理。創建代理的門檻從數月的工程工作降低至半天操作，但管理這些代理所需的治理努力並未同步降低。

部門自主性缺乏集中可見性。市場、財務、人力資源及運營部門各自為工作流程構建代理，通常不通知 IT，直到出現問題。每個代理代表一組新的資料連接、API 存取授權及憑證分配，安全團隊在進行清單掃描之前完全沒有可見性。

缺乏正式退役流程。為特定項目、活動或季節性工作流構建的代理，很少被主動停用。它們持續運行、保持資料存取並按計劃執行操作，即便使用場景早已結束。Gartner 預測，到 2028 年，財富 500 強企業 15 萬個代理中，相當大比例將是沒有活躍負責人的遺留代理。

香港企業如何應對 AI 代理無序擴張？

對香港受監管行業的企業而言，代理無序擴張不僅是安全問題，更是合規風險。金融管理局、證監會及數位政策辦公室在過去 18 個月均發布了實質性的 AI 治理指引，要求組織能夠提供 AI 系統的完整清單、文件化資料存取記錄，及政策控制措施。

個人資料（私隱）條例的影響同樣不容忽視。在沒有書面治理記錄的情況下處理個人資料的代理，面臨重大的合規風險。

實際情況往往比預期嚴峻。一家擁有 800 名員工的香港金融機構，IT 團隊可能知悉 12 個部署的代理。使用 AI TRiSM 工具進行清單掃描後，往往發現另外 30 至 40 個影子代理正在整個組織中運行。其中許多持有活躍的文件管理系統連接，部分憑證六個月以上未曾輪換，還有一些代理的原始負責人已因人員流動而離職。這並非例外情況，而是 2026 年企業的中位狀態。

Gartner 的六步框架為有意建立系統性應對的組織提供了清晰路徑。第一步——建立治理政策——是一切的前提。UD 相伴，AI 不冷。

準備好管控你的 AI 代理環境了嗎？

大多數香港企業低估了組織內已在運行的 AI 代理數量。UD 團隊手把手帶你完成每一步——從代理清單評估、政策設計，到部署治理與持續監控。懂AI的冷，更懂你的難——UD 同行 28 年，讓科技成為有溫度的陪伴。