AI 安全 | 以 RACI 矩阵治理 LLM、智能体与 MCP

问题所在

团队把语言模型接入内部数据、创建能访问系统的智能体、自行采用 AI 工具，而安全团队还在争论是否该允许。风险既新且实：通过不可信内容注入恶意指令、权限过大的智能体、上下文中敏感数据的泄露，以及未经评估的 AI 供应商。全面封堵行不通；放任而不治理更糟。

面向企业使用语言模型与智能体的治理框架，涵盖把模型连接到工具与数据的开放协议（MCP），并在安全、身份管理与技术治理之间设立明确的 RACI 矩阵——谁批准连接器、谁评审权限、谁为事件负责。

分析智能体架构与 AI 集成：提示注入面、凭据与权限范围（尤其是机器身份）、数据隔离与外泄路径。

一份人们真正能遵守的 AI 可接受使用政策，配以经批准的通道，消除不受控的并行使用的动机。

面向 AI 工具与提供方的客观尽职调查准则：数据处理、留存、是否以客户数据训练，以及合同控制。

在一家大型金融机构开发并主导过含 RACI 矩阵（跨网络安全、身份与技术治理团队）的 AI 与 MCP 治理框架——在一个多数市场仍停留于理论的领域，具备实战经验。

什么是 MCP，为何它需要专门的治理？

它是把 AI 模型连接到企业工具与数据的开放标准——而每一个连接器，实质上都是一个对真实系统拥有权限的机器凭据。缺乏治理，连接器就会像上一个十年的集成密钥那样泛滥：无责任人、无评审、权限过大。

提示注入是真实风险还是理论风险？

真实且已被验证：嵌入在智能体所处理的邮件、文档或网页中的恶意指令，可诱使其执行未授权的操作。缓解之道是架构性的——限制智能体权限、将一切外部内容视为不可信，并对敏感操作要求人工确认——这正是评估所覆盖的内容。

我们是否应当干脆封禁 AI 工具？

全面封禁会催生影子 AI：人们在任何控制之外使用个人工具处理公司数据。行之有效的做法，是把经批准的安全通道与清晰的政策和监控结合起来——引导使用，而非假装它不存在。