
Gartner 講主權 AI 同 agent 風險:公司唔好只買 Copilot 就算
香港公司用企業 AI,要先諗清資料同權限
點解今次值得睇
iThome 報道,Gartner 喺 6 月中旬雪梨 Data & Analytics Summit 講未來兩年資料與分析六個趨勢,當中三個最關安全同管理:主權 AI、用決策治理減低 AI agent 風險、同 AI governance 平台。Gartner 官方新聞稿仲補充,同一組趨勢入面仲有 agentic data streaming、agentic data management 同 GraphRAG。意思好清楚:企業 AI 已經由「問 chatbot 攞答案」,走到「畀系統接資料、睇流程、甚至幫你做動作」。

圖片:Gartner
主權 AI 對公司好實際
主權 AI 聽落似政府同大雲廠嘅題目,但對公司 IT 其實好實際:客戶資料、員工資料、合約、code、售後紀錄,到底留喺邊個 region?邊個供應商可以睇到 log?模型調用會唔會跨境?用 Microsoft 365 Copilot、OpenAI API、內部 RAG 或 coding agent 嗰陣,模型準唔準只係一部分;資料路線同權限鏈畫唔清,合規同事故追蹤會即刻卡住。
Agent 最大風險係權限
AI agent 最麻煩嘅位,係佢可以由讀資料變成改資料。Gartner 5 月另一份新聞稿講得幾實:到 2027 年,40% 企業可能因為 governance gap,降級或者停用 autonomous agent;而一刀切管全部 agent,唔分 read-only、提建議、要人批准先做、定係全自動做,會逼人走去用 shadow AI,或者畀高權限 agent 越界。對公司嚟講,最少要分清楚:agent 可唔可以寫入 CRM、發 email、開 Jira、改 repo、叫外部 API;每一步有冇 approval、rollback、circuit breaker 同 audit log。
供應商保證只解一半
Microsoft 文件話,Microsoft 365 Copilot 同 Copilot Chat 嘅 prompt、回覆同 Graph 入面用到嘅資料,唔會攞去訓練 foundation model,資料存放亦跟 Microsoft 365 嘅 data residency 承諾。OpenAI 官方政策亦講,API 同商業用戶預設唔會攞輸入輸出訓練模型。呢啲保證有用,但唔好當成免死金牌:如果 SharePoint 本身權限亂晒、RAG index 食咗唔應該食嘅 folder、agent log 冇人保留,供應商條款幫唔到你重建事故。
香港公司要做嘅功課
香港唔係完全冇指引。私隱專員公署 2024 年嘅 AI 個人資料保障框架,已經講到第三方 AI、AI-as-a-service、cloud API、跨境處理、data processor agreement、AI governance committee 同人手監督。Digital Policy Office 2025 年嘅生成式 AI 技術及應用指引,亦都將資料外洩、偏差、錯誤同服務責任列入治理範圍。換句話講,公司唔使等到有一條專門 AI 法先郁;而家已有足夠理由要求供應商交代資料流、log、保留期同刪除流程。
先畫控制面,再買平台
所以 AI governance 平台值得睇,但唔好倒轉次序。先列一份 AI inventory:邊個部門用邊個模型、接咗咩 data source、agent 有咩工具權限、輸出會去邊個系統。跟住幫 use case 分級:內部摘要可以輕手啲;合約、信貸、招聘、客戶投訴、付款、code merge 呢類會影響人或者會改系統嘅流程,就要 human-in-the-loop、審批紀錄、測試報告同定期檢討。
下一步睇咩
Gartner 呢次講得似 analyst 清單,但背後係一個好現實嘅轉向:企業 AI 嘅競爭唔再淨係鬥 prompt 寫得靚,開始鬥邊間公司可以安全咁畀 agent 接入真資料同真流程。香港團隊如果而家已經用緊 Copilot、OpenAI API 或自家 RAG,下一步應該搵 IT、legal、compliance 同業務一齊定權限級別。做唔到呢一步,agent 上線越快,事後查數就越痛。
參考來源
- iThome — Gartner將主權AI、AI代理風險與AI治理列入未來兩年資料與分析重點趨勢 — original report
- Gartner Identifies the Top Trends for Data and Analytics — Gartner 官方新聞稿,用嚟核對六個趨勢、雪梨峰會背景同相關預測。
- Gartner Says Applying Uniform Governance Across AI Agents Will Lead to Enterprise AI Agent Failure — 核對 AI agent 分級治理、權限邊界同 2027 年 40% 企業可能降級或停用 agent 嘅預測。
- Artificial Intelligence: Model Personal Data Protection Framework — 核對第三方 AI、cloud API、跨境處理、人手監督同治理架構嘅本地建議。
- Hong Kong Generative Artificial Intelligence Technical and Application Guideline — 補香港生成式 AI 指引入面對資料外洩、偏差、錯誤同服務責任嘅背景。
- Enterprise data protection in Microsoft 365 Copilot and Microsoft 365 Copilot Chat — 核對 Copilot prompt、response、Graph 資料、訓練用途同 data residency 承諾。
- How your data is used to improve model performance | OpenAI — 核對 OpenAI API 同商業用戶預設唔用輸入輸出訓練模型嘅政策。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







