Microsoft 在 2026 年 3 月 9 日宣佈 Agent 365 及 Microsoft 365 Enterprise 7(下稱 E7)將於 5 月 1 日全面推出。配合 Microsoft 365 Copilot 第 3 波更新同步推出,標誌企業 AI 代理(AI Agent)部署從實驗階段過渡至大規模營運,管治與保安架構亦隨之升級至全新層次。
Agent 365 每位用戶月費 15 美元,E7 則以每位用戶月費 99 美元的價格,將 AI 生產力工具、身份管理及保安功能整合為單一授權方案,成為 Microsoft 自 2015 年推出 E5 以來最大規模企業授權架構革新。
AI 代理已成企業基建 管治缺口卻令風險急升
AI 代理在全球大型企業的滲透速度遠超預期,根據 Microsoft 今年 2 月發表的 Cyber Pulse 報告,超過 80% 的 Fortune 500 企業正在使用以低程式碼及無程式碼工具開發的 AI 代理。IDC 預計到 2028 年全球流通的 AI 代理數量將達到 13 億個。 Gartner 的預測同樣進取,估計到 2026 年底 40% 的企業應用程式將嵌入針對特定任務的 AI 代理,較 2025 年不足 5% 的比例急速攀升。市場研究機構的數據顯示,AI 代理市場正以年複合增長率 46.3% 的速度擴張,預期從 2025 年的 78.4 億美元(約港幣 611.52 億元)增長至 2030 年的 526.2 億美元(約港幣 4,104.36 億元)。
然而採用速度與管治能力之間的落差正在製造嚴重隱患,Microsoft 的研究發現受訪企業中有 29% 的 AI 代理在未獲 IT 或保安團隊批准的情況下運作,只有 47% 的企業使用任何保安工具保護其 AI 部署。 獨立調查機構 Gravitee 在 2026 年初針對逾 900 名企業管理層和技術人員的調查結果更為嚴峻。調查指出 81% 的團隊已經超越規劃階段進入測試或生產環境,但只有 14.4% 獲得完整的保安及 IT 審批,而 88% 的企業在過去 1 年內已經歷確認或疑似的 AI 代理保安事故。
Microsoft 保安業務企業副總裁 Vasu Jakkal 在接受媒體訪問時指出,AI 代理已經深度嵌入企業的營運結構。很多企業對代理運作狀況存在可視性缺口,這種缺口正帶來商業風險。
「雙面代理」威脅浮現 從提示注入到記憶體投毒
Microsoft 為企業 AI 代理面對的新型威脅創造「Double Agent」(雙面代理)一詞。這個概念由 Microsoft 保安高管 Charlie Bell 於 2025 年 11 月在官方網誌首次提出。這主要描述代替企業執行任務的 AI 代理遭到操縱,透過提示注入(prompt injection)、模型投毒或其他技術手段,轉而危害企業自身利益的情境。
Vasu Jakkal 表示 Microsoft 的 AI 紅隊已在受控環境中進行大量模擬測試。實驗證明直接和間接的提示注入攻擊可以成功操縱代理存取未經授權的數據。她將這種風險類比為企業過去面對的內部人員風險,強調企業必須確保 AI 代理不會成為新的內部威脅源頭。
威脅範圍遠不止於提示注入,Microsoft 的 Defender 保安研究團隊在 2 月發表研究,揭露一種名為「AI 推薦投毒」(AI Recommendation Poisoning)的攻擊手法。 研究人員發現部分企業在其網站的「以 AI 摘要」按鈕中嵌入隱藏指令。當用戶點擊後,預設的提示會嘗試向 AI 助手的記憶體注入持久性指令,要求 AI 將該企業標記為「可信來源」。研究團隊在 14 個行業和 31 間企業中,辨識出超過 50 組獨特的投毒提示。Microsoft 亦發表偵測「沉睡代理」(sleeper agent)的研究。這類被植入後門的語言模型在大多數情況下表現正常,但在特定觸發條件下會執行惡意行為。
Agent 365 三大支柱:可觀察性、保安與管治
Agent 365 以 3 大支柱架構其功能體系,分別是可觀察性(Observability)、保安(Security)和管治(Governance)。這將 Microsoft 現有的保安基建延伸至非人類實體。
Agent Registry 在可觀察性層面會自動編目企業內所有 AI 代理,無論代理建基於 Microsoft 平台、來自第 3 方合作夥伴,還是透過 API 註冊。IT 團隊可經由 Microsoft Admin Center 存取登記冊,保安團隊則透過 Defender、Entra 及 Purview 查看相同的數據。風險訊號會評估代理是否遭到入侵、身份異常或存在危險的數據互動。
全新 Agent ID 功能在身份管理層面為每個 AI 代理在 Microsoft Entra 中建立獨立身份,這能啟用條件式存取政策、最低權限原則及審計追蹤。過往只應用於人類帳戶的 Identity Protection 和 Conditional Access 功能現已擴展至代理,讓系統可根據風險及合規訊號作出即時存取決策。
Purview 在數據保護方面確保代理繼承敏感度標籤,阻止個人資料及其他敏感資訊在提示中被處理,同時亦將內部人員風險監察延伸至標記可疑的代理行為。審計和 eDiscovery 功能現已將代理視為與用戶和應用程式同等級別的可審計實體。
Vasu Jakkal 將整套方案定義為零信任(Zero Trust)原則的延伸,她表示保護 AI 代理的方式與保護人類用戶相似,需要防禦威脅、保護所存取的數據,以及確保存取權限和身份的安全。她確認 Agent 365 同時具備即時干預和事後觀察能力。保安團隊可以透過 Defender 入口網站封鎖有風險的代理。
E7「前沿套裝」定價策略與商業考量
Microsoft 365 E7 將 Microsoft 365 E5、Microsoft 365 Copilot、Agent 365、Microsoft Entra Suite 以及進階 Defender、Intune 和 Purview 保安功能整合為單一 SKU。Microsoft 商業業務營運總監 Judson Althoff 表示客戶反映 E5 已不足以應付需求。企業不想將多個工具拼湊在一起,而是需要 1 個受信任的整合方案。
以定價角度分析,E7 每位用戶月費 99 美元(約 HK$772),低於分開購買各組件的總成本。E5目前月費57美元(約港幣HK445),並將於 7 月升至 60 美元(約 HK$468)。Copilot額外收費30美元(約港幣HK234),而 Agent 365 另加 15 美元(約 HK$117)。單獨購買的總成本將達到105美元(約港幣HK819)。E7 的捆綁定價因此提供適度的節省空間,同時也將客戶更深地拉入 Microsoft 的生態系統。
Directions on Microsoft 編輯總監兼分析師 Mary Jo Foley 指出 E7 的意義遠超一個新的授權層級。這是 Microsoft 將自身定位為新興數碼勞動力企業 AI 控制平台的戰略舉措。Computerworld 的 Steven Vaughan-Nichols 更直接地觀察到 Microsoft 現在希望企業「僱用」AI 代理,而非僅僅使用工具,每個代理都如同人類僱員般獲得授權。Microsoft 將按席位訂閱模式應用於非人類實體,為自身創造出強大的收入機制。即使 AI 代理開始補充甚至取代部分人力職位,其收入仍可持續增長。
E7 是 Microsoft 自 2015 年推出 E5 以來首個全新的企業授權層級。Directions on Microsoft 的數據顯示,Microsoft 在 2022 年最後一次公開 E5 訂戶數據時,E5 用戶佔其 Office 365 / Microsoft 365 安裝基礎的 12%,近月的採用速度才開始加快。
Copilot 引入 Anthropic Claude 地緣政治為模型多元策略增添變數
Copilot 第 3 波更新的另一重點是模型多元化。Anthropic 的 Claude 模型現已在 Copilot 主線對話中可用,與 OpenAI 最新一代模型並列。Microsoft 與 Anthropic 合作開發且目前處於研究預覽階段的 Copilot Cowork 功能,可在 Microsoft 365 內執行長時間和多步驟的工作任務。
Anthropic 的合作關係目前承載著地緣政治的重量,美國國防部(已更名為戰爭部)於 3 月 5 日正式將 Anthropic 列為供應鏈風險,因為 Anthropic 拒絕同意五角大樓要求的使用條款,不願讓 Claude 被用於大規模國內監控和全自主武器系統。這是美國政府首次對一間美國本土 AI 企業作出此類認定。該認定通常僅適用於外國對手。
Microsoft、Google 和 Amazon 隨後均確認將繼續在非國防相關工作中提供 Anthropic 的技術。Microsoft 發言人表示公司的法律團隊已研究該認定,結論是 Anthropic 的產品(包括 Claude)可以繼續透過 M365、GitHub 及 Microsoft AI Foundry 等平台向客戶提供服務,唯戰爭部客戶除外。
值得關注的是 Anthropic 行政總裁 Dario Amodei 表示公司正準備在法庭上挑戰這項認定。與此同時,OpenAI 在 Anthropic 被列入黑名單後數小時內宣佈與五角大樓達成協議,將在機密軍事環境中部署 ChatGPT,令 AI 軍事應用的競爭格局進一步複雜化。Anthropic 在消費者市場的表現反而因此事而獲得提振。公司表示過去 1 星期每日有超過 1,000,000 名新用戶註冊 Claude,更在逾 20 個國家的 Apple App Store 超越 ChatGPT 和 Gemini 成為排名最高的 AI 應用程式。
Copilot 生態系統提供需求基礎 大型部署加速
Microsoft 的 Copilot 業務為 Agent 365 和 E7 提供商業可行性的需求基礎,Microsoft 目前擁有 15,000,000 個付費 Copilot 席位,按年增長超過 160%,每日活躍用量增長 10 倍。部署規模超過 35,000 個席位的客戶數量按年增加 3 倍。
近期大型部署案例包括 Mercedes-Benz 宣佈全球推展,而 NASA、Fiserv、ING 及 Westpac 亦各自購入超過 35,000 個席位。Publicis 更在接近全體員工範圍內部署近 95,000 個席位。根據 Microsoft 的數據,90% 的 Fortune 500 企業現正使用 Copilot。
Accenture 與 Microsoft 的合資企業 Avanade 率先為 Agent 365 提供背書。Avanade 技術總監 Aaron Reich 表示 Agent 365 讓企業獲得對代理活動的真正可視性。企業可以管治代理蔓延和控制資源使用,並在 Microsoft Entra 中將代理作為具身份意識的數碼實體管理,大幅降低營運和保安風險。
Vasu Jakkal 承認 Palo Alto Networks 和 CrowdStrike 等競爭對手也在建構各自的代理式 AI 保安層,但她認為 Microsoft 的整合深度令其與眾不同。對於第 3 方代理框架(包括 LangChain、CrewAI 及其他開源工具),Agent 365 提供 SDK 進行不同程度的整合。CyberArk 等身份保安專業廠商亦指出 AI 代理是機器身份的下一個演進階段,需要用全新的保安模型來應對。
代理管治速度能否追上攻擊者 將是核心考驗
Agent 365 和 E7 於 5 月 1 日正式推出時,部分功能(包括 Defender 和 Purview 風險訊號,以及 Foundry 和 Copilot Studio 代理的保安態勢管理)將以公開預覽形式推出。全新的執行時期威脅防護功能預計在 4 月進入公開預覽。
Vasu Jakkal 觀察到很多企業正在借助邁向代理式 AI 的契機,推動久拖不決的保安基礎改善工程。她表示看到越來越多企業以 AI 轉型和代理轉型為催化劑,重新回頭鞏固保安根基。
然而核心挑戰在於速度的不對稱性,建構 AI 代理的工具免費且易用,無需保安專業知識即可上手;管治代理的工具卻需要預算審批、實施週期,以及 IT、保安和業務團隊之間的組織協調。Deloitte 的 2026 年企業 AI 報告亦指出,高層管理人員主動參與 AI 管治的企業所獲取的商業價值,顯著高於將管治工作委託給技術團隊的企業。Gartner 更警告如果企業在管治和投資回報方面的基礎工作做得不到位,超過 40% 的 AI 代理項目可能在 2027 年前被放棄。
Vasu Jakkal 總結時表示工作的未來除了關乎更聰明的代理,也關乎值得信賴的代理。對於那些已有 29% 的企業代理在完全無監督下運作的企業來說,信任不是產品路線圖上的待辦事項,而是一場與時間的競賽。
來源:VentureBeat
