Sign in Subscribe
Deep Research

审计转向:面向智能体治理与可靠性的创业机会

Kaizhi Tang

26 min read

企业级人工智能正在经历一次根本性转变:关注点正从“模型能力”迁移到“运行时许可与权限”。上一阶段的采用浪潮由追求具备复杂推理能力的模型所驱动——所谓“智能瓶颈”;而当前前沿则由“审计瓶颈”所定义。随着自主智能体从实验性试点走向生产级数字员工,采纳的主要障碍不再是智能体做什么,而是其行为能否被证明、被约束、并可被逆转。严肃的构建者逐渐意识到:一旦智能体能够采取行动——发送邮件、修改配置、转移资金或发布代码——智能就不再是瓶颈。真正的瓶颈变成了溯源问题:系统能否证明发生了什么、为什么会发生,以及如何阻止其再次发生?

自主工业化:市场成熟度与治理缺口

当前市场研究显示,企业内部对智能体 AI 的部署正在显著加速。约 23% 的组织报告称已在至少一个业务职能中规模化部署智能体系统,另有 39% 正在积极试验这些技术。1 到 2025 年底,AI 项目中有 40% 或更多处于生产环境的公司数量预计将翻倍,反映出从研发向运营价值的快速转移。2 然而,这一部署速度已超过必要监督机制的发展速度:目前只有五分之一的公司具备成熟的自主 AI 智能体治理模型。2

这种差距形成了“准备度鸿沟”:组织在战略上感觉已为 AI 做好准备,但在风险、数据管理与治理基础设施方面,运营层面却缺乏把握。2 历史上的 AI 治理模式——写一份政策然后寄望于合规——对能在多步工作流中自主行动的系统已经不够用。现代治理必须被“运营化”,即:由系统自身强制执行,通过不可变审计轨迹、可度量的风险预算与可用的熔断/停止开关来落地。

Metric Current State (2024-2025) Projected/Desired State (2-Year Horizon)
Organizations scaling agentic AI 23% 1 Significant increase expected 2
Organizations experimenting with agents 62% 1 Shift toward 100% exploration 3
Mature governance for autonomous AI 20% 2 Critical requirement for scaling
Non-human to human identity ratio 100:1 4 Exponential growth of NHI
EBIT impact reporting 39% 1 Pressure to move beyond productivity

从“能力”到“许可”的转变,意味着不再沉迷于“只要模型足够聪明就会有用”的幻想。在生产环境中,“有用”由明确的作用域(智能体允许做什么)、审批(哪些需要人类确认)、可逆行动(如何回滚)与速率限制(允许以多快速度行动)来定义。如果系统不能约束行动,它就不是智能体;它是一种负债。因此,在这一时代胜出的团队会把智能体当作生产服务来对待:可靠性是产品特性,而非工程细节。这要求一类新的仪表与工具链,包括结构化输出、行动日志,以及能匹配真实任务的测试工具(test harness)。

非人类身份危机:数字员工的访问治理

构建者的一个核心认知是:智能体不仅是一段软件,而是一级身份(first-class identity)。在 2024 年到 2025 年中,平均企业中的非人类身份(Non-Human Identities, NHI)数量急剧增长,往往以超过 100:1 的比例多于人类身份。4 机器身份的爆炸式增长带来了严重审计风险,因为许多组织仍把智能体当作通用服务账号或共享技术身份来处理。4 将智能体当作通用服务账号会掩盖其真实业务与审计风险:这些身份往往比员工身份更难审计,并且已与高成本安全事件紧密相关。4

创业机会在于:构建面向 AI 智能体全生命周期的集中式、以策略为主导的访问治理平台。有效治理需要将智能体定义为“有赞助的身份”(sponsored identity),具备清晰的所有者、用途与风险画像。4 这将治理从“先角色(role-first)”——容易授予过度权限——转向“先策略(policy-first)”,即权限由业务规则派生并在运行时实时执行。4

智能体身份管理的机制

将智能体视作数字员工,需要一个强健的身份模型。这包括密码学安全的认证方式,例如由可信公钥基础设施(PKI)签发的短生命周期证书,或使用硬件安全模块(HSM)进行密钥存储。6 组织正越来越多地把零信任原则应用于智能体:每一次请求都必须被显式验证,并仅授予完成特定任务所需的最小权限——这一概念被称为“least agency”。5

系统复杂性还体现在自动化凭据轮换与使用分析的需求上。GitGuardian 等平台已开始向 NHI 治理扩展,聚焦于检测与保护 AI 系统使用的凭据,从编码助手到企业机器人。7 目标是提供监控智能体权限的一站式视图(“single pane of glass”),覆盖 SaaS、云与本地环境,替代当前审计评审中常见的碎片化表格。4

Identity Governance Component Traditional Service Account Agentic AI Identity
Ownership Often shared or orphaned Explicitly sponsored by a human owner 4
Permissioning Static, over-privileged Dynamic, scoped to specific tools 5
Authentication Static API keys/secrets Short-lived certificates, PKI 6
Lifecycle Management Manual, infrequent review Automated certification and de-provisioning 4
Auditability Minimal logging Full intent-to-action trace 4

不透明的 AI 访问带来的风险相当巨大。以身份为驱动的安全事件是成本最高的漏洞类型之一,敏感数据暴露的总成本往往高达八位数美元。4 许多组织经历过与机器身份相关的审计问题,却难以产出 AI 智能体的完整生命周期轨迹。这种“幽灵身份”缺口正是新治理方案的主要目标:在保持可审计轨迹的同时,自动捕获与落实隐私决策。4

语义可观测性的三大表面:超越简单日志

传统可观测性工具能告诉工程师发生了什么,但很少解释为什么,也很少提供可逆机制。对智能体系统而言,日志必须演进为结构化、基于模式(schema)的方法:在记录外部行动的同时,捕获智能体的内部推理。LLM 智能体的非确定性行为,使得支撑软件保障的静态审计方式难以适用。10 对 AgentTrace 等框架的最新研究提出了智能体遥测的“三表面”分类:认知表面、操作表面与上下文表面。10

认知表面:追踪推理链

认知表面是新可观测性栈中最具创新的一层,用于捕获智能体推理引擎的内部审议过程,主要是其与大语言模型(LLM)的交互。10 这包括原始提示词(prompts)、模型输出(completions)以及抽取出的推理链,如 Chain-of-Thought (CoT) 过程与置信度估计。通过对 LLM API 调用进行埋点,开发者可解析半结构化输出,以隔离 <thinking> 片段、逐步推理或内部反思。10 这类“思维轨迹”对于理解智能体为何做出某一决策至关重要,尤其在高风险领域,细微的涌现行为可能带来重大风险。11

操作表面与上下文表面:执行与环境

认知表面监控“想”,操作表面监控“做”。该层捕获智能体的显式方法调用、参数结构、返回值与执行耗时。10 利用 Python 自省与函数包装等技术,系统可自动拦截公共方法,生成 start/complete 两类事件。10 上下文表面随后记录所有外部系统交互,如 API 调用、数据库查询与工具调用。10 通过将认知跨度(cognitive spans)嵌套进操作追踪中,这些框架保留了智能体内部推理与其对环境造成影响之间的因果链接。11

Surface Type Data Captured Purpose
Cognitive Surface Prompts, completions, CoT, tags 10 Understanding internal reasoning and intent
Operational Surface Method calls, arguments, return values, timing 10 Tracking code execution and logic flow
Contextual Surface API I/O, database queries, tool invocations 10 Monitoring real-world interactions and impact

这种结构化方法确保一致性、时间保真度与对智能体行为的忠实刻画。通过把外部交互同时关联到操作步骤与认知审议,组织能获得对智能体表现的整体视图。这对于建立合理的信任校准(trust calibration)至关重要:企业可以理解智能体行动背后的“为什么”,而不仅仅停留在当前 LLM 部署的“黑箱”属性上。12

Policy-as-Code:从指南到强制执行的迁移

对治理方向的创业公司而言,最重要的结论是:治理正在变成运营功能,而不仅仅是政策功能。Policy-as-Code (PaC) 代表一种变革:将合规、安全与运营规则用机器可读的代码表达,而非自然语言手册。13 通过使用如 Rego(Open Policy Agent 使用)或 AWS Cedar 等格式表达治理规则,组织可以实现“上下文优先”的基础设施,在 AI 智能体与系统之间一致地执行策略。13

自动化执行与实时合规

PaC 能在行动执行之前自动、主动地阻止违规。例如,客服机器人试图访问 HR 数据可被自动拦截;或者基础设施智能体在未满足特定条件时被阻止删除生产数据库。13 这提供了可扩展且可审计的框架,减少人为错误,并确保所有智能体在不同环境(边缘、云、本地)对规则的解释完全一致。13

驱动 AI 智能体 PaC 的关键技术包括:

  • Open Policy Agent (OPA): 提供声明式策略,描述必须被强制执行的是什么而非如何执行。13
  • Service Mesh(Istio、Linkerd): 对基于微服务的智能体应用流量路由与安全策略。13
  • AgenticOps 框架: 面向智能体闭环自治的专用运营框架,支持持续优化与实时反馈回路。13
Governance Model Policy-Based (Traditional) Policy-as-Code (Operational)
Enforcement Manual, post-hoc reviews Automated, real-time blocking 13
Consistency Prone to human interpretation Standardized machine execution 13
Agility Slow, requires manual updates Dynamic, version-controlled 13
Auditability Fragmented spreadsheets Immutable, traceable logs 13
Scalability Limited by human oversight Scalable across fleets of agents 13

推动 PaC 的原因在于:智能体作为能够设定目标并修改企业系统的“数字员工”在运行。5 若没有自动化强制执行,“治理负载”会变得不可管理,未来试验也更难被证明合理。成熟团队越来越多地使用持久化作业队列、状态持久化与幂等键,以确保触发限流或 worker 崩溃时,系统能准确知道从何处恢复,而无需重跑此前昂贵或高风险的调用。5

可逆韧性:构建“撤销(Undo)”的基础设施

当智能体被允许发布代码、转移资金或修改配置时,失败的代价会指数级上升。高后果环境需要的不仅是检测,还需要“可逆韧性”(reversible resilience):即无论 AI 驱动的事故多快、多不可预测,都能通过外科式回滚智能体行动来恢复,而不是诉诸整体系统还原。15

智能体回放(Agent Rewind)与事务完整性

一些初创公司正在构建“Agent Rewind”能力:为每一次智能体行动提供不可变审计轨迹,并具备回滚特定文件、数据库或配置变更的能力。8 例如,IBM 的 STRATUS 系统使用“transactional-no-regression (TNR)”策略,确保只允许可逆且不会破坏既有功能的变更发生;如果智能体提出系统识别为不可恢复的行动(如删除关键数据库),该行动会在执行前被拒绝。17

这种撤销机制是建立信任的关键。当缓解智能体采取了失败的动作时,“undo”机动会将系统回滚到上一个检查点,使得可以探索替代方案。这能有效防止不可逆变更,确保智能体错误既不永久也不灾难性。15

Reversibility Metric Traditional Recovery Agentic Reversibility (Agent Rewind)
Scope of Rollback Total system restore Surgical rollback of specific files/configs 15
Speed of Recovery Hours to days Minutes ("AI speed") 15
Audit Detail General system logs Traceable to specific prompts and tools 8
Data Integrity Potential data loss Immutable trails and verified state 8
Operational Impact High downtime Minimal disruption 15

真正的可逆性需要多种架构模式的组合:持久化作业队列(如 Redis 或 Bull)、状态持久化,以及优先生成基础设施即代码(IaC)而非直接 API 调用。当智能体生成 IaC(Terraform、Pulumi)时,其意图会在执行前以源代码形式出现在版本控制中,使回滚变得轻而易举——只需回退提交并应用上一个已知良好状态即可。18

评估前沿:从准确率到行为

向智能体迁移也从根本上改变了测试的性质。传统机器学习指标(precision、recall)不足以评估多步智能体工作流。市场正在转向关注推理、工具选择准确性、跨会话错误处理与轨迹正确性的“智能体评估(agentic evals)”。19

评估平台的竞争格局

多家平台已出现以满足生产级评估与可观测性的需求。LangSmith 与 Braintrust 等工具为开发者提供出色的追踪与评分,但当要求从开发工作流延伸到受监管的生产环境时,差距会显现。例如,实时安全护栏需要在运行时阻止提示注入或 PII 泄露,这类“运行时强制”是评估平台常常缺失的能力。22

Capability LangSmith Braintrust Openlayer Maxim AI Langfuse
Core Focus Tracing, LangChain workflows 20 Scoring, unified evaluation 19 Governance, security guardrails 20 Simulation, full-lifecycle monitoring 19 Tracing, open-source observability 24
Runtime Blocking Partial/No 22 No 22 Yes 20 Yes (via Bifrost) 21 No 23
Compliance Mapping No 20 No 22 Yes (EU AI Act, NIST) 20 No No 23
Prebuilt Tests Partial 22 Partial 19 Yes (100+ tests) 20 Yes (Synthetic scenarios) 19 Partial 22
Drift Detection Yes 23 Yes 22 Yes 20 Yes 19 Yes 23

对企业而言,“仅评估(Evaluation-only)”阶段正在结束。下一代工具必须提供“运行时护栏”,在有害输出进入生产系统之前加以阻止。同时,合规团队需要自动映射到 EU AI Act、NIST RMF 与 ISO 42001 等监管框架。持续风险评估与证据采集正在取代手工文档,为金融服务与医疗等受监管行业节省数百小时的高资历时间。20

Model Context Protocol (MCP):新标准及其安全风险

Model Context Protocol (MCP) 由 Anthropic 于 2024 年末提出,已迅速成为连接 AI 智能体与多样资源/工具的通用开放标准。26 借鉴 Language Server Protocol (LSP),MCP 将工具实现与使用解耦,支持动态发现与双向通信通道。28 MCP 降低了集成开销——堪称“AI 的 USB-C”——但也通过扩大智能体系统的攻击面引入显著安全漏洞。26

开放工具与过度能力的风险

MCP 服务器往往暴露的能力超过特定智能体所需。例如,官方 GitHub MCP 服务器暴露了 90+ 个工具,其中包括 delete_file 或 delete_workflow_run_logs 这类高风险操作。29 当智能体遭遇提示注入被攻破时,这种过度授权会放大风险:一旦攻击者成功注入恶意指令,就能访问智能体拥有的所有工具。29 此外,“动态工具发现”使智能体在远端服务器新增工具时自动获得访问权,用户常常并不知情或未审批。29

MCP 规范并不强制认证与授权机制,导致实现不一致。有的服务器使用共享 bearer token,造成治理失败:审计日志中的所有操作都显示为同一身份,使事件响应几乎不可能。29 还存在“confused deputy(混淆代理)”问题:MCP 服务器代表用户执行操作,却未验证用户是否具备所需权限。31

创业机会:MCP 安全代理与守护层

为 MCP 构建安全与治理层是一个重要机会。“MCP Guardian”或“MCP-Guard”一类解决方案作为 MCP 客户端与服务器之间的代理,为 LLM 交互提供可见性与控制。30 这类平台可提供:

  1. 认证与作用域过滤: 强制 OAuth2 认证并过滤特定访问 scope。30
  2. 速率限制与配额: 防止“Denial of Wallet”攻击或计费滥用。30
  3. Schema 与参数校验: 在执行前确保请求结构满足安全标准。30
  4. 日志与遥测: 维持取证所需的审计轨迹,监控工具使用与执行上下文。30
MCP Security Threat Potential Impact Recommended Mitigation
Tool Poisoning Malicious actions performed under safe names 26 Static scanning and pattern-based detection 32
Prompt Injection via Tool Text Unauthorized command execution 26 Real-time input validation and sanitization 30
Over-Permissioning Access to destructive operations (e.g., delete_file) 29 Strict subset allowlists and explicit approval workflows 29
Credential Theft Hijacking of service tokens (Slack, Google) 30 Short-lived, per-user tokens and secure-by-default gateways 26
Context Oversharing Sensitive data leaked to third-party servers 26 Context trimming and output filtering 26

新创公司的目标是确保未经审查的代码不会在沙箱外运行,工具不会超出预期作用域被使用,并且行动可端到端审计。29 微软等组织建议将每个远端 MCP 服务器置于 API 网关之后,对每次调用进行认证、授权与限流。26

硬件强制的主权:可信执行环境(TEE)

在金融科技、医疗或政府等高风险部署中,纯软件护栏可能不足以提供充分保证。使用可信执行环境(TEE)或“安全 enclave”托管智能体逻辑与私钥的兴趣日益增长。35 TEE 在处理器内部提供硬件加密的隔离区域,即使宿主操作系统、hypervisor 或管理员被攻破,也能保证数据机密性与代码完整性。36

TEE 在智能体技术栈中的作用

TEE 支持“Confidential Computing(机密计算)”,使数据在使用中仍保持加密。对自主智能体而言,这对以下能力至关重要:

  1. 隔离执行: 确保敏感计算完全与系统其余部分隔离。36
  2. 远程证明(Remote Attestation): 向外部提供密码学证明,证实智能体运行在真实的防篡改环境中且代码未被修改。35
  3. 密钥与 IP 保护: 将私钥与知识产权(如专用模型权重)封存在 enclave 内。35

尽管 TEE 引入开发复杂度与内存约束(如 Intel SGX 的 ~256MB 限制),它为在去中心化或多租户云环境中运行的智能体提供最高级别的保证。37 Phala 与 Turnkey 等初创公司已在利用 TEE 基础设施构建安全 AI 智能体与钱包基础设施,确保原始私钥永不暴露,甚至不暴露给服务提供商。35

TEE Implementation Core Strength Practical Trade-offs
Intel SGX Small attack surface, wide CPU support 37 Small memory constraints, performance overhead 37
ARM TrustZone Low overhead, ubiquitous in mobile/IoT 37 Fixed resource allocation, primarily embedded focus 37
AWS Nitro Enclaves Flexible resource allocation (multi-GB RAM) 37 Cloud-native focus, potential vendor lock-in 37
GPU-enabled TEEs Confidential AI inference for large models 35 Emerging technology, higher complexity

TEE 应作为“纵深防御”策略的一部分,并可能与零知识(ZK)证明等密码学方法结合以提升韧性。35 对初创公司而言,构建能为开发者抽象 TEE 复杂度的“机密 AI 推理”平台,是显著的市场空白。

垂直行业深潜:受监管行业中的审计与治理挑战

对审计与许可的需求,在智能体失误可能造成灾难性财务或物理后果的行业最为迫切。

金融服务与金融科技

全球银行正在规模化使用 AI 智能体执行反欺诈筛查、研究与合规任务。39 然而,这些智能体会接触消费者记录与金融数据,需承担 GDPR、PCI DSS 与 GLBA 等重监管义务。40 一个核心挑战是“缺乏可审计性”:如果审计员询问是谁查询了某个账户的交易历史,而 AI 是中介,传统系统往往缺少可靠记录。40 此垂直领域的初创公司需要提供专门的隐私层,可实时遮蔽 PII 或阻止未授权查询。40

医疗与医学场景

在医疗领域,AI 智能体辅助诊断与治疗建议,必须严格遵循 HIPAA 与 GDPR。41 风险包括“未经授权修改医疗设备”,如胰岛素泵或起搏器,可能造成致命后果。42 此外,智能体输出必须“经临床验证”以避免伤害。41 合规还涉及清晰的责任政策与“可解释性”要求:如果 AI 建议手术,必须向人类医生解释其依据(风险评分、影像分析等)。41

DevOps 与基础设施自动化

在 IT 与 DevOps 中使用智能体 AI 目前是领先的功能用例。43 但许多部署失败的原因在于:现有基础设施不足以支撑长时运行的异步智能体工作流。如果智能体状态只保存在内存中且进程崩溃,就会出现“孤儿任务”,无法知道已经完成了什么。5 构建“可持久的智能体基础设施”(Durable Agentic Infrastructure),以确保状态持久与可靠性,是该细分市场的关键。

结论:面向智能体初创公司的战略路线图

“智能”炒作周期正在转向“效用”时代:可靠性是产品特性,治理是运营必需。对创业者与投资者而言,最有价值的机会位于技术栈中那些不那么光鲜、却能让自治变得真实的层面。重心正在从构建“更聪明”的智能体,转向构建“可审计”的智能体。

2025-2026 年高潜机会方向

  1. 智能体原生 IGA(Identity Governance and Administration): 将智能体视为一级、可赞助身份的平台,管理其全生命周期,并通过动态权限实现“least agency”。4
  2. 取证追踪与语义可观测性: 同时捕获智能体推理的“认知表面”(为什么)与操作行为(做了什么)的工具,为合规与调试提供完整取证记录。10
  3. 通过 Policy-as-Code 实现运营治理: 将自然语言政策翻译为机器可执行护栏,在运行时实时阻止未授权或高风险行动。13
  4. 韧性与“Agent Rewind”基础设施: 提供事务级回滚与不可变审计轨迹,确保错误可逆且不灾难。8
  5. 安全的 MCP 网关: 为新兴 MCP 生态提供安全与治理层,包括 schema 校验、速率限制与按用户 token 代理。30

下一阶段 AI 市场的赢家,不是构建最自治智能体的人,而是构建最可治理智能体的人。把智能体当作生产服务——配备结构化输出、行动日志与停止开关——初创公司才能释放智能体时代的真正潜力。自治只有在被约束、可审计、可逆时才是真实的。正是这些不那么光鲜的工作,让 AI 的未来成为可能。

References

  1. The state of AI in 2025: Agents, innovation, and transformation - McKinsey, accessed February 14, 2026, https://www.mckinsey.com/capabilities/quantumblack/our-insights/the-state-of-ai
  2. The State of AI in the Enterprise - 2026 AI report | Deloitte US, accessed February 14, 2026, https://www.deloitte.com/us/en/what-we-do/capabilities/applied-artificial-intelligence/content/state-of-ai-in-the-enterprise.html
  3. AI Agents in 2025: Expectations vs. Reality - IBM, accessed February 14, 2026, https://www.ibm.com/think/insights/ai-agents-2025-expectations-vs-reality
  4. What Is Access Governance for AI Agents - Security Boulevard, accessed February 14, 2026, https://securityboulevard.com/2026/02/what-is-access-governance-for-ai-agents/
  5. AI Agent Governance Blueprint for Production Deployment - Codebridge, accessed February 14, 2026, https://www.codebridge.tech/articles/from-answers-to-actions-a-practical-governance-blueprint-for-deploying-ai-agents-in-production
  6. Security for AI Agents: Protecting Intelligent Systems in 2025, accessed February 14, 2026, https://www.obsidiansecurity.com/blog/security-for-ai-agents
  7. Can GitGuardian become the identity layer for AI agents? — TFN - Tech Funding News, accessed February 14, 2026, https://techfundingnews.com/gitguardian-raises-50m-non-human-identity-security/
  8. AI Issues? Take Control with Rubrik Agent Rewind | Rubrik, accessed February 14, 2026, https://www.rubrik.com/insights/ai-issues-take-control-with-rubrik-agent-rewind
  9. Ketch AI Governance | The Data Permissioning Engine in your AI Tech Stack, accessed February 14, 2026, https://www.ketch.com/platform/ai-governance
  10. AgentTrace: A Structured Logging Framework for Agent System Observability - arXiv.org, accessed February 14, 2026, https://arxiv.org/html/2602.10133v1
  11. AgentTrace: A Structured Logging Framework for Agent ... - arXiv, accessed February 14, 2026, https://arxiv.org/abs/2602.10133
  12. Unlocking Trust: Dynamic Observability for AI Agents in High-Stakes Environments, accessed February 14, 2026, https://arsa.technology/machine-state/unlocking-trust-dynamic-observability-for-ai-agent-3xlye5qz/
  13. Agent Governance at Scale: Policy-as-Code Approaches in Action, accessed February 14, 2026, https://www.nexastack.ai/blog/agent-governance-at-scale
  14. How Agentic AI is Transforming Enterprise Platforms | BCG, accessed February 14, 2026, https://www.bcg.com/publications/2025/how-agentic-ai-is-transforming-enterprise-platforms
  15. When AI agents go rogue, the federal government needs reversible resilience, accessed February 14, 2026, https://www.nextgov.com/ideas/2025/10/when-ai-agents-go-rogue-federal-government-needs-reversible-resilience/408757/
  16. Confidently Deploy AI Agents with Rubrik's Agent Rewind, accessed February 14, 2026, https://www.rubrik.com/content/dam/rubrik/en/resources/solutions-brief/sb-rubrik-agent-rewind.pdf
  17. An 'undo-and-retry' mechanism for agents - IBM Research, accessed February 14, 2026, https://research.ibm.com/blog/undo-agent-for-cloud
  18. 2026 Predictions: AI Won't Kill IaC. It Will Make It Non-Negotiable - Firefly, accessed February 14, 2026, https://www.firefly.ai/blog/2026-predictions-ai-wont-kill-iac-it-will-make-it-non-negotiable
  19. Top 5 platforms for agent evals in 2025 - Articles - Braintrust, accessed February 14, 2026, https://www.braintrust.dev/articles/top-5-platforms-agent-evals-2025
  20. Best AI Agent Evaluation Platforms for Testing Multi-Step Workflows ..., accessed February 14, 2026, https://www.openlayer.com/blog/post/best-ai-agent-evaluation-platforms
  21. Top 5 Platforms to Test AI Agents (2025): A Comprehensive Guide, accessed February 14, 2026, https://www.getmaxim.ai/articles/top-5-platforms-to-test-ai-agents-2025-a-comprehensive-guide/
  22. Braintrust reviews, pricing, and alternatives (December 2025), accessed February 14, 2026, https://www.openlayer.com/blog/post/braintrust-alternatives-pricing-reviews
  23. LangSmith reviews, pricing, and alternatives (December 2025), accessed February 14, 2026, https://www.openlayer.com/blog/post/langsmith-reviews-pricing-alternatives
  24. Best LLM Monitoring Tools 2025: Langfuse vs LangSmith Compared, accessed February 14, 2026, https://integritystudio.ai/blog/best-llm-monitoring-tools-2025
  25. Top 9 LLM Observability Tools in 2025 - Logz.io, accessed February 14, 2026, https://logz.io/blog/top-llm-observability-tools/
  26. Protecting AI conversations at Microsoft with Model Context Protocol security and governance - Inside Track Blog, accessed February 14, 2026, https://www.microsoft.com/insidetrack/blog/protecting-ai-conversations-at-microsoft-with-model-context-protocol-security-and-governance/
  27. MCPSecBench: A Systematic Security Benchmark and Playground for Testing Model Context Protocols - arXiv, accessed February 14, 2026, https://arxiv.org/html/2508.13220v2
  28. Model Context Protocol (MCP): Landscape, Security Threats, and Future Research Directions - Xinyi Hou, accessed February 14, 2026, https://xinyi-hou.github.io/files/hou2025mcp_1.pdf
  29. Securing the Model Context Protocol (MCP): Risks, Controls, and Governance - arXiv, accessed February 14, 2026, https://arxiv.org/html/2511.20920v1
  30. Model Context Protocol (MCP) - Black Hills Information Security, Inc., accessed February 14, 2026, https://www.blackhillsinfosec.com/model-context-protocol/
  31. Model Context Protocol (MCP): Understanding security risks and controls - Red Hat, accessed February 14, 2026, https://www.redhat.com/en/blog/model-context-protocol-mcp-understanding-security-risks-and-controls
  32. MCPGuard : Automatically Detecting Vulnerabilities in MCP Servers - arXiv, accessed February 14, 2026, https://arxiv.org/html/2510.23673v1
  33. Top 10 MCP Security Tools in 2025 - Akto, accessed February 14, 2026, https://www.akto.io/blog/mcp-security-tools
  34. Security Best Practices - What is the Model Context Protocol (MCP)?, accessed February 14, 2026, https://modelcontextprotocol.io/docs/tutorials/security/security_best_practices
  35. How TEE makes Web3 AI Agents Trusted | by Bitium Blog, accessed February 14, 2026, https://blog.bitium.agency/how-tee-makes-web3-ai-agents-trusted-b7e8436ff0bc
  36. What Is Trusted Execution Environment (TEE)? - Phala Network, accessed February 14, 2026, https://phala.com/learn/What-Is-TEE
  37. Secure enclaves vs. other TEEs: what's the difference? - Turnkey, accessed February 14, 2026, https://www.turnkey.com/blog/secure-enclaves-vs-other-tees
  38. A Survey of RISC-V Secure Enclaves and Trusted Execution Environments - MDPI, accessed February 14, 2026, https://www.mdpi.com/2079-9292/14/21/4171
  39. Compliance for AI Agents: What Financial Services Organizations Need to Know, accessed February 14, 2026, https://www.bankingexchange.com/news-feed/item/10465-compliance-for-ai-agents-what-financial-services-organizations-need-to-know
  40. The Hidden Data Compliance Risk In AI Agents At Financial Institutions - Protecto AI, accessed February 14, 2026, https://www.protecto.ai/blog/compliance-risk-in-ai-agents-at-financial-institutions/
  41. What compliance issues should AI Agents pay attention to in medical scenarios?, accessed February 14, 2026, https://www.tencentcloud.com/techpedia/126562
  42. AI-Induced Cybersecurity Risks in Healthcare: A Narrative Review of Blockchain-Based Solutions Within a Clinical Risk Management Framework - PMC, accessed February 14, 2026, https://pmc.ncbi.nlm.nih.gov/articles/PMC12579840/
  43. State of the Agentic AI Market Report 2025 - ISG, accessed February 14, 2026, https://isg-one.com/advisory/artificial-intelligence-advisory/state-of-the-agentic-ai-market-report-2025