AI 代理人的三層授權：讀取、記憶、執行，各有自己的規則

重點一：AI 代理人（AI agent）的授權不是一個開關，而是三層：讀取（能看什麼資料）、記憶（能保留什麼上下文）、執行（能對哪些系統動作）。三層各有自己的刪除規則、風險模型和治理要求。

重點二：2026 年 5 月第三週，ChatGPT Finances、Codex 手機版、Anthropic 收購 Stainless 三個產品，都在同一道邊界上做出設計選擇：讀取帳戶資料不等於可以移動資金；記住財務目標不等於已刪除聊天紀錄；能在手機批准指令不等於執行環境搬進了手機。

重點三：這套三層框架對開發者和產品團隊直接有用——在把代理人接入任何系統之前，先把三層授權分開定義，各自訂刪除路徑和風險上限，而不是只問「這個代理人能不能用」。

2026 年 5 月 14 日，OpenAI 把 Codex 帶進 ChatGPT 手機版，每週 400 萬人使用的程式開發代理人，從這天起可以用手機批准指令。5 月 15 日，OpenAI 讓美國 ChatGPT Pro 使用者透過 Plaid 連接金融帳戶，帳戶餘額、交易紀錄、投資部位可以進入聊天窗口。5 月 18 日，Anthropic 宣布收購 Stainless，理由是要改善「代理人連接外部系統的能力」。

三個事件，同一週，不同公司，不同產品，不同場景。共同點：每一個都是 AI 代理人能不能到達某個系統、能對系統做什麼、能記住什麼，以及刪除時清掉什麼的設計問題。

讀取是一種授權，記憶是另一種，執行又是另一種——三者各自有刪除規則與風險模型，是 AI 代理人需要分開管理的三道邊界。

把這三層分開，是同一週三個產品設計共同指向的架構選擇。

---

讀取授權：ChatGPT Finances 能看帳戶裡的什麼？哪些絕對看不到？

OpenAI 在 5 月 15 日發布 ChatGPT personal finance 預覽版，針對美國 ChatGPT Pro 使用者在網頁版和 iOS 上線。連接 Plaid 之後，ChatGPT 可以使用餘額、交易紀錄、投資部位、負債資料來回答問題和顯示儀表板。Plaid 說它串連了 12,000 多家金融機構，支援活期帳戶、儲蓄帳戶、加密貨幣錢包、投資帳戶等主要類型。

但 OpenAI 的 help center 明確劃出另一條線：ChatGPT 看不到完整帳號，也不能移動資金、支付帳單、進行交易、更改帳戶設定、更改退休金提撥、開設或關閉帳戶，或申報稅款。OpenAI 還加了一條：ChatGPT 不能充當金融、法律、稅務或投資顧問。

也就是說，讀取授權不是「帳戶全開或全關」的二元問題。它是一份清單：哪些欄位進得來，哪些絕對進不來；哪些問題可以問，哪些問題 ChatGPT 不應該被當成決策依據。

OpenAI 的 help center 還提醒：當資料不完整、同步中、分類錯誤、或 AI 自己出錯時，消費摘要和儀表板卡片可能不準確。讀取到帳戶資料，不代表讀取到完整且正確的帳戶資料。這兩件事是分開的。

白話講：代理人讀取邊界需要寫成一份清單，不是一個「連上就信任」的動作。

---

記憶是另一種授權：為什麼斷開帳戶不等於刪除所有金融資訊？

ChatGPT Finances 引入了一種新的記憶類型：金融 memories。使用者可以用它記錄財務目標、還款義務、租金分攤或計劃購買項目。這些記憶可以從 Finances 頁面檢視或刪除。

但這裡有一個不直觀的邊界：刪除金融 memories，不等於刪除聊天紀錄裡的金融資訊。

OpenAI 的說法是：斷開 Finances 帳戶連結後，同步的帳戶資料會在 30 天內從 OpenAI 系統刪除。Plaid 的規定是：與 ChatGPT 連結的 Plaid 資料也會在 30 天內刪除——但這不影響使用者在其他 App 另外建立的 Plaid 連結。

換句話說：斷開帳戶，清的是「帳戶同步資料」，不是「你和 ChatGPT 聊過的那些關於你家財務狀況的對話段落」。聊天紀錄要靠使用者另外管理。

OpenAI 同時說，使用臨時對話（temporary chats）時，ChatGPT 不會存取已連接的金融帳戶或建立 memories——這是一個可以降低記憶層曝露的操作選項。

這是記憶層和資料同步層各自的治理邊界。一個代理人可能同時有多種記憶路徑——對話裡的隱性記憶、明確設置的 memories、連線期間的資料同步——各自有不同的刪除規則，不能假設清一個就清了全部。

---

執行層的設計：Codex 手機版為什麼把「批准」和「代碼執行」放在不同裝置？

OpenAI 在 5 月 14 日公告 Codex 手機版，讓使用者在 iPhone 和 Android 上連回正在執行 Codex App 的筆電、Mac mini、devbox，或透過 Remote SSH 連接的遠端環境，查看截圖、終端輸出、程式碼差異、測試結果，並批准下一步指令。

但 OpenAI 說：檔案、憑證、權限、本機設定全部留在 Codex 原本跑的機器上。手機透過「安全中繼層」取得即時狀態，不直接把機器暴露在公開網路。

這是執行授權的明確分層：監督（supervision）搬到手機，執行（execution）沒有。

白話講，Codex 手機版的設計不是「在手機寫程式」，而是讓代理人的執行環境和批准表面分住不同裝置。手機端的批准是一層，執行環境的憑證和權限是另一層，兩者不綁定在一起。

這個設計選擇對工程團隊的含義是：手機批准帶來的便利，本身就是一個需要訂規則的面向——哪些低風險指令可以在手機批准，哪些涉及資料庫遷移、部署、憑證處理的動作必須等到回到完整審查環境。

---

代理人的連接層：從 API spec 到 MCP server，中間為什麼不能省？

Anthropic 收購 Stainless 的說法是改善代理人連接外部系統的能力。Stainless 的 MCP portal 描述的工作流是：從 OpenAPI spec 出發，到產生 MCP server 的過程中間有 SDK 層——Anthropic 說 Stainless 把 API spec 轉成 TypeScript、Python、Go、Java、Kotlin 等語言的 SDK。

Anthropic 在 2024 年 11 月推出 MCP（Model Context Protocol），定義為開源標準，讓 AI 應用程式連接到外部資料來源、工具和工作流程。MCP 文件明確說它是開源標準，不是 Anthropic 的專有基礎設施。

這解釋了代理人能不能安全到達外部工具，不只是「API 有沒有文件」的問題。SDK 的重試機制、streaming 支援、型別安全、語言覆蓋，以及 MCP server 提供的工具定義，這些是代理人在邊界案例下能不能恢復正確行為的基礎設施。

換句話說：把 API spec 和 MCP server 都算進代理人的「連接層授權」，意味著代理人的讀取和執行授權，必須包含連接層的可靠性——這是收購的系統性含義。一個代理人能不能在外部系統 timeout、rate limit、schema 變更時維持正確的邊界行為，取決於連接層有沒有被設計進去。

---

連接任何系統前，先過這五道授權確認

三個產品案例指向同一個操作建議：在把 AI 代理人接入任何系統之前，把三層授權各自定義清楚。

以下五道確認是實用的出發點：

1. 讀取層：代理人能讀取哪些欄位？讀取邊界是由哪個文件或 API 定義的？有沒有讀不到但系統預期它讀得到的資料？準確性的前提條件是什麼？

2. 記憶層：代理人能記住什麼？記憶有幾個路徑（對話、明確 memory、資料同步）？各自的刪除觸發條件和時間窗口是什麼？刪一個路徑，其他路徑的資料還在嗎？

3. 執行層：代理人能對哪些系統動作？執行授權和監督授權是否分開管理？哪些動作必須人工批准，哪些可以自動，哪些完全不允許？

4. 連接層：代理人到達外部系統的連接是否有 SDK 支持？是否有 MCP server 或等效的工具定義？遇到外部系統錯誤、timeout 或 schema 變更時的恢復行為是否已定義？

5. 刪除路徑：每一層的授權各自有什麼刪除機制？使用者或管理員能用什麼動作清除？刪一層的動作，使用者是否可能誤以為已清除其他層的資料？

這五道確認沒有標準答案——不同系統、不同代理人、不同資料敏感度，答案會不一樣。但過不了這個層次就部署代理人，是把治理責任留給出事後才處理。

---

資料來源：OpenAI: A new personal finance experience in ChatGPT；OpenAI Help Center: Finances in ChatGPT；Plaid: What ChatGPT’s new experience signals for digital finance；OpenAI: Work with Codex from anywhere；Anthropic: Anthropic acquires Stainless；Anthropic: Introducing the Model Context Protocol；MCP documentation: Getting started

林子睿（編輯：廖玄同），《AI 代理人的三層授權：讀取、記憶、執行，各有自己的規則》，矽基前沿 [Si]gnals，2026-06-10。https://signals.tw/articles/ai-agent-permission-layers/