ChatGPT 代理人進公司：誰准它讀檔、寄信、改表？

企業導入 AI 代理人的第一個難題，不是它會不會寫報告。

真正麻煩的是：它能不能讀 Google Drive、進 Slack 回答同事、改試算表、寄 email、開 IT ticket、更新 CRM？

如果可以，誰能批准？誰能看到它做過什麼？錯了能不能停？

OpenAI 4 月 22 日推出的 workspace agents in ChatGPT，值得看的不是「ChatGPT 又多一個功能」，而是 OpenAI 正把 AI 代理人從個人聊天工具，推進公司可共享、可排程、可治理的工作流入口。

Workspace agents 改的不是聊天，是公司流程

OpenAI 把 workspace agents 稱為 GPTs 的進化版。

差別在於，GPTs 比較像個人或團隊可呼叫的專用聊天工具；workspace agents 則被設計成公司流程裡可以重複使用的代理人。它們由 Codex 驅動，在雲端執行，可以使用 connected apps、保留工作記憶、寫或執行 code，並在多步驟任務中持續工作。

OpenAI 的官方例子很具體：software request review、product feedback routing、weekly metrics reporting、lead outreach、third-party risk management。這些不是一次性的問答，而是公司內部每天或每週反覆出現的流程。

產品入口也不只在 ChatGPT。OpenAI 說團隊可以在 ChatGPT 和 Slack 中與 agents 互動，未來還會有更多入口。這代表代理人不只是等人打開聊天框，而是開始進入工作本來發生的地方。

目前 workspace agents 是 research preview，提供給 ChatGPT Business、Enterprise、Edu 和 Teachers plans。Enterprise 與 Edu 管理員可用 role-based controls 啟用；發布說明也補充，推出時 agents 預設關閉，而且不支援 Enterprise workspaces with EKM。

這些限制很重要，因為它說明 OpenAI 還不是把所有企業客戶一次推進代理人自動化，而是在把功能、權限和治理一起測。

它不是新版 Custom GPT，而是共享流程

外部報導很容易把 workspace agents 寫成 Custom GPTs 的升級版。這個說法沒有錯，但不夠。

更關鍵的變化是「共享」和「動手」。

OpenAI release notes 寫到，eligible workspaces 可以從 templates 或 scratch 建立 agent，連接 Google Drive、Google Calendar、Slack、SharePoint，加入 skills、files 和 custom MCP servers，排程 recurring runs，在 Slack channels 使用，並查看 version history 和 analytics。

這些功能合在一起，代表代理人開始接近企業流程控制面。

過去一個員工做 Custom GPT，風險主要是個人輸入什麼、輸出拿去怎麼用。Workspace agents 則不同：它可以被分享、被放進 workspace directory、被排程、被部署到 Slack、被多人使用，也可能連到共同資料和公司工具。

當代理人從「我自己的小工具」變成「整個團隊都會用的流程」，企業要管的就不是 prompt 寫得漂不漂亮，而是它的責任範圍。

哪些工作真的適合交給代理人？

OpenAI Academy 的導入指南提供一個比功能清單更實用的判斷：agents 最適合 repeatable、structured、time-based or event-driven、tool-based 的工作。

換成白話，就是四種條件。

第一，這件事會反覆發生。每週整理 metrics、每天看 pipeline、收到新 feedback 就分類，比一次性的腦力激盪更適合代理人。

第二，輸出格式清楚。代理人要產出報告、ticket、summary、briefing、decision matrix，團隊才比較容易判斷它做得好不好。

第三，它有明確 trigger。每週一早上、每個 Slack form submission、每天 8 點、每次新 vendor request，都是比「想到再問」更適合 agent 的啟動方式。

第四，它需要跨工具讀寫。只是在腦中推理，regular chat 常常夠用；但如果工作需要從 CRM、Slack、文件、試算表和 ticketing system 抓資料，再產出下一步，agent 的價值才會出現。

這也劃出反面邊界。OpenAI Academy 明確提醒，open-ended thinking、brainstorming 或 exploratory writing，regular chat 往往更合適。企業如果把所有任務都包成 agent，反而會增加管理成本和錯誤面。

企業真正要設計的是哪五個控制點？

第一，agent 的目標是什麼？

不要從「做一個銷售 agent」開始，而要寫清楚它負責什麼。例如：每天整理 pipeline risk、從 CRM 和 call notes 產出 deal brief、把高風險項目通知 owner。目標越模糊，agent 越容易變成不好驗收的聊天工具。

第二，什麼會啟動它？

代理人可以被排程，也可以在 Slack 裡接 request。這聽起來方便，但 trigger 本身就是風險來源。每個 form submission 都跑一次、每個 channel mention 都回應、每週自動產報告，成本和錯誤都會跟著放大。

第三，它能用哪些工具和資料？

Connected apps 是 workspace agents 的核心，也是企業最該慢下來看的地方。Google Drive、Calendar、Slack、SharePoint、CRM、文件、MCP servers，任何一個連接都代表新的資料與行動邊界。

第四，哪些動作必須批准？

OpenAI 在公告裡舉的敏感動作包括 editing a spreadsheet、sending an email、adding a calendar event。這些看似日常，但在企業裡都可能造成外部承諾、資料外流、錯誤排程或財務影響。好的代理人流程，應該在關鍵動作前停下來問人，而不是把「自動完成」當最高目標。

第五，出了事怎麼追、怎麼停？

OpenAI 把 analytics、Compliance API、agent configuration / updates / runs visibility、admin suspension 放進產品敘事，這不是裝飾。當代理人被共享和排程後，管理員需要知道誰建了它、改了什麼、跑了幾次、用了哪些工具、是否該暫停。

如果企業沒有這些紀錄，agent 越有用，越難治理。

Prompt injection 為什麼在這裡更重要？

OpenAI 說 workspace agents 內建 safeguards，協助代理人在遇到 misleading external content，包括 prompt injection attacks 時仍遵守指令。

這點不能只當安全附註。

代理人一旦能讀 Slack、文件、網頁、CRM note 或 shared docs，就會接觸到不受模型開發者控制的內容。如果外部內容試圖誘導代理人忽略規則、外洩資料或執行不該做的動作，風險會比一般聊天更高，因為 agent 可能真的有工具權限。

企業導入時應該把 prompt injection 當成流程問題，不只是模型問題。

哪些資料來源可信？哪些 action 預設關閉？哪些步驟只准 draft 不准 send？哪些結果必須附上來源？哪些 high-risk request 要 escalate？這些都要在 agent 的 governance 裡寫清楚。

2026 年 5 月 6 日後，價格也會變成治理問題

OpenAI 說 workspace agents free until May 6, 2026，之後會採 credit-based pricing。

這句話不該被忽略。

代理人和一般聊天不同，因為它可能被排程、被多人共用、在背景執行、跨工具多步驟工作。只要觸發條件設得太寬，使用量就可能不是「某個人問太多」，而是「某個流程自動跑太多」。

因此，credit-based pricing 會把成本治理拉進代理人設計。企業不只要問一個 agent 能省多少時間，也要問它每天跑幾次、每次讀多少資料、是否會因 Slack request 暴增、是否需要部門預算上限，以及哪些任務值得自動化到付費程度。

這會讓 agent owner、IT、財務和業務部門一起進入同一張表。

企業導入前，先問這五句話

第一，這個流程是否真的重複、結構化、可驗收？

如果答案是否定的，先用 regular chat 或人類流程改造，不要急著做 agent。

第二，agent 需要哪些資料和工具？

把每個 connected app、file、skill、custom MCP server 列出來，再逐一問：讀取就好，還是需要寫入？能不能限制到特定資料夾、channel、group 或 action？

第三，哪些動作只准草稿，不准自動送出？

Email、calendar、spreadsheet、CRM update、ticket closure、customer-facing message、budget change，都應該有不同 approval gate。

第四，誰能建立、發布、修改和停用 agent？

Workspace agents 會把「誰會寫 prompt」升級成「誰能發布公司流程」。這不應完全交給熱心員工，也不應完全卡在 IT；比較可行的是有 role-based controls、審核流程和清楚 owner。

第五，如何衡量錯誤和價值？

Analytics 只能告訴你使用量，不等於品質。企業仍要抽查輸出、追蹤錯誤類型、計算人類審核時間、看是否真的減少交接成本，而不是只看 agent runs 增加。

ChatGPT workspace agents 的方向很清楚：OpenAI 要把 AI 代理人放進企業每天已經存在的工具和流程。

但這也讓採購問題變得更硬。買 AI 代理人不是買一個更會聊天的模型，而是買一套會碰到資料、權限、批准、紀錄、停用和成本的流程能力。

代理人越能動手，企業越要先決定三件事：什麼事可以自動做，什麼事只能先草稿，什麼事必須停下來問人。

林子睿（編輯：廖玄同），《ChatGPT 代理人進公司：誰准它讀檔、寄信、改表？》，矽基前沿 [Si]gnals，2026-04-30。https://signals.tw/articles/openai-chatgpt-workspace-agents/