AI 网络保险：你的智能体会首先发现的保障缺口

一个编程智能体在凌晨 2 点合并了一项变更，导致客户的生产数据库下线了 90 分钟。一个客户服务智能体在循环被终止前，向外发送了 1.4 万封措辞错误的退款拒绝邮件。一个自主对账工作流对 2800 张卡进行了重复扣款。损失是真实的，审计追踪指向了你的公司，你的财务团队针对六周前续签的网络保险保单提出了理赔。保险公司的回复是一封礼貌的信函，解释说该保单涵盖的是“恶意第三方的未经授权访问”和“对员工的社交工程攻击”——而该智能体是经过身份验证的，其行为是经过授权的，且没有员工被欺骗。理赔被拒。损失只能由你的资产负债表承担。

这并非假设性的极端案例。它是未来 18 个月内最典型的理赔画像，保险业深知这一点。网络保险（Cyber）、职业责任险（E&O）和董事高管责任险（D&O）的保单条款是根据一种威胁模型校准的，在该模型中，泄露的严重程度取决于记录外泄的数量，而事故响应则取决于计费的取证小时数。智能体 AI（Agentic AI）产生的事故并非这种形态。它产生的是一种精算师没有任何基准数据可参考的形态，而保险公司在缺乏精算基准时的第一反应，就是将这种风险敞口完全排除在保单之外。

在 2026 年发布智能体的团队正处于一个几乎无人审计的保障真空区，而这种缺失只有在理赔时才会被发现，但到那时审计已经太晚了。

新理赔的形态

传统的网络保单触发条件取决于意图和身份：外部行为者获得了未经授权的访问、钓鱼邮件欺骗了用户、勒索软件加密了系统。智能体事故在每一项测试中都不符合。智能体拥有合法的凭证。智能体被授权调用工具。智能体的行为被记录、归属，并且在声明的范围内。没有入侵者，没有欺骗，没有恶意软件。只有一个自主系统以你的名义，在大规模范围内非常迅速地做错了事。

几种截然不同的损失模式已经出现在经纪人的办公桌上。一个拥有银行系统访问权限的智能体受到隐藏在供应商发票中的提示词注入（prompt-injection）负载攻击，并发起了一笔看起来与正常授权无异的电汇。一个多智能体工作流级联进入自我放大的循环，在一个周末内耗尽了六位数的推理预算。一个检索增强型助手引用了一个已不存在的文档，并给出了触发合规调查的受监管建议。一个编写代码的智能体合并了一项符合 Linter 标准、通过了测试并在协议层破坏了客户 SLA 的变更。这些都没有一项能清晰地对应到 2022 年起草的保单语言中。

这种鸿沟并非细微之别。它是“第三方对我们做了这件事”与“我们的系统代表我们做了这件事，而现在有人在向我们索赔”之间的区别。前者是网络保险诞生的初衷。后者则是你现在的路线图正致力于产出的结果。

保险公司实际在做什么

两种截然相反的趋势正在同时发生，而大多数买家只看到了其中之一。

第一种趋势是排除。主要保险公司引入了经纪人称之为“绝对 AI”的条款——即广泛的批注，排除任何“基于、源于或归因于”在因果链中任何环节、任何人使用 AI 的索赔。其起草意图非常宽泛：它涵盖了 AI 仅扮演次要甚至切向角色的索赔，并且预先阻止了那种认为“因为没有明确排除，所以默认涵盖”的隐形 AI 假设。D&O、E&O 和受托人责任险受影响最大，但网络保险也紧随其后。这种模式在以往的新兴风险周期中很常见：当精算师无法为某种风险定价时，他们就会将其排除在外，直到能够定价为止。

第二种趋势是肯定性批注。少数保险公司现在开始提供专门针对 AI 的附加险，明确涵盖智能体行为、幻觉驱动的法律责任以及提示词注入场景。Cowbell 在 4 月份发布了其 Prime One 产品，提供肯定性的 AI 和量子覆盖。Coalition 在作为可选项目试行一年后，将肯定性 AI 批注纳入了其基础网络保单。Axa XL 增加了一项针对训练自有生成模型组织的批注。专门的 AI 保险公司正在编写独立保单，承保那些被绝对排除条款拒之门外的风险。

买家面临的问题是，这两类产品由不同的团队销售，通常通过不同的经纪人，而且续保周期不会自动将“你以前受保障”翻译为“你现在已被明确保障”。一个在续保时没有主动寻求 AI 批注的团队通常会在下一次理赔时发现，他们在 18 个月前就被悄悄排除在外了。现在，这种批注是一项采购决策，而不仅仅是保单的一个脚注。

加剧差距的合同界面

保险缺口并非孤立存在。大多数企业客户协议也是在 Agent 获得工具访问权限之前起草的，它们在相同的问题上也有自己的版本。

主服务协议（MSA）通常将“系统生成的”输出责任分配给供应商，就好像“系统”指的是具有确定性行为的确定性代码。当系统是一个 LLM 驱动的 Agent，可以针对同一个输入采取一千种不同的行动时，合同的补偿条款在字面上依然成立——但它们所体现的风险分配已不再与所创造的风险相匹配。客户认为他们购买的是服务。供应商认为他们交付的是软件。Agent 做了双方在讨论方案时都未曾预料到的事情，而合同中没有任何条款预判到这一点。

上游模型的供应商条款（T&C）甚至更加失衡。大多数基础模型提供商对准确性、适用性和下游后果不承担任何责任。模型客户的客户默认承担了残余风险。当链路断裂时，保险公司查看合同堆栈，会发现责任分配非常明确——归你的公司承担。

这种修复不是一次性的法律突击。它是一种续约周期的纪律：每一个涉及 Agent 界面的客户 MSA 都需要进行合同审查，首要问题是：“对于由使用我们凭据运行的自主系统发起的行动，这份合同是如何规定的？”任何回答“合同未预料到这一点”的内容都是一个审计发现，而不仅仅是一个脚注。

核保人现在关注的问题

在过去的 12 个月里，网络安全核保人已经两次重写了他们的 AI 调查问卷。过去的问题是“你是否使用 AI，以及如何使用？”现在的问题更接近于安全审计：

• 哪些模型已投入生产（按版本分类），哪些调用点固定在哪个版本？
• 你的 Prompt 注册表是什么，你如何进行版本控制、审查和回滚 Prompt？
• 工具操作存在哪些审批门禁（Approval Gates），审批矩阵是如何与基础工具的风险等级相对应的？
• 你如何记录、保留和回放 Agent 追踪记录？这些日志的完整性保证是什么？
• 你在交付给客户的界面上的评估（Eval）覆盖率是多少？模型升级时的回归预算是多少？
• 当检测到回归时，你能多快冻结生产中的 Agent？

这些问题也是一位称职的 CISO 在批准 Agent 上线前会提出的问题。现在，它们也决定了你的保费和批单（Endorsement）的范围。仅仅回答“我们有日志”是不够的；核保人想知道这些日志是否达到了操作级、属性完整且防篡改，并拥有满足 Agent 运行环境监管要求的保留期限。理赔时保单要求的尽职调查标准（Duty-of-care standard），现在正被写入申请表中。

这产生了一个反直觉且有用的结果：安全团队为了在预售阶段满足企业 CISO 而已经开展的工作，同样可以降低保险保费。产出物是一样的：模型注册表、Prompt 注册表、审批门禁矩阵、评估覆盖率报告、审计日志架构图。将这些视为一套文档而不是两套，就是你的杠杆点。

保险公司要求的记录保存标准

当第一起六位数的事故发生时，保险公司的理赔员不会问“这是否发生了？”，而是会问“你能否以法院认可的形式证明发生了什么？”这个问题有一个特定的技术答案。

审计追踪必须在 Agent 行动的瞬间创建，而不是事后从遥测数据中重建。它必须记录：操作内容、触及的数据、最终支持该行动的人员授权、Agent 做出的政策决策、生效的模型和 Prompt 版本，以及时间戳——针对每一次重要的调用。它必须是防篡改的，在实践中这意味着加密链（Cryptographic Chaining）或一次性写入存储（WORM）。此外，它必须按照与监管环境相匹配的时间表进行保留：欧盟《人工智能法案》高风险系统为 6 个月，涉及 HIPAA 的 Agent 为 6 年，涉及 SOX 的为 7 年，PCI-DSS 则为 12 个月。

如果一个团队在事故发生的第一小时内无法提供这些记录，那么他们就很难辩称这起损失属于任何保单（无论是明确承保还是默认承保）范围内的事件。而能够提供记录的团队则拥有有力的证据，将“我们认为 Agent 做了 X”转变为“Agent 在此时间戳，使用此模型版本，在此用户会话下，在审批门禁触发后，执行了 X”——这就是赔付成功与被拒赔之间的区别。

本季度要做的事

按优先级排列，有三个具体的行动。

首先，进行承保范围审计。对于现行的每一份网络安全险、专业责任险（E&O）、董事及高管责任险（D&O）、犯罪险和忠诚保证险保单，写下同一个问题的答案：“对于由使用我们凭据运行的自主 Agent 造成的损失，该保单是涵盖、排除还是保持沉默？”以书面形式向经纪人提出此问题，并要求书面答复。保单中的沉默并不代表答复中的沉默；经纪人会告诉你，根据现有的判例法，保险公司将其视为涵盖还是排除。

其次，在下次续约日期之前，将 AI 批单推上续约议程。像对待网络安全保额上限提升一样对待它：货比三家，对比条款，并为保费做好预算。现在愿意提供明确 AI 承保的保险公司是那些已经完成了精算工作并希望获得业务的公司；而那些排除 AI 责任的公司则在释放信号，表明他们尚未准备好。你的购买决策也是一种投票。

第三，构建审计日志架构，就好像你的保险公司已经发布了尽职调查通知一样。即使现在还没有人明确提出，标准正在形成，而为一整套生产中的 Agent 补齐防篡改日志是一个耗时一年的工程。现在就做，在第一次索赔发生之前，成本要比发生之后再做低得多。

架构层面的实现

AI 风险尚未成为保险市场上的一种定价产品。除外责任的扩大速度快于肯定承保范围的扩大速度，精算基准依然缺失，而且每个智能体（agent）界面下游的合同栈读起来仍像是在处理一个 CRUD 端点。如果一家公司在运营时表现得仿佛风险已完全转嫁，那么在理赔时它会发现，自己其实是在无意中进行自我保险——而这一发现将引发董事会级别的事件，而不仅仅是一张采购记录。

抢占先机的公司并不是那些购买最高保额的公司。相反，它们将保险问题视为一种强制函数（forcing function），以此推动本就该完成的工程工作：版本化模型、版本化提示词、按风险分级的工具、防篡改日志、可回放的追踪，以及针对“当智能体犯错时，谁来买单？”这一问题的书面回答。这些工作使得智能体在发布时更安全、更易于管理，而且——顺便说一句——更具可保性。操作顺序至关重要。保险承保商是针对交付物（artifact）而非意图来承保的。

保险市场终会跟上。它一贯如此。在保单与智能体尚未“达成共识”的过渡期，正是损失产生的时候。