为了让AI代理在与人类协作的团队中发挥最佳作用,它需要访问与人类相同的工具、文档和上下文。
在“单人”AI体验中(即一个人和一个助手对话),这很简单:你连接自己的账户,代理代表你行动。但在像Claude Tag这样的“多人”AI体验中,Claude同时在一个共享频道中与多人协作,它使用的是属于工作区的工具和上下文,而非某个个人的。
为了支持多人体验,Claude需要拥有自己的工具账户,这些账户由管理员设置并绑定到工作区。我们称这种访问模型为代理身份。
本文将介绍代理身份的工作原理,如何将权限从单用户转移到频道级别,以及如何在自己的工作区中合理设置权限范围。
“以用户身份行动”模式的局限性
当你将AI作为个人助手使用时,可以连接Google Drive、GitHub、日历等平台,允许模型使用你的访问权限进行读写操作。
但这种模式不适用于Claude Tag,原因有两点:
- 代理自主性增强。 AI代理能够独立完成的任务长度大约每四个月翻倍。代理会自行安排后续任务,并在请求者下线后继续响应事件。虽然用户设置触发条件,代理大部分时间是自主工作的。
- 多人团队协作。 Claude Tag将Claude置于团队共享空间中,比如一个有三名工程师和一名产品经理一起调试的频道。当多人共同操作时,权限应归属于谁?没有单一用户能始终代表所有人。代理身份让管理员可以独立于人类成员定义代理在Slack中的权限,并清晰追踪代理的操作。
Claude以自身身份行动
在启用Claude Tag的频道中,Claude不代表单个用户行动。它在每个系统中都有自己的账户:在Slack中以Claude应用身份发帖,在GitHub中以Claude GitHub App身份打开拉取请求,在数据仓库中以管理员配置的服务账户查询。
由于没有个人用户凭证,任何共享频道都不会成为访问某人私人文档的后门。
权限继承机制
在代理身份模型中,管理员在工作区层面定义一个身份——Claude在各处的基础连接和技能集合,每个频道默认继承该身份。管理员可根据需要在频道层面覆盖权限,例如允许工程频道访问GitHub和数据仓库,或将CRM连接限制在某个私有频道。
除了凭证,管理员还定义:
- 仓库访问权限: Claude可读写的代码仓库。
- 连接器: Claude使用的工具和API密钥。组织内不同API密钥可连接同一服务但权限不同(如一般频道只读仓库,数据团队私有频道可写)。
- 技能和插件: Claude动态加载的指令、脚本和资源文件夹,用于提升特定任务表现。
- 常驻指令: 每个频道的自定义指令和上下文。
由于该模型基于独立的Claude身份,撤销身份即可终止Claude在所有使用该身份的地方的访问,管理工作量远小于审计数十个用户账户的单独代理操作。
代理身份模型的工作原理
代理身份将“这个用户能做什么?”的问题转变为“这个代理在这个隔离区能做什么?”,这不同于传统的基于用户的访问控制列表。频道成员即使没有直接访问仓库权限,也可以请求Claude读取该仓库,只要频道配置允许Claude访问。
这虽然不常见,但对于支持自主、多用户代理的访问模型来说是必要的。以下是设置权限边界的思路。

身份边界如何运作
Claude Tag为每个私有频道创建独立身份;公共频道共享工作区级身份。Claude在法律频道的身份无法访问未授权的代码,工程频道身份无法读取未授权的法律文档。记忆和访问均遵守这些边界:私有频道中学到的信息不会泄露到更广泛的工作区。
身份归属于频道,频道内任何人默认可标记Claude,管理员可将频道配置限制到最低权限成员。在企业版中,基于角色的访问控制(RBAC)允许管理员进一步决定哪些成员可以调用Claude,因此频道既控制代理能访问的内容,也控制谁能发起请求。
广泛的默认工具和上下文访问

在Anthropic内部运行Claude Tag时,我们发现其价值随着工具和上下文访问的增加而成倍增长。每个连接的系统都会提升其他系统的效用,因为Claude能跨系统整合上下文——从Slack拉取线索,从Drive获取文档,从问题追踪器调取工单,从数据仓库查询数据,合成单一答案,这是任何单一工具无法实现的。
最能发挥Claude价值的团队是那些从一开始就给予其宽泛访问权限的团队,然后根据组织管理员的偏好逐步收紧权限。代理身份为管理员提供了足够广泛的权限范围,使Claude能跨系统高效工作,同时权限边界足够清晰,确保访问不会超出授权范围。我们的建议是先在几个频道设定基础配置,查看审计日志,再根据工作需要逐步扩展权限,每次都谨慎授权。
对于需要更细粒度控制的组织,管理员可以在特定频道禁用Claude Tag,也可以通过RBAC限制特定用户访问Claude Tag。
私信的不同处理
在Claude Tag中,私信与共享频道不同。私信运行在用户个人的claude.ai账户上,使用个人连接器、凭证和身份显示结果。这使得私信成为处理不应公开在频道中的任务和工具的合适场所,比如邮件草稿或仅你拥有许可的软件。
安全与审计
当管理员将连接添加到频道配置时,凭证会被独立存储并映射到该频道身份,随后在请求时注入网络边界。管理员未授权的任何外发流量都会被直接阻断。审计方面,每个例程、记忆写入和网络调用都会被记录,且由于Claude以自身服务账户身份操作,这些行为也会出现在各连接系统的日志中。
未来展望
代理身份是Claude Tag访问模型的基础。未来,我们计划增强Claude Tag的安全功能,包括即时凭证授权——用户可在关键时刻批准单次敏感操作,而不必永久扩大代理权限范围;以及面向复杂权限结构的身份感知覆盖层。这将为代理权限增加用户级别的校验,确保只有当频道配置和请求用户权限均允许时,Claude才会执行操作。
从单人到多人AI的转变,使得长期、团队协作的工作成为可能。代理身份确保Claude的工具访问既足够广泛以发挥作用,又足够受控以满足企业级安全需求。
了解更多关于Claude Tag的信息。
本文作者为Claude代码团队技术成员Noah Zweben。


