北京
ji
進入2026 年,Agent 徹底火了。
Claude Code、ChatGPT Agent、Manus,再加上一堆大廠的企業級工作流平臺,動不動就喊“替代打工人”“創造萬億美元價值”。麥肯錫的報告也在推波助瀾:62% 的企業正在試水 Agent。
但把熱鬧先放一邊,真正的問題是——在真實工作場景里,Agent 到底走到哪一步了?
最近,MIT、哈佛、斯坦福等機構的研究團隊發布了一份《2025 AI Agent Index》。
這幫學者干了一件很有價值的事:
他們把市面上最具代表性的30 個代理系統逐一拆開來看了一遍,并設計了45 個維度,仔細扒了扒這些產品的技術細節、部署情況、設計架構、工具使用和安全機制等信息,得出了當下Agent最硬核的3個真相。
透過這部分報告,我們就能更清晰地了解當下Agent發展的真實情況。
產品形態收攏在這3個方向
大多數代理產品集中在2024–2025 年發布。
(藍色柱狀圖代表與代理型人工智能產品相關的谷歌新增搜索詞,紅線則代表谷歌學術中包含“人工智能代理”或“代理型人工智能”關鍵詞的論文發表數量)
從產品形態看,AI代理基本收攏在了三個方向:
聊天式代理(12個):以對話為入口,掛載各種工具箱;
企業自動化平臺(13個):主打B端工作流的自動化編排,已經成為與聊天界面分庭抗禮的主流形態;
瀏覽器/GUI型Agent(5個):直接接管屏幕,模擬人類點擊和輸入,類似于之前的豆包手機。
企業工作流平臺已成為與聊天界面并列的主流形態。其中,中國開發的GUI 型代理更傾向于整合電話與電腦操作能力(5個中有3個具備雙能力),功能整合度更高。
按應用場景來分,排名前三個的例子是:信息研究與集成(12個)、跨部門工作流自動化(11個)、以及表單填寫和預訂等瀏覽器操作(7個)。
在底層模型上,除了Anthropic、Google、OpenAI這幾家“前沿實驗室”以及部分中國廠商在使用自研模型外,大多數的代理都在高度依賴GPT、Claude或Gemini系列。
盡管“模型開源”已經成為行業趨勢,但在Agent產品上則呈現了完全不同的局面。
30 個代理中,有 23 個選擇完全閉源。只有7 個開源了代理框架或工具層,包括 阿里MobileAgent、Browser Use、TARS、Gemini CLI、n8n、OpenAI Codex、WRITER。
生態在變開放,商業產品卻仍以封閉為主。這是一種典型的“框架開放、產品閉源”結構。
從行動空間到自主性,AI代理正在分化
雖然都叫“Agent”,但這30個產品的功能相差很大。
其中,一個核心區別在于,行動空間。
企業工作流代理,主要通過CRM、數據庫等系統連接器來執行操作(8/30)。它們更像企業流程里的自動執行節點。
命令行界面(CLI) 代理則直接操作文件系統和終端命令(4/30),能力更偏工程環境。
瀏覽器代理的方式最直觀:點擊、輸入、導航網頁(5/30),它們直接“代替人類”操作界面。
值得注意的是,企業代理的行動空間通常被嚴格限制,并優先設置工具權限與使用防護。換句話說,越貼近真實業務系統,控制就越嚴格。
在用戶界面上,Agent產品也出現了不同的選擇。
在企業場景中,畫布式編排界面已成為標準。8/13 的企業平臺采用可視化流程組合界面,讓用戶配置觸發器、動作與防護規則。
而在消費級場景里,聊天界面依然是主流入口(14/30)。這意味著,設計層強調流程構建,使用層強調自然語言。
最重要的是,不同類型的代理,在“自主性”上也呈現出明顯分層。
最常見的仍然是“輪次式助手”。Claude、Gemini、ChatGPT 等產品采用的是低至中等自主性模式(L1–L3):每執行一組動作,便等待用戶下一條指令。
這種結構本質上仍以人類為中心,模型只是延長了操作鏈條。
但在同一產品內部,自主性差異可能極大。例如“普通聊天”與“深度研究”功能之間,已接近兩個不同范式:前者只是響應式生成,后者則可在一定程度上自主規劃任務路徑。
瀏覽器代理則代表了另一端。它們通常達到L4–L5,自主性顯著更高。一旦接收指令,便獨立完成整個執行流程,過程中幾乎沒有實時干預空間。用戶的控制權,在提交任務那一刻就已經讓渡。
而在企業級代理上,則呈現出一種更復雜的結構:設計階段低自主,運行階段高自主。
簡單來說,在設計階段,用戶通過可視化畫布配置觸發器、流程與防護規則,部分平臺提供AI 輔助(L1–L2)。
但部署完成后,代理通常由郵件、數據庫更新等事件自動觸發,運行時無需人工參與,進入 L3–L5 狀態。
這意味著,自主性并非線性增長,而是“階段性切換”。
自主性在變強,責任邊界也在模糊
從接口層看,MCP 已成為代理生態的主流標準。30 個系統中有 20 個支持這一協議,說明“如何接入工具”正在趨于統一。企業平臺中,還有一部分開始支持代理間協議(A2A),但整體仍處于早期階段。
盡管協議層在收斂,身份層卻在分化。
多數代理默認不向終端用戶或第三方披露自身的AI 身份。21/30 沒有記錄默認披露行為,只有極少數支持生成內容水印。
也就是說,企業平臺往往將披露責任交給客戶,是否告知用戶“你正在與 AI 交互”,并不由平臺承擔。
在技術識別層面,情況更加復雜。
大部分瀏覽器代理通常無視robots.txt 文件,直接以“代表用戶”身份運行。
企業認為,代理不應被視為傳統爬蟲,但這一邏輯正在引發法律爭議。
代理繞過網絡限制的趨勢,正在改變控制權結構——從內容托管方轉移至代理運行方。
目前,ChatGPT Agent 是唯一采用加密請求簽名的系統。多數代理缺乏可驗證的身份機制。
隨著更多任務交由代理執行,“誰在行動”將變得越來越重要。同時,將披露責任轉交給運營方,也帶來一個問題:終端用戶是否真正知道自己正在與AI互動?
同時,當構建者將安全責任轉移給用戶時,責任邊界變得模糊。一個更現實的問題開始浮現:當代理開始執行任務,人類還能在多大程度上掌控它?
在這30個代理產品里,大部分都設計了審批與監督機制,但方式并不一致。
比如,開發者或CLI 類代理,在涉及文件修改、命令執行等高敏感操作時,通常會要求明確確認;瀏覽器代理則把控制節點更多放在身份驗證與支付環節。
一部分產品甚至提供“實時監控模式”,允許用戶在關鍵步驟中觀察執行過程。
但如果你仔細觀察就會發現,不同產品之間的透明度差距很大。
少數代理會展示完整的行動軌跡和推理過程,讓用戶清楚看到它如何決策、調用了哪些工具;更多系統只提供概括性的說明,甚至在執行過程中幾乎不留下可追蹤的痕跡。
而對于不少企業級平臺來說,外界甚至無法確認單次運行是否存在實時監控。
這意味著,控制機制“存在”,但不均衡;監督邏輯“可見”,但并不標準化。隨著代理能力提升,人類對執行過程的可見度,并沒有同步提高。
/ 04 /
總結
這份指數在1350 個維度上記錄了 30 個代理系統,但更重要的,是它揭示了三個結構趨勢:
第一,安全披露高度不均。
僅有極少數代理發布針對自身架構的系統卡片。大多數系統要么只披露基礎模型信息,要么只強調合規認證。能力基準與安全評估之間存在明顯不對稱。
當代理風險越來越多地來自規劃能力與工具調用,而不僅是模型輸出時,僅依賴模型層面的文檔已不足夠。
第二,基礎模型高度集中。
幾乎所有代理都依賴GPT、Claude 或 Gemini。模型供應集中帶來效率與評估便利,但也意味著單點風險。定價調整、服務中斷或安全漏洞,都可能向下游系統擴散。
風險管理因此不能只停留在代理部署方,而必須延伸至上游模型提供商。
第三,責任鏈條分散。
代理系統往往形成一條多層依賴鏈:基礎模型、編排層、構建平臺、部署方、最終用戶。沒有單一實體對完整行為負責。
在這種分布式架構下,僅憑模型文檔做安全判斷,很容易形成虛假保障。
文/林白
PS:如果你對AI大模型領域有獨特的看法,歡迎掃碼加入我們的大模型交流群。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
