摘要
这一波企业级 Agent 浪潮里,真正能跑出来的是那些能帮企业把「边界」划清楚的公司。
最近,有两类人特别着急。
一类是企业管理者。OpenClaw 火了之后,身边的对手已经在让 AI 接管财务、做 CRM、跑 marketing,效率据说翻了十倍。你不动,下个季度可能就被甩开几个身位。
但当老板们真要在公司里推,问题立刻冒出来:让 Agent 进公司,边界划在哪?哪些数据它能碰、哪些不能?哪些事让它自主决策、哪些事必须人按一下确认?核心代码库交给它,删了一半你找谁说理?装在每个员工电脑上,有人装了第三方不干净的 Skill,随时可能暴雷——不用等死,用了等炸,这是今天大多数老板真实的处境。
另一类是创业者。数字员工这种生产力革命级别的机遇摆在那里,有创业公司把产品定价做到 2000 美金一个月起步,却还有上千家企业排队等待公测;有团队把全公司办公自动化推进到 30%,放话要做「一天上线 1000 个需求」的公司。
但创业者也清楚,大厂们也在密集出招。龙虾发布不久,国内的字节、阿里、腾讯就密集出手,而在刚结束的 Next 大会上,Google Cloud 则推出了 Gemini Enterprise Agent Platform,身份、网关、策略、可观测性,从 Agent 怎么发证到 Agent 怎么被监控,一套打包。底层的活儿大厂越做越深,基模能力又在不停往上吃应用层的工程补丁,机会很大,缝隙很窄,创企如果只有薄薄套一个壳,明天就可能被两头夹掉。
这两种着急看上去是两件事,本质上是同一个问题:Agent 进入企业之后,边界线到底划在哪里。
管理者要回答的是,Agent 能进我公司哪些边界、不能进哪些。创业者要回答的是,大厂的边界到哪、基模的边界到哪、我自己该站在哪。
这条线还没划清楚,但反过来看也是最大的机遇,这一波企业级 Agent 真正的胜负手,不在模型多聪明,而在边界谁先划明白。
一、为什么 Agent 时代,旧的边界划法失效了
要理解这条线为什么这么难划,得先理解一件事:Agent 不是软件,旧的「权限边界」在它面前不够用。
过去二十年企业 IT 安全的工具箱,本质上建立在一个前提上,也就是软件的行为是写死的,你能预判它会做什么。 防火墙拦请求、API 网关拦调用、IAM 拦权限,安全的边界在「它能不能做这件事」上。能做就放行,不能做就拦截,清清楚楚。
Agent 不是这样。Agent 不是「做这件事」,是「达成这个目标」。它自己决定路径、自己组合工具、自己拼接操作。你给它一个「帮我整理上周客户反馈」的任务,它可能调用邮件工具、可能去翻聊天记录、可能写一段代码处理表格、可能把结果写进数据库,这些动作单独看每一个都合法,组合起来可能就是数据外泄。防火墙拦不住提示注入,API 网关也挡不住一个权限过大的 Agent 通过合法工具调用泄露数据。
更麻烦的是,大多数企业根本就还没有给 Agent 划过单独的边界。一项针对 228 名 IT 和安全专业人员的调查显示,43% 的组织对 Agent 使用共享服务账号,52% 依赖工作负载身份而非 Agent 专属凭证,68% 无法在日志中区分 Agent 行为和人类行为。意思是,大多数企业把 Agent 直接塞进了原本给「软件」或者「员工」的框框里——这是个根本性的错位。
这种错位带来的直接后果,是 Agent 的责任无人认领。今年 RSAC 大会上,微软、思科、CrowdStrike、Splunk 四家公司在四个台上讲了同一件事:没有任何一个职能部门主动认领 AI Agent 的访问权限管理。安全说这是开发者的责任,开发者说这是安全的责任,没人真正认领。
不是大家不想负责,是大家都在用旧的安全手册找位置,而旧手册里根本没有 Agent 这个角色。问题不是哪个部门不负责,而是这条边界还没划。 这条线没划出来之前,所有人都在踢皮球。
那么,谁来划第一条线?最有动机也最有能力的那一方,是平台。
二、大厂的第一层安全线:基础设施级别的硬边界
Google Cloud 推出 Gemini Enterprise Agent Platform 时,讲的核心不是「我们的模型多好」,而是「我们替你把基础设施层的边界划好了」。
这套思路的反常识之处在于,它直接反对了过去十年安全行业最流行的方向「shift left」,也就是让安全越来越早地介入开发流程,把责任越来越多地推给开发者。Keynote 结束后,我们与 Google Cloud 全球开发者关系负责人 Ankur Kotwal 进行了交流,他认为:这条路在 Agent 时代走不通。开发者已经被各种 CVE、依赖项漏洞、配置错误压得喘不过气,再让他们去识别 Agent 的安全风险并修复,是不可持续的。
Google Cloud 给出的方向是反过来的,叫「shift down」,让平台变得更聪明,承担更多职责,而不是给开发者再加一张检查清单。这背后其实是一个关于责任分配的判断:业务边界应该由开发者划,基础设施边界应该由平台划。 划清这件事本身,就是一种责任分配。
平台具体在划哪几条线?
第一条线:身份边界。Agent Identity 给每个 Agent 一个独立的加密身份。这些身份不像传统服务账号那样在多个工作负载间共享,不能被仿冒,开发者也无法为其生成长期有效的密钥。访问令牌通过加密方式绑定到 Agent 唯一的 X.509 证书上,以防止令牌被盗用。对照前面那个 43% 用共享账号、68% 分不清 Agent 和人的数据,这条线的意义就出来了,它把「这个动作是哪个 Agent 干的」从一个模糊问题变成了一个有据可查的问题。没有这条线,连追责都无从谈起。
第二条线:权限边界。Agent Gateway 是所有 Agent 通信的强制通道。作为中央策略执行点,它管理所有 Agent 的工具调用、强制执行最小权限策略,并在运行时拦截越权操作。Google Cloud 演示这套平台时有一个被反复提及的细节:演示者试图通过 Agent 修改一笔活动预算,被网关直接拦截。这条线的意思是,边界不靠开发者自律来守,而是放在 Agent 必经的通道上,跑不过去就过不去。
第三条线:漏洞边界。这部分由 Wiz 来做,这家被 Google 刚刚以 320 亿美元收购的云安全公司,核心能力是把「找漏洞」这件事从人肉变成 AI 主动出击。Wiz 的红队 Agent 会持续尝试攻击系统的复制环境,把潜在漏洞挖出来。但更有意思的是它对「毒组合」的识别,比如说七个单独看都不严重的小配置问题,组合起来变成一个高危风险。这种累积型漏洞人肉排查几乎找不到,但 AI 可以,而且修复建议直接在 IDE 里生成代码、直接提交。这条线划在了「什么是真正的风险」上,把风险评估这件事从开发者头上接了下来。
三条线合起来,本质是一个基础设施层的硬边界包:身份、权限、漏洞。这三件事和具体业务无关,任何企业用 Agent 都得过这三关。正因为它们和业务无关,所以才适合平台一次性做掉。
但这只是第一层。
平台划的是「通用的、和业务无关的」那一层。可企业真正落地 Agent 的时候,80% 的边界问题不是通用的,是和业务死死绑在一起的:哪些数据是公司的命门?哪些决策可以让 Agent 自主、哪些必须人按一下?Agent 应该记住什么、忘掉什么?第三方装进来的 Skill,能不能信?
这些问题平台答不了。因为平台不知道你公司挣钱靠什么、命门在哪、业务长什么样。
这就是夹在中间那一层——大厂划不了,企业自己又没能力划清楚。这一层,才是创业公司真正的位置。
三、夹在中间的那一层
中间这一层有四道边界,大厂划不了,企业自己也划不清。每一道边界,都是一个明确的产品空间。
第一道边界,是风险分级——它是一道纯粹的业务题,平台只能提供机制,内容必须由企业自己回答。
Google Cloud 将 Agent Gateway 已经把执行机制做得相当完善:你可以配置「Agent 不能访问外网」、「Agent 对财务系统只能读不能写」、「Agent 调用某个 MCP 服务必须在人类审批之后」。Ankur 反复强调这套机制的灵活体现在可以在控制台中选择 Agent、选择目标服务、设定条件,策略几分钟内就生效。但机制是空的容器,真正决定企业生死的,是往里面填什么。
这件事在落地实践里被反复印证。国内已经有创业者把公司风险拆成三档来跑全员 OpenClaw:最高一档是「公司挂掉级别」,核心代码库被删、薪酬系统被泄露、业务核心数据被外传,这些事必须从软件、硬件、网络多层物理隔离,任何 Agent 都不能碰;次一档是「损失几万美金可承受级别」——Agent 跑错流程、删错文件、发错邮件,这些可以放给 Agent 跑,因为提效本身能赚回来。这种分级逻辑听起来朴素,但它的核心动作是判断:公司挣钱靠什么?命门在哪里?哪些事错了能补,哪些事错了就完了?这是一道纯粹的业务题。
绝大多数中小企业,根本没有一个清晰的「我公司的 T0 是什么」的答案。这就是产品空间所在——把风险分级做成针对具体行业、具体规模企业的咨询、工程和产品的复合能力。金融行业的 T0 长什么样、电商的 T0 长什么样、SaaS 公司的 T0 长什么样,这些模板和落地方法论,大厂做不细,企业自己想不清。已经有创业团队在把这件事产品化,他们管这种打法叫「渐进式信任」——先给读权限,慢慢加写权限,核心系统的写入权限到产品上线公测时都没完全开放。这本身就是一种边界管理的产品形态。
第二道边界,是组织记忆——它是产品问题,不是基础设施问题。
Google Cloud 的 Memory Bank 提供了完整的底层能力:存储、检索、嵌入向量、长期记忆持久化。Ankur 告诉我们,演示中那个规划 Agent 能从历史记忆中调取细节、结合新规则调整方案,背后是一整套数据流水线在工作——本地法规、交通规则、非结构化数据被分块、生成嵌入向量、存入数据库,通过 RAG 让 Agent 自动检索。但这套基础设施回答的是「记忆怎么存」,而不是「记忆怎么组织」。
这两件事的差距,在企业落地里立刻就会暴露。我们之前聊过的一个案例:企业用数字员工一个晚上做出了一个高度定制化的 CRM——能自动扫描每天的新数据找 Upsell 机会,识别退订原因。同样的活儿,过去要用咨询公司花几十万美金做几个月。Agent 做出来的不是软件,是「懂这家公司」的产物——这种「懂」,来自一套被精心组织过的组织记忆。
这也点出了基模平台的边界:OpenClaw 自带的记忆系统是给个人助理设计的。它记住的是「用户喜欢什么咖啡」、「用户常去哪里出差」——这套对企业里的员工不够用。企业里的员工需要的记忆是另一种东西:它应该记住每个人是谁、负责什么,公司业务是什么、怎么发展,什么应该长期记住、什么应该主动遗忘,什么是核心情境、什么是噪音。
这是产品问题,不是基础设施问题。不同行业、不同业务形态、不同规模的公司,组织记忆的形态差异极大——一家咨询公司的记忆要按项目和客户组织,一家电商公司的记忆要按 SKU 和促销周期组织,一家媒体公司的记忆要按选题、风格、定位、价值观。这些产品形态,大厂的标准化平台做不细,企业自己又做不动。面向不同行业的「组织记忆产品化」,是夹在通用基模和具体业务之间的一个明确空间。
第三道边界,是基模和应用之间的「驾驶舱」——一个会被基模升级吃掉一部分、但永远存在最后一公里的领域。
Harness Engineering 是过去两个月硅谷讨论最多的概念之一,中文叫「AI 驾驭工程」——简单说,就是 AI 员工想真正干好活,光靠基模聪明不够,外面那一整层的控制系统才是关键:怎么规划任务、怎么调用工具、怎么管理记忆、出了错怎么兜底。
这道边界的特殊之处在于:它的边界会随基模升级而移动。当基模能力变强,原本需要大量工程补丁解决的问题,可能直接被基模消化掉——你为这一代模型打的补丁,到下一代可能反而成为限制。从业者中有一种鲜明的观点:跟着 Claude 的官方博客抄就行,Harness 是落地最后一公里的补丁,这一代你给它 context,到下一代它可能觉得你在给它 control,反而限制了它。
但另一种声音同样有力:「最后一公里」看起来短,实际是一段长期工程。已经有创业团队把这件事做成内部硬性要求——每个代码库 Agent 都要能自己独立跑起来、每次 PR 都要能让 Agent 自己测试、如果跑不起来,就是「你没让它做足够的 mock」。这一整套围绕 Agent 工作流重构的工程实践,本身就是 Harness Engineering 的核心内容。
这两种判断恰好揭示了 Harness 的真相:它会被基模一点点蚕食,但只要「模型能力」和「业务落地」之间存在差距,中间就需要工程能力填补。谷歌的 Agent Development Kit 提供了通用的脚手架,但通用脚手架解决不了具体业务的脏活累活。这是个手艺活儿,大厂的标准化产品做不了,创业公司能不能跑出来,取决于一件事——它能不能跟着基模一起进化、不断把过时的补丁扔掉、补上新的缝。
跟得上基模迭代节奏的,持续有价值;跟不上的,会很快被吃掉。一个值得创业者注意的判断是:OpenClaw 出来之后,你第一次会感觉到,在很多场景下,模型没有那么重要了——产品甚至盖过了模型的威力。这意味着,基模以外的应用层创业,有自己的活路。
第四道边界,是 Skills 的信任——一个谁都还没接住的真空。
这道边界最有意思的地方在于,它是大厂自己都承认还没解决的问题。Ankur 在访谈里坦率指出:Skills 是你向模型提供的指令,本质上不只是代码执行。即使你今天能信任某个 Skill,也无法保证它明天不会被恶意更新——可能存在恶意意图。他给出的预期是,「随着时间推移,我们可能会提供判断 Skill 风险的能力,比如判断这项 Skill 是否在表达令人担忧的内容」。「可能」、「随着时间推移」——这两个词意味着,平台目前没有这个能力,而且短期内也不会有。
而企业自己,同样没有解法。已经下场实践的从业者讲得更直接:假设有个坏蛋写了一个 Skill,伪装成帮财务做事的工具,实际上在收集公司账号密码——你怎么办?他们目前能想到的唯一办法,是对员工做安全教育,因为大模型本质是黑盒,这类风险无法用规则穷尽。安全教育在风险无法穷尽的前提下,只能托底,不能解决。
行业现状把这个真空衬得更刺眼:Snyk 在今年 2 月发布的一份报告中称,其扫描了近 4000 个 ClawHub Skills,超过三分之一有不同程度的安全缺陷,其中 13.4% 被评定为严重等级。第三方 Skills 的可信度评估,平台没接住,企业自己也没解决。这是一个明确的、还没有人划的边界。
这是中间那一层最干净的一块空白。Skills 的可信度评估、签名机制、准入审查、行为监控,会是下一阶段非常重要的中间层基础设施。今天这个位置空着,谁先划清楚,谁就有机会定义下一波 Agent 生态的「应用商店」层。这不是一个套壳能解决的问题——它需要安全、合规、产品、生态四方面的能力交叉,但也正因如此,一旦做出来就是真正的护城河。
Agent 时代的边界,远没有划完。大厂划了第一层——身份、网关、策略,这是和业务无关的硬边界。但越往落地走,越能看到那些大厂划不到的地方:你公司的 T0 在哪、组织记忆怎么沉淀、Harness 怎么搭、Skills 该信任谁。这些问题没有标准答案,也正因为没有标准答案,夹在中间这一层才是创业公司真正的机会。
这一波企业级 Agent 浪潮里,真正能跑出来的,可能不是又一个做 Agent 框架的公司,而是那些能帮企业把「边界」划清楚的公司。
