AI Agent 缺的不是更聪明，而是公共约束

Mark Nottingham 在 4 月 24 日的个人博客里给 AI Agent 热潮泼了冷水。他的意思很直：今天大家忙着谈模型会不会调用工具、会不会自动订票、会不会替人跑流程，却绕开了更硬的问题——它到底代表谁？

这个问题比“模型聪不聪明”更要命。一个 Agent 如果能读邮件、调接口、下订单、改日程，它就不再只是聊天窗口。它开始替用户行动。行动就需要边界，需要审计，也需要能被服务方信任的规则。

Agent 热潮少了三件事：边界、标准、制衡

Nottingham 的参照物是浏览器里的 User Agent。这个词听起来老派，但含义很关键：浏览器名义上代表用户访问网站，同时也让网站知道自己面对的是一套相对稳定的能力边界。

今天的 AI Agent 还没有这套东西。定义很松，行为不透明，平台说它“为你办事”，用户只能先信。数据源也难办：它不知道这个 Agent 拿走内容后会怎样加工、存储、转卖或用于训练。

几个对象放在一起看，问题更清楚：

智能电视收集观看行为，汽车厂商共享驾驶数据，Ring 摄像头因权限和安全问题被 FTC 处罚，新版 Outlook 被质疑把第三方邮箱凭据送往微软云端。Meta 也曾因研究项目解密竞争服务流量而卷入诉讼。

这些案例不说明“联网设备一定作恶”。它们说明另一件事：设备买回家后，用户不是唯一主人。厂商、广告商、数据经纪人、云服务商，都可能坐进同一辆车。

这就是 AI Agent 的风险底色。它越像助手，用户越容易交出权限。它越能办事，平台越容易把入口权、数据权和交易分成权包进去。

浏览器没那么干净，但它提供过一种集体契约

浏览器不是圣人。DRM、广告追踪、Chrome 隐私模式相关争议，都提醒我们：User Agent 也会被商业利益扭弯。iOS 和 Android 也说自己保护用户，但规则主要由单一公司制定，制衡更少。

可浏览器至少留下了一条经验：代理机制要可信，不能只靠厂商自述。

网站不能随便读本地文件，不能随意跨站拿数据。权限、Cookie、同源策略、沙箱、API 能力，都在标准、实现、兼容和安全争议里被反复磨过。W3C、IETF 不浪漫，争吵多，妥协也多。但争吵摆在桌面上，比黑箱里一句“相信我”强。

这有点像早期铁路和电力的历史。不完全一样，但结构相似：新技术一旦变成基础通道，就不能只按单家公司方便来设计。轨距、接入、安全、计费，都要变成公共问题。否则通道会变成关卡。

AI Agent 现在最危险的地方也在这里。它不只是展示网页，而是替用户做动作。浏览器时代的信任问题，到了 Agent 这里，会变成平台控制问题。

企业可以试，开放 Web 不能只靠平台良心

企业内部 Agent 可能会先跑起来。这不是因为企业更先进，而是因为边界更小。公司、供应商、客户之间有合同，有权限系统，有审计日志，也有事故后的追责路径。

所以企业采购现在不该只看演示视频。真正要问的是五件事：

• Agent 调用了哪些工具，日志能不能导出；
• 权限能不能分级，能不能随时撤回；
• 数据保留多久，是否进入训练或二次使用；
• 出错后谁负责，供应商、客户还是内部团队；
• 换供应商时，流程和数据能不能迁出。

这会直接改变采购动作。高风险部门不会因为一个 Agent 能写邮件、填表、查 CRM 就马上全量上线。更现实的做法是小范围试点，把权限压低，把日志打开，把关键流程留给人工确认。

开放 Web 更麻烦。用户希望 Agent 替自己省时间，网站和内容源却担心被抓取、被绕过、被重新包装。开发者也会被迫调整工具：要么提供更明确的授权接口，要么用访问控制、速率限制和内容标记保护数据源。

TEE、沙箱、权限弹窗有用，但不够。它们能限制一部分代码，不能消灭商业激励。Cookie 弹窗已经示范过一次：把每次谈判都丢给个人，结果不是更清醒的同意，而是疲劳点击。

“天下熙熙，皆为利来。”放到 Agent 上，这句话不玄。平台不会天然放弃入口、数据和交易位置。没有公共规则，所谓代理很容易变成代管；代管久了，就会变成控制。

接下来最该观察的不是哪家模型又强了多少，而是三条硬线：Agent 行为有没有公开标准；权限和日志能不能被第三方审计；用户与数据源能不能在同一套规则下授权、拒绝、追责。

如果这些线立不起来，Agent 越能干，风险越集中。它会把用户从一个个 App 里解放出来，再交到另一个更厚的黑箱里。