深度访谈|OpenClaw引爆Agent元年,AI Agent在企业内如何规模化应用?

2026 年初，开源智能体项目 OpenClaw 风靡全球，迅速成为开发者社区的焦点。

这场现象级爆发，也让行业关于“Agent 元年”的判断，第一次有了具象而清晰的参照。

OpenClaw 的走红，让开发者乃至普通用户首次直观感受到：AI 正在从“对话框里的顾问”，跃迁为“现实世界中的执行者”。

它不再只是提供建议或生成代码，而是能够理解复杂指令、自主调用工具、在多维环境中完成任务，并交付闭环结果的“数字劳动力”。

短短数月，这股浪潮便从极客社区扩散至大厂、创业公司与个人用户，推动整个行业重新思考 AI 的终局形态：未来的智能入口究竟在哪里？AI 的核心价值是否正在从“内容生成”全面转向“任务达成”？

当 Agent 真正拥有“执行权”后，一系列现实问题也随之浮现：权限边界、数据安全、成本黑盒、可观测性以及长期信任机制，逐渐成为企业级落地无法回避的深水区。

与此同时，以 HermesAgent 为代表的新一代技术路线，也在为这一赛道引入新的变量。相比单纯强调工具调用的执行模式，新一代智能体开始更加关注记忆沉淀、自我学习与长期进化能力。

至此，关于 AI Agent 的讨论，已从“能不能用”、“好不好用”，走向“如何持续变强”“如何稳定治理”，以及“如何真正进入企业核心生产环境”。

本期是《AI Token 说》系列第二场对谈。我们邀请到两位深度参与 AI Agent 演进的一线实践者：

冯成成，阿里云专有云 Agent 技术开发负责人，将立足企业级落地前线，分享 Agent 在企业级场景中面临的安全管控、权限体系、协同机制问题，以及生产部署中的真实挑战。

姚柳佚，阿里巴巴 ATH 事业群通义大模型事业部科学家，她也是 QwenPaw 产品技术的负责人之一，将从产品体验、开源生态与用户路径出发，解析 Agent 如何从“技术尝鲜”走向“工作流”价值输出。

本文将围绕“从 OpenClaw 爆火到企业级 Agent 落地”这一主线，拆解热潮背后的底层驱动力，并探讨它将如何重塑企业生产力、个人智能助理形态以及加速开源生态演进的路径。

主持人：OpenClaw 为什么会在国内迅速成为一个全民级事件？

冯成成： 作为技术人，其实我们已经研究 OpenClaw 一段时间了。尤其是在 OpenClaw 爆火之前，我们在专有云 OpenTrek 里就已经做过相关技术探索。

OpenClaw 本质上代表一次 AI 交互范式质变：它从过去的“对话式 AI”推进到了“执行式 AI”。

以前 AI 再聪明，本质上是一个顾问。你问它问题，它给你答案，不会真正进入业务流程。

而 OpenClaw 出现后，开发者能非常直观感受到：AI 不只能回答问题，还能拆解任务、选择工具，并自动完成执行。这种体验变化是非常强烈的。

当然，它爆火并不是突然发生的。背后有几个前提：首先，底层模型能力已经足够强，能理解复杂指令，并且相对可靠地完成任务拆解和调度；其次，OpenClaw 本身使用门槛并不高，普通开发者也能快速上手。两者叠加之后，就点燃了整个开发者群体的热情。

姚柳佚： 我觉得可以总结为三个方面：模型能力到了、产品体验顺了、开源传播快了。这三个因素共同推动了 OpenClaw 的爆火。

尤其是在产品体验层面，它和过去的云端聊天机器人很不一样。它不再只是一个远程问答工具，而是真正“长”在你的本地环境里，可以理解你的上下文，并且执行具体任务。

它在产品设计上接入了 IM 渠道，也有心跳机制、定时任务机制等，这也是产品体验上的一次重要革新。

主持人：有哪个产品体验点让你觉得它和过去的 AI 产品完全不一样？

姚柳佚： 我第一次用它的时候，让它帮我部署一个网站。真的是从零开始，一步步完成，写代码、改文件、改配置，最后到我得到一个在浏览器里打开，可以直接点击访问的网站页面。

这是我第一次非常明确地感受到：AI 真的可以把一个完整任务做完，而不是只给我建议或者代码片段。

但坦白说，我当时看着它在本地环境里写代码、改文件、改配置，心里还是有点发毛的。我会担心：它会不会把我的系统搞崩？更关键的是，它会不会把自己也搞崩？

所以一方面这个体验很震撼，另一方面也确实会带来一些安全上的挑战。

冯成成： 我第一次使用 OpenClaw 场景，和大多数人可能比较类似。一开始会弹出一些文件权限授权，先给它授权，然后让它做了一个很简单的任务：如整理一下本地文件夹。

它确实做到了普通 AI 很难做到的事情。不只告诉我怎么整理，而且能够理解我的文件夹结构、文件类别以及它们之间的关系，然后把它们重新整理得更有条理。

我觉得到了这一步，AI 才真的开始接近“个人助理”的角色。尤其是在本地文件整理这类场景里，它不只是回答问题，而是开始真正帮你处理个人工作环境里的具体事务。

主持人：年初大家都经历了一轮“装机热”，但装了不代表真的能用起来，尤其是本地化部署。那么，从“养虾”“试试”到真正高频、稳定用起来，中间到底隔着什么？需要做哪些动作，才能让它真正进入日常工作流？

姚柳佚： 我觉得从“试试”到真正“用起来”，中间主要要补上两件事：场景适配和信任感。

第一是场景适配。很多人装完龙虾后，只是觉得新鲜，让它做几个任务。但关键在于，它有没有和你的日常高频场景结合起来。如果没有结合日常场景，那它只是一阵“虚火”，看起来热闹，但很难长期留下来。

只有当它真正进入你的工作流，比如处理文件、整理信息、生成报告、同步消息、执行固定流程，它才会持续产生价值。

进一步说，如果这些高频场景能沉淀成龙虾自己的 Skills，它就能更稳定地理解你的工作方式，后续执行也会更智能。

第二是信任感。真正用起来后，大家会很自然地产生顾虑：它会不会把文件改坏？会不会误操作？会不会发送我的隐私信息？

这些担心很现实。因为龙虾一旦进入本地环境，开始接触文件、配置、消息和工作流，它就不再只是一个回答问题的工具，而是一个真正能执行各种动作的系统。

所以，核心找到并适配高频场景，同时建立对它执行能力和安全边界的信任。

冯成成： 从我的视角看，用户从“试试”到真正用起来，中间隔着三道隐形的墙：场景的墙、成本的墙、信任的墙。

第一道同样是场景墙。很多用户把龙虾装起来后，第一反应是：“然后呢？我让它干什么？”还是会沿用过去使用 AI 的方式，比如问它：“怎么写周报？”最后得到的也只是一个普通大模型式的回答。

所以但真正的转变在于，你要换一种方式和它沟通。不是问它“怎么写周报”，而是让它去读你的本周日程、查看邮件、整理工作内容，最后帮你生成一份周报，甚至发到钉钉上。这才是一个完整链路。

也就是说，当你把龙虾看作“个人助理”时，它的价值才会真正体现出来。用户首先要解决也是“我如何把一个完整任务交给它”。

第二道是成本墙。很多用户刚开始觉得龙虾很炫酷，但跑了一周之后发现 Token 消耗不少，钱包确实有压力。用户就会开始算账：它提升的效率，能不能覆盖我花出去的钱，以及它节省下来的时间。

如果这笔账算不过来，用户很可能又退回到手动操作。所以关键的一点，是要选择高价值场景。真正适合它的，是那些重复、高频、链路较长、手动处理成本较高的任务。

第三道是信任墙。当你用得越来越久，越来越多事情交给龙虾后，就会产生新焦虑：它会不会乱改我的文件？会不会把隐私数据发出去？如果它真的误操作了，我该怎么办？

这道墙最难跨越。因为它不只是功能和技术问题，而是用户心理上的确定性问题。用户需要知道它在做什么、为什么这么做、做错了能不能回滚、哪些动作需要确认后才能执行。

很多用户就停在了第一道墙或第二道墙。所以，要让龙虾真正用起来，要帮助用户找到高价值场景、控制使用成本，并逐步建立执行信任。

主持人：开源确实在 OpenClaw 的爆火中发挥了重要作用。你们怎么看当前 Agent 开源生态的格局？开源和 Agent 的发展之间，究竟是什么关系？

姚柳佚： 如果把 Agent 开源生态比作一张地图，OpenClaw 肯定是其中非常亮眼的一部分，但整个生态远不止 OpenClaw。

从我自己体验看，Agent 开源生态已不再只是小圈子开发者的游戏，而是有越来越多普通用户、非技术背景的人参与进来。比如在我们 QwenPaw 的 Discussion 区域，就会有很多用户来提 Issue、提 FeatureRequest。

这些用户当然不一定都贡献代码，但他们同样是开源社区的重要成员。他们可以提出改进建议，可以分享使用体验，也可以在社媒上讲自己是怎么用的，在哪些场景里获得了 Ahamoment。

还有一些用户，会在小红书、朋友圈等平台上帮助其他人解答使用问题，分享自己踩过的坑和解决经验。也就是说，今天的开源贡献已经不只发生在代码仓库里，也发生在社媒社区、用户讨论区和真实使用场景中。

我觉得这是一个很重要的变化：开源社区正在带动传播社区一起成长。过去大家理解开源，更多想到的是代码、Issue、PR；但现在，普通用户的体验分享、问题反馈、场景传播，也在推动一个 Agent 产品快速扩散和进化。

冯成成： 我觉得现在整个 Agent 开源生态已经相当丰富，OpenClaw 肯定不是唯一选择。

比如在框架层和平台层，有像 LangChain、LangGraph、Dify 这样的项目或平台，它们主要解决的是“怎么创造 Agent”以及“怎么编排 Agent”的问题，提供的是底层框架能力和平台能力。

而在产品层，会有像 OpenClaw 这种主打本地优先、个人助理形态的产品，也有像 HermesAgent 这种强调自我进化能力的 Agent。它们更关注的是“用户怎么真正用上 Agent”。

这些项目之间并不是简单的竞争关系，也没有绝对冲突。它们的侧重点不同：有的解决开发和编排问题，有的解决使用和体验问题。整体上，我更愿意把它们看成一种相辅相成的关系：不同项目互相借鉴、互相推动，共同推进 Agent 生态往前。

从更长期来看，用户不再只花 Token 买能聊天的模型，而是雇了一个 AI 来帮自己干活。而开源生态的价值就在于，让这个过程变得更快、更透明，也让更多人能够参与进来，一起定义 Agent 应该怎么被创造、怎么被使用、怎么真正进入现实工作流。

主持人：OpenClaw 和 Hermes Agent 看起来都是个人 AI Agent 助理，但外界也会讨论它们在架构和产品思路上的差异。两者的差异主要体现在架构层、产品层，还是技术实现层？

冯成成： 从表面上看，确实都是个人 AI Agent 助理，但它们在架构深度和产品思路上有明显差异。

OpenClaw 更像是“人教 Agent 做事”。它的逻辑是：在基础大模型之上，加上工具调用和 Skills，让模型完成意图识别、工具选择，并自主执行任务。它的记忆机制也相对直观，主要通过文本文件和上下文透传，让模型理解用户需求和任务背景。

这种设计的优点是简单、可控、容易审计。用户可以明确知道它能做什么、怎么做，也可以通过配置 Skills 来扩展它的能力。

但它的局限也很清楚：不太具备真正意义上的自我进化能力。它的能力提升，更多依赖社区贡献、Skills 增加，或者产品版本升级。

HermesAgent 则更像是“Agent 自己学会做事”。它有一套更完整的记忆框架，包括短期记忆、中期记忆、长期记忆以及技能记忆体。在这个体系里，记忆不是附加能力，而是基础设施。

最明显的区别是，HermesAgent 不一定需要用户预先安装 Skills。它的 Skill 可以在执行任务的过程中，通过总结经验不断沉淀下来。

这也决定了两者更适合不同场景。OpenClaw 更适合确定性强、流程清晰的执行任务；HermesAgent 更适合目标模糊、需要探索和持续优化的任务。

但长期来看，我不认为这两种架构思路是二选一。一个成熟的 Agent 框架，应该同时具备稳定可控的执行底座，以及能够持续学习、自我进化的能力。

姚柳佚： 如果从相同点说起。OpenClaw 和 HermesAgent 都属于 Agent 的运行层，也就是用户直接面对的一层，能直观看到 Agent 在理解任务、调用工具、执行动作。

但从架构特点来看，两者的侧重点不一样。

OpenClaw 的插件系统和 Hook 机制，允许用户在 Agent 的全生命周期里插入各种 Hook。这样一来，任务执行过程就更容易被观察、干预和审计。

这套设计非常适合需要确定性和安全边界的场景。比如处理本地文件、执行固定流程、调用明确工具，这些任务都需要用户知道 Agent 在做什么，也需要在关键节点有可控性。

HermesAgent 则可以总结为：潜力更大，能力天花板更高。它的核心优势在于 Learningloop，也就是学习闭环。Agent 可以在空闲时反复查看自己过去的执行轨迹，总结经验，并沉淀成后续可复用的能力。

如果再配合 RL 强化学习训练，就有可能形成一套完整闭环：执行任务、记录轨迹、沉淀记忆、优化策略，再回到下一次执行中提升表现。

所以两者不是谁完全替代谁，而是适合不同需求。

当然，自我进化并不是免费的。它在持续学习、回看轨迹、沉淀经验的过程中，也会消耗 Token 和计算资源。所以用户最终还是要权衡：自己更需要一个稳定可控的执行工具，还是一个有更高成长潜力、但成本和不确定性也更高的智能体。

主持人：阿里云实验室也推出了 QwenPaw，这同样是一个龙虾类产品，这背后是基于什么样的考虑？想让它发挥什么作用？

姚柳佚： 大家知道，QwenPaw 的前身其实叫 coPaw，最近正式更名为 QwenPaw。这个名字本身，也体现了我们接下来开源的方向和初心。

其中，Qwen 代表我们会继续拥抱 Qwen 开源生态，并且在模型侧持续发力。比如支持本地模型部署，支持大模型协同、端云协同，也会针对 Agent 场景，在模型能力上做进一步优化和适配。

而 Paw，其实是“小爪子”的意思，也代表我们的初心。我们希望 QwenPaw 不只是一个冰冷的工具，而是一个能陪伴在你身边、真正长在你生活里的小助手。

它可以更轻量、更简单地部署，也能更自然地进入用户的日常场景。

主持人：现在市面上的 Agent 产品越来越多，用户在选择时也会产生困惑：这么多 Agent，到底应该用哪一个？因为真正用好一个 Agent，往往需要投入精力，比如购买额度、配置 Skills、适配场景、部署和调试。那么在投入这些成本之前，我们应该通过哪些维度判断一个 Agent 产品是否值得长期使用？

冯成成： 我觉得衡量一个 Agent 的价值，不只看它能做什么，更要看它能不能在企业环境里稳定运行。

我一般会从三个维度看：可控、有能力、能协同。

第一是可控。一个 Agent 有没有全生命周期的审计能力？能不能做好权限分级和隔离策略？在高风险操作时，能不能主动寻求人类确认？只有当一个 Agent 是可控的，企业才真正敢把权限交给它。

第二是有能力。比如，它有没有处理复杂指令的能力？能不能拆解任务？有没有丰富的工具链？能不能对接企业内部系统，完成业务接入？有没有完整的记忆能力？

这里的记忆，和个人助理的记忆不太一样。个人助理的记忆更偏向“我的记忆我来用”，让自己变聪明就可以。

但企业级记忆更强调跨 Agent 之间的共享和协同。一个 Agent 可以独立沉淀某个业务领域的经验，其他相关领域的 Agent 或同类 Agent 也可以共享这套记忆体系。

第三是能协同。企业里的业务流程，通常不是一个人就能端到端完成的。Agent 也一样。比如一个 Agent 负责数据分析，另一个 Agent 负责对外协同沟通。那么每个 Agent 都有不同的职能、角色和权限，就需要标准协议进行交互和互通。

如果一个框架只能支持单智能体工作，那么它的上限就会被限制住。

姚柳佚： 从协同角度看，现在市面上已经有很多协议，比如 A2A 协议、MCP 协议、ACP 协议等等。如果一个 Agent 或框架能够方便地对接这些协议，那无疑是一个巨大优势。

另外，我还想从开源社区的角度补充一点：一个 Agent 是否拥有良好、繁荣的生态，也非常值得考量。

当我想做一件事时，生态里是否已经有可以直接使用的 Skills？如果有，就不需要所有东西都从 0 到 1 自己做。

生态里是否有足够多的用户分享使用体验？这些真实案例能够启发我，也能帮助我更好地找到自己的使用方式。

第三，当我提 Issue，或者向社区反馈问题时，能不能得到及时回应？有没有人理你，这一点其实也很重要。如果反馈了问题却没有人回应，用户会很受挫，后面可能就不会再参与社区讨论了。

所以我觉得，社区对一个 Agent 产品的长期使用影响很深。它虽然是一个偏软性的因素，不完全属于产品技术本身，但如果没有社区，产品用起来就会比较干涩，也更难长期发展。

主持人：对企业来说，即使选对了产品，也不代表接入后就能真正用起来。企业从“尝试”到真正进入生产环境，中间还隔着什么？除了技术接入之外，还有哪些软性挑战？

冯成成： 我觉得企业场景和个人养虾，是完全不同的两个场景。

个人用户装龙虾，可能觉得很酷，自己试一试就可以。但企业如果真的想把它放到生产环境里，最大的阻碍往往不是技术问题，而是信任。

这种信任缺失，在企业内部会体现成一种典型的业务张力：研发团队热情很高，希望 Agent 拥有足够权限，可以调 API、查数据库，把效能发挥到最大。

但安全团队和合规团队看到的是另一面：这些调用有没有权限隔离？操作过程有没有审计？会不会带来真实的生产安全风险？

要平衡这两者，我觉得真不能一刀切，不能简单地全部开放，也不能全部卡掉，而是要做风险分级。

比如，低风险场景，像智能问答、数据报表汇总、信息总结这类任务，通常不会直接引发业务异常，确定性也比较强，就可以放心让 Agent 去做。

中风险场景，比如自动化运维、问题排查，就需要配合沙箱隔离、安全执行机制来做。遇到高风险操作时，要弹出人工确认。本质上是 Agent 在干活，但人保留最终控制权。

高风险场景，比如自动审批、资金流转，就要极其谨慎。需要完整的全链路审计能力，也需要完善的回滚机制。前期更建议采用 AI 辅助决策、人工最终执行的方式，先做业务过渡，再逐步建立信任。

所以，从低风险到高风险，其实也是企业逐步建立信任的过程。先从低风险场景切入，让安全团队看到权限是可以一层层控制的，也让研发团队看到 Agent 的能力可以逐步开放出来。

姚柳佚： 在企业里，不同团队站在不同视角，看到问题也不一样。

例如。开发团队和业务团队看到的是效率，安全团队看到的是风险。其实双方都对，因为这是各自职责决定的。我们会把可观测性和安全性，放在和能力同等重要的位置上。

只有企业里的各方团队都能看得到这个 Agent、看得清这个 Agent，并且管控得住这个 Agent，信任才会逐步建立起来。

主持人：前面我们提到，企业真正用好 Agent，关键是它是否可控、可用、可持续运行。那具体来说要达到哪些标准，才能把它放进生产环境？有没有一份更清晰的能力清单？

姚柳佚： 我可以从 QwenPaw 的角度来举例，这份能力清单首先是数据隐私和本地可管控。

我们和一些大型国企用户交流时，他们会明确提出：业务数据和敏感数据不能传到公有云模型上。所以 QwenPaw 在设计时坚定支持本地模型部署。大型国企用户可以结合专有云模型和本地部署的 QwenPaw，满足数据安全和本地管控的要求。

第二是复杂任务执行能力和权限管控能力。

在复杂任务执行上，QwenPaw 新版本设计了 Mission 模式，支持 Agent 自主规划任务，并巡视任务是否完成。

在管控上，我们引入了插件机制，帮助企业处理部署 Agent 时大量“接缝”工作，比如接入日志平台、监控平台、自定义安全规则和安全检查。这些能力可以通过插件实现，不打断主流程。

此外，QwenPaw 也支持包括 ACP 协议在内的多种开源协议，方便和企业现有系统、工具无缝对接。

我觉得未来的 Agent，会像一个戴着安全帽、穿着工作服的正式工，真正融入企业 IT 系统。

冯成成： 我们专有云面向企业客户做 Opentrek 智能体平台时，跟很多客户打过交道，有一些切身体会。前面讲到的可控、有能力、能协同，真正落到生产环境里，都需要扎实的技术准备。

首先，Agent 已经不只是一个回答问题的系统，而是一个拥有一定操作权限、能自主执行任务的程序。它可能会执行脚本、调用工具、处理业务流程。

所以安全团队最关心的是边界：谁能用？能做什么、不能做什么？出了问题能不能溯源？

针对这些问题，我们在专有云 Opentrek 里做了完整的安全闭环：事前，有身份认证和权限校验体系，让每个 Agent 像数字员工一样拥有不同角色和权限；事中，有安全沙箱隔离执行环境，也有高风险操作时的人工授权确认机制；事后，有全链路审计能力，支持问题回溯。这是企业级 Agent 必须重点建设的第一层能力。

其次，是丰富的企业级能力，它决定 Agent 能不能真正解决业务问题。企业最终关心的，还是 Agent 能不能解决真实业务问题。这也是我们希望重点发力的部分。

我们不仅关注单个 Agent，也面向一批 Agent 来设计，让它们像企业员工一样协同工作。每个 Agent 都有不同职能角色、业务权限和业务记忆，并通过标准协议完成业务交互。

这里的记忆不是个人助理式记忆，而是企业级记忆。支持跨 Agent 共享和协同，让 Agent 不断学习业务经验、总结沉淀，并逐步自我进化，成为更成熟的企业员工。

这些记忆也会存储在企业级私有化数据库或企业环境中，保障数据可审计、可回溯、可回滚。再加上企业级知识库和丰富的生态 Skill，Agent 能深入企业业务的毛细血管，像老员工一样干活。

然后，企业把 Agent 发到线上后，会关心它是否稳定运行、有没有异常。围绕这一点，我们建设了详细的可观测体系。比如 Agent 的任务规划、方案执行、工具调用，以及过程中出现的业务异常，都应该透明可见。

管理一个 Agent 团队，有点像管理远程数字团队。你需要看到每个 Agent、每个节点的任务状态，知道它们在做什么、做到哪一步、哪里出了问题。可观测能力不是独立于安全、能力、协同之外的第四个维度，而是支撑这些能力稳定运转的基础设施。

所以总结来说，企业级 Agent 进入生产环境，至少要具备三类能力：用安全管控解决“敢不敢用”，用企业级能力解决“能不能用起来”，用可观测能力解决“能不能长期运行”。

当这三点做到位时，Agent 才能从 demo 走向企业真正可以依赖的数字员工，甚至是数字员工团队。

主持人：刚才我们聊到很多企业级 Agent 的管理问题，比如权限、回滚、可观测、安全管控等。那么对企业来说，如果现在就要部署企业级 Agent，应该怎么落地？有没有一套更明确的路径和避坑指南？

冯成成： 结合我们的业务经验，我觉得可以分四步走。

第一步，选对场景，而不是一上来就全面 AI 化。

企业落地 Agent，最好先从简单、容错率高的场景切入，把 AI 先用起来。很多落地失败的案例，往往是一开始就选了非常敏感的业务场景。一旦 Agent 执行异常，很可能就在企业内部被“宣判死刑”。

第二步，建立稳定、安全的基础能力。

比如权限分级、身份认证、操作审计、沙箱机制，这些能力不能等到后面再补，而是从一开始就要具备。否则一旦出问题，可能连问题发生在哪里都查不到。

第三步，建设丰富的企业级能力。

很多 Agent 在企业里表现得“像个笨蛋”，不一定是模型不够强，而是企业没有把足够多的业务数据、业务流程和工作经验喂给它，也没有把能力标准化。这一步做好之后，Agent 才能真正好用，但这一步也最花时间、最难。

第四步，建立自主可观测、自救和自进化能力。

Agent 上线之后，企业必须能看到它的运行状态：有没有调用报错，Skills 成功率是在上涨还是下跌，哪些节点经常卡住，哪些地方需要人工介入。

所以总结起来就是四步指南：先从小场景切入，把它用起来；再建立基础安全能力，扩展业务边界；然后丰富企业级能力，把业务做深做实；最后通过可观测能力，让 Agent 持续稳定运转。

姚柳佚： 我觉得可以概括成三步走：小范围试验田、大范围验证、工厂化落地。

第一阶段，先在小范围场景里试。这个阶段重点不是追求规模，而是验证 Agent 能不能在真实业务里跑通。

第二阶段，进入更大范围的验证。这个阶段要看它在更多场景、更多团队、更多权限边界下，是否依然稳定可控。

第三阶段，才是工厂化落地，也就是把 Agent 真正纳入企业生产体系。

但这里有一个很多人容易忽略的点：每一步都要沉淀安全规则、安全机制和安全评判基准。不是等规模扩大之后才补安全，而是在每个阶段都要把安全经验沉淀下来。

另外一个关键点是 Human in the Loop，也就是人和 Agent 的配合方式。Human in the Loop 不是把所有事情都交给 Agent，让它完全自主；也不是每一步都让人审批、每一步都卡住。前者风险太高，后者效率太低。

不同场景里，人的参与程度应该不一样。随着 Agent 覆盖的场景越来越多，企业和 Agent 之间的信任感越来越强，Agent 的权限也可以逐步放开。

未来企业里可能还会出现一个新的角色，叫 AgentOps。这个角色负责管理 Agent 的运行、权限、协作和持续优化。

其实，本质上，企业接入 Agent 之后，不只是接入了一个工具，而是在适应一种新的组织模式：怎么和 Agent 配合，怎么信任它，怎么开放资源，以及怎么让人和 Agent 一起完成工作。

主持人：最后想请两位用一句话总结一下对 Agent 未来的判断。现在很多人也会关心：Agent 会不会只是一个泡沫？作为长期在产业一线的从业者，你们看到的趋势是什么？

姚柳佚： 我认为现在的 Agent 生态已经进入百花齐放的阶段。未来，Agent 会像水和电一样，成为我们日常生活中隐形的基础设施。

开源生态和端到端的安全管控能力，也将会是推动 Agent 走向千行万业的强力引擎。

冯成成：我个人觉得，Agent 现在已证明了自己是能干活的。未来，当它真正做到管得住、有深度、能协同时，就会像云计算一样，成为各个企业的标配。

Meta 收购 Manus 这事儿泡汤了

谷歌开源“Agent Skill 超级工具箱”，云、库、引擎、AI全线打通，开发者狂喜

1850 亿美元天价支出、75% 代码由 AI 生成！谷歌正式宣告：全面转向智能体工作流

“我把所有模型都换成了DeepSeek V4”：月账单降 90%，效果还更好