AI产品阿飞
AI Agent 能自己开账号了,麻烦才刚刚开始
看到 Cloudflare 给 AI Agent 推出临时账户时,我的第一反应是,互联网的下一批用户,可能根本不是人。这个判断很顺,也很适合当标题。
但我继续看了 A2A 协议、微软的 Agent 身份体系,又翻了一圈开发者讨论,发现这句话只对了一半。
Agent 确实开始像用户一样注册、部署、付款和调用服务。但它又不是一个真正的用户,因为它没有自己的意图,不能独立承担责任,也不该默认拥有人的全部权限。它更像一个拿着临时通行证、替人办事的执行者。
所以 Cloudflare 这次真正打开的问题,不是 AI 能不能拥有账号,而是互联网该怎么给一个不是人的执行者分配权力。
Cloudflare 做的,也许没有标题那么大
Cloudflare 这次上线的 Temporary Accounts,解决的是 AI 编程里一个很具体的堵点。
Agent 会写代码,却经常死在部署前的几步。注册账户要打开网页,登录要走 OAuth,后台要点按钮,API Token 要复制粘贴,关键操作还可能遇到验证码。人坐在电脑前只是嫌麻烦,后台 Agent 遇到这些流程,任务会直接停住。
现在 Agent 可以运行 wrangler deploy --temporary,创建一个临时账户,把程序部署到 Cloudflare Workers。它可以继续改代码、重新部署和检查结果。开发者如果满意,可以在 60 分钟内接管账户和其中的资源;没人认领,账户就自动删除。

Cloudflare 把它描述成 Agent 的无摩擦部署,这个说法没错。但在 Hacker News 的讨论里,开发者 Simon Willison 提出了另一种更朴素的理解。他认为先别急着谈 Agent,Cloudflare 实际上提供了一个人人可用的免费临时预览环境。做代码评审、展示临时版本、跑一次小实验,它同样有价值。
这个角度提醒了我,不能因为产品挂上了 Agent 的名字,就把每项功能都解释成 AI 世界的基础设施革命。
有时候,一项所谓的 Agent 功能,只是把原来很笨重的人类流程重新做轻了。Agent 是最先受益的一方,但人也会跟着受益。

Agent 不是用户,更像一段被委托的权力
我最初把 Agent 看成一种新用户,问题就出在“用户”这个词上。
一个普通用户拥有自己的身份,也能表达自己的意愿。用户点击购买,平台通常可以认为这是这个人在行动。Agent 不一样,它每一次操作背后都站着一个人、一家公司,或者另一个 Agent。
微软在 Entra Agent ID 的文档里,直接把 Agent 称为“非人身份”。它强调的不是让 Agent 像人一样注册,而是要知道这个 Agent 的所有者是谁、可以访问什么、风险发生时能不能阻断,以及所有操作有没有留下审计记录。
Google 发起的 A2A 协议更直接。它在安全设计里把 Agent 当成标准的企业应用,继续使用 OAuth、OpenID Connect、API Key 和 mTLS 这些已有的认证方式。A2A 解决 Agent 之间怎么发现和协作,但具体能做什么,仍然要由服务端根据身份和策略决定。
这两个视角都没有把 Agent 当成一个独立的人。它们更接近同一个判断。Agent 是一段被委托出去的能力,身份只是让平台认出它,授权才决定它能走多远。
这也解释了为什么“给 Agent 一个账号”远远不够。
账号只能回答它是谁,却回答不了它代表谁、正在执行哪个目标、为什么有权做这件事,以及出了问题该找谁。

门槛降低了,麻烦也一起进来了
Cloudflare 想降低注册摩擦,但同一件事换个方向看,也是在降低滥用门槛。
Hacker News 里不少人追问,临时账户会不会更方便恶意脚本托管内容、批量创建服务,甚至做完就消失。Cloudflare 的文档提到会做创建频率限制和额外的滥用检查,但外界仍然不知道这套机制在规模化使用后能不能扛住。
还有一个更微妙的问题。Simon Willison 实测时,命令行要求输入 yes 接受 Cloudflare 的服务条款,但整个过程并没有先确认操作者是谁。评论区随即有人问,如果以后是 Agent 自动替用户接受条款,这份同意到底算谁的?
这个讨论没有给出可靠的法律答案,却把 Agent 时代最麻烦的缝隙露了出来。
机器可以完成点击和输入,不代表它天然拥有同意的权力。技术上完成了一次操作,和商业、法律上获得了有效授权,是两件不同的事。
安全侧看到的也是同一个问题。OWASP 在 Agentic Applications 风险框架里,把能规划、调用工具和跨系统行动的 Agent 单独拿出来讨论。Agent 能力越强,身份被冒用、工具被误调用、权限范围失控造成的后果就越大。
过去一个聊天机器人答错了,用户最多得到一段错误信息。一个拥有部署、支付和数据库权限的 Agent 出错,留下的可能是线上服务、真实订单和被修改的数据。
所以注册流程少一步,不一定只是体验优化。平台同时欠下了一笔新的安全账。
真正缺的不是账号,而是委托关系
把这些不同看法放在一起,我觉得 Agent 基础设施真正缺的,不是更多账号,而是一套可验证、可限制、可撤回的委托关系。
这套关系至少要回答几件事。
谁把任务交给了 Agent,它现在代表个人还是公司。它拿到的是长期身份,还是只为一次任务存在的临时身份。它能读哪些数据、调用哪些服务、花多少钱、运行多久。哪些动作可以自动完成,哪些动作必须交还给人。任务结束后,权限会不会自动收回,整个过程能不能追踪。
Cloudflare 的临时账户,其实已经露出了一种解法。先给 Agent 一个短时、有限的操作空间,做出结果以后再由人认领。没人接管,资源自动消失。
前几天我写过微信支付给 Agent 开专属卡。那套设计走的是另一条路,专属余额和主账户隔离,额度由人控制,关键交易仍然需要本人确认。
一个限制时间,一个限制资金。Visa 在 Agent 支付方案里也把重点放在支付凭证、控制、认证和保护上,而不是简单宣布“AI 可以买东西了”。它提出的消费限制、审批流程和可信身份信号,都是在补 Agent 与真实用户之间的委托关系。
微软的企业治理更严格。Agent 如果没有所有者、没有登记身份、权限超过声明用途,或者缺少审计记录,都会被标成风险。
几家公司做的事情看起来不同,背后的方向却开始靠拢。
给 Agent 权力时,不要复制一份人的完整账户。给它一张范围更小、时间更短、随时可以被收回的通行证。
不是所有摩擦都应该消失
互联网产品做了这么多年,大家已经习惯把摩擦当成坏事。注册少填一项、支付少点一步、部署少配一个参数,转化率通常就会更好。
但 Agent 开始替人行动以后,摩擦不能再被一概消灭。有些摩擦确实来自过时流程,有些摩擦却是系统故意留下的刹车。
部署一个 60 分钟后自动删除的预览页面,风险很低。让 Agent 直接跑起来,比逼它先注册正式账户更合理。Cloudflare 的临时账户适合这个场景,因为权限小、时间短,失败后的影响也有限。
可如果任务变成给客户发合同、修改生产数据库、购买几万元的服务,或者删除一批不可恢复的数据,同样的“无摩擦”就会变得危险。这时重新确认身份、展示操作范围、要求人工批准,不是体验做差了,而是在阻止一次错误被顺滑地执行到底。
所以 Agent 产品需要的,不是零摩擦,而是按风险分配摩擦。
低风险任务可以自动完成,权限到期后自动消失。中风险任务可以让 Agent 执行,但要保留所有者、权限范围和操作记录。高风险任务则需要明确的人类确认、金额或资源上限,以及随时撤回和回滚的能力。
过去我们判断一个产品体验好不好,经常看它让用户少点了几次按钮。到了 Agent 时代,更重要的指标可能是,它在不该打扰人的地方有多安静,又在真正危险的那一步能不能及时把人叫回来。
顺滑不再是唯一目标。
可控的自主,才是。

平台为什么都急着给 Agent 开门
这里面当然不只有技术理想,也有很现实的商业利益。
过去云平台和软件产品争的是开发者。文档更清楚、注册更方便、免费额度更大,就可能多拿到一些用户。
Agent 成为开发和采购入口以后,平台争夺的对象开始变化。人未必会逐页比较十个服务,Agent 更可能根据文档、接口、价格和可用性,直接选择最容易完成任务的那个。
谁能让 Agent 最快接入、最快拿到有限权限、最快交付一个可见结果,谁就更容易成为默认选项。
这也是 Cloudflare 临时账户的另一面。它当然替 Agent 拆掉了一堵墙,也把更多 Agent 生成的项目带进了自己的 Workers、数据库和存储体系。便捷会变成分发优势,分发优势也可能变成平台锁定。
Hacker News 里已经有人担心,Workers 的运行方式和其他云平台不够相似,Agent 部署得越顺,项目以后迁移时反而越麻烦。
而 A2A、MCP 这类开放协议试图做的,是让 Agent 不必被一家平台完全锁住。协议负责描述能力和连接方式,身份与授权沿用标准机制,服务之间才有机会互相替换。
未来的竞争可能会同时沿着两条线发生。平台会努力把 Agent 留在自己的账户和服务体系里,开放协议则努力让 Agent 可以带着任务和权限跨平台行动。
这场拉扯,可能比“谁家的 Agent 更聪明”更影响真正的市场格局。

我现在不再把它叫做新用户了
看完这些资料,我会收回最初那个过于兴奋的判断。
Agent 还不是互联网的新用户。至少不是过去那种拥有完整身份、意愿和责任的用户。
它更像互联网里正在增加的一类新操作者。它替人行动,却不能脱离人的授权;它需要独立身份,却必须绑定明确的所有者;它可以自动完成更多工作,但越接近钱、数据和生产环境,权限就越应该收紧。
Cloudflare 临时账户真正有意思的地方,也不是让 AI 学会了注册。它把一个新问题推到了所有产品面前。
当调用你服务的越来越多不是人,而是替人办事的 Agent,你准备把什么权力交给它,又准备用什么方式把权力收回来?
下一代互联网基础设施,未必围绕“让 Agent 无障碍通行”来建设。更可靠的方向,是让每一次通行都有来源、有边界、有记录,也有人负责。
门可以为 Agent 打开。
但钥匙不能凭空消失。

夜雨聆风