🔬 豆包手机 · 阶跃星辰 · GUI Agent · 座舱 A2A · Policy Gateway
我看完豆包 AI 手机公开展示的能力链路,再看到 7 月 17 日 WAIC 2026 临近、阶跃星辰官宣新一代智能体终端、豆包二代继续推进研发认证,第一反应不是「手机行业又热闹了」。
我第一反应是,这东西一旦进车,就不再是投屏问题,而是座舱 A2A 控制面问题。
因为 AI 手机真正危险的地方,不是它能聊天,不是它能总结网页,也不是它能帮你修图。
而是它开始具备一个过去手机从来没有的身份。
它不只是 App 容器,它开始变成一个会看屏幕、会规划任务、会自己动手的外部 Agent。
这就很麻烦了。
以前手机连车,座舱主要处理三件事,投屏、音频、输入。
CarPlay、Android Auto、车机互联,大多还停留在「手机把能力映射到车机屏幕」这条路上。
但 AI 手机进车以后,问题变了。
它不是要把 App 显示到车机上。
它是想把一个外部 Agent 带进座舱,让它理解用户意图,调用手机记忆,读取当前屏幕,再去协调车端能力。

⚠️ 我自己的判断很直接。未来车机最怕的不是手机投屏,而是手机 Agent 绕过座舱控制面,直接成为用户的第二个驾驶入口。
这篇就拆这个问题。
豆包 AI 手机到底给行业打了什么样板。
阶跃星辰为什么要做 AI 智能体手机。
以及更关键的,座舱到底应该怎么接这种外部 Agent。
🔥 豆包手机最值得看的,不是模型,是能力闭环
很多人看豆包 AI 手机,容易把关注点放到「模型聪不聪明」。
但从架构师视角看,这个判断有点偏。
豆包这类 AI 手机真正有价值的地方,是它把 GUI Agent 从演示视频推向了系统级任务执行。
这里必须先把事实边界说清楚。
下面拆的是可观察到的能力结构,不是对厂商内部实现的反向猜测。

但我重新拆完这套链路后,发现「系统权限是护城河」只说对了一半。
权限只回答一件事。
它能不能动手。
真正决定 AI 手机能不能长期用的,是另一个问题。
它动手之前谁做决策,动手以后谁来验收,失败时谁能把它停下来。
这就需要一套 Agent Runtime。
它至少要包含意图路由、任务规划、上下文管理、模型路由、工具注册、安全策略和执行监控。模型只是其中一块计算资源,不是整个系统。
这和 Android 的关系很像。
大模型像 CPU,AppFunctions 和 GUI 操作像系统调用,Agent Runtime 更接近内核。它负责把一个自然语言意图,转换成一串受控、可验证、可中断的动作。
从传统 Android 手机到 AI 手机,变化并不是多装一个聊天 App,而是交互入口、任务编排、工具调用、模型路由和安全治理同时上移为系统能力。

这套变化最终会收敛到 Runtime 内部的任务、模型、工具、策略、执行、验证和审计闭环。
为什么要做成微内核式结构。
因为模型会换,应用会换,GUI 也会换,但权限、工具、执行状态和审计不能跟着模型一起漂移。
如果把规划、权限和执行全部塞进一个大模型 Prompt,Demo 会很快,量产一定会很痛苦。
模型一次幻觉,可能就从「建议用户操作」滑成「替用户执行」。
上下文一次压缩,可能就把「必须确认」四个字丢掉。
页面一次跳转,上一帧看见的按钮,下一帧已经换成了另一个动作。
所以 Runtime 必须把模型关进一个可治理的执行框架里。
Planner 只产生动作候选,Policy 决定能不能做,Executor 负责受控执行,Verifier 判断结果是否成立。
这四个角色不能混成一团。
🧠 反直觉。AI 手机越聪明,越不能把最终执行权完全交给模型。能力上限由模型决定,事故下限由 Runtime 决定。
⚡ 一台 AI 手机,必须同时跑两条路径
GUI Agent 做的事看起来很统一。
看屏幕,理解 UI,规划动作,点击,再验证。
但真做系统时,不能把所有任务都塞进这条链。
AI 手机至少要有快慢两条路径。
快路径处理确定性任务。
比如调亮度、建日程、打开明确页面、读取设备状态。意图路由完成后,直接调用应用函数或系统工具,再做权限校验和结果确认。
这条路的目标不是「更像人」。
而是低延迟、低功耗、可测试、可回归。
慢路径才处理没有标准接口、需要跨应用、需要理解页面语义的复杂任务。
它会经历屏幕理解、任务规划、动作候选、安全校验、受控执行、结果验证,再根据新页面继续循环。
这里有个很关键的工程点。
GUI Agent 不是一次生成整条脚本,而是一个带反馈的闭环控制系统。
每一步动作完成后,都要重新观察环境。页面变化、弹窗打断、账号风控、网络异常,都可能让原计划失效。
如果没有中断恢复和最大步数,Agent 很容易进入死循环。
如果没有结果验证,它点完就会把「动作已发出」误当成「任务已完成」。
如果没有风险升级机制,它遇到支付、联系人、隐私内容时,还会沿着原计划继续走。
从 OS 视角看,这不是普通的模型幻觉,而是一个典型的 TOCTOU 问题。
Agent 观察屏幕时做了一次检查,真正执行动作时,前台应用、焦点窗口或控件语义可能已经变化。公开研究把这类风险称为 observation-to-action gap。模型在上一帧做出的判断可能完全正确,动作却落在了下一帧的错误对象上。
所以「动作前重新绑定当前窗口与目标控件」不能只靠模型自觉,它必须是执行器的硬规则。
所以量产配置至少要有四个硬约束。
• 每个任务都有最大执行步数和总超时。 • 每次动作前重新做页面状态与风险校验。 • 高风险动作强制用户确认,确认不能被上下文摘要覆盖。 • 连续失败后停止自动化,回退到用户或标准 API。
🛡️ 系统权限越深,安全策略必须越硬
普通 Android 应用可以通过公开的 AccessibilityService 获取部分界面语义并代表用户执行点击或滚动。VirtualDisplay、MediaProjection 也提供了标准化的显示与屏幕捕获能力。
但系统级 AI 手机会继续往更深处走。
它需要后台任务、跨应用协作、端侧推理、系统工具和更稳定的执行环境。
这并不代表 Agent 可以绕过应用安全。
相反,能力越靠近 OS,越要把观察面、决策面和执行面拆开。
观察面只拿完成任务所需的最小信息。
能用结构化控件树,就不要整屏上传。能在端侧完成 OCR、脱敏和裁剪,就不要把原始画面交给云端。
决策面把任务转成带风险等级的动作候选。
它需要知道当前账号、前台应用、设备锁定状态、用户是否在场,以及这个动作是否会产生不可逆后果。
执行面只能调用能力白名单。
每个工具都要有输入 schema、调用方身份、前置条件、超时、幂等性、回滚策略和审计记录。
这里要把一个边界说死。
安全页面不可观察,就停止。应用明确拒绝自动化,就回退。高风险动作没有确认,就不执行。
这不是保守。
这是系统级 Agent 想进入支付、办公、车控这些高价值场景必须支付的成本。
🔁 数据飞轮不等于无限上传屏幕
GUI Agent 的长期优势,确实来自真实任务轨迹。
模型执行一次任务,会留下观察、计划、动作、结果和失败原因。再通过验证器筛选成功轨迹、归类失败轨迹,用于监督微调、强化学习和回归测试。
但数据飞轮如果只理解成「把用户屏幕都传回去训练」,这条路很快会撞上隐私和生态墙。
更可量产的做法,是把数据分成三层。
第一层是端侧遥测,只记录匿名化状态、动作类型、错误码和耗时。
第二层是用户授权样本,经过脱敏、裁剪和用途限制后进入训练集。
第三层是模拟器轨迹,在可控环境里大规模生成弹窗、页面变化、弱网和失败分支。
真正值钱的不是屏幕截图,而是带验证结果的任务轨迹。
这也是 AI 手机可以迁移给座舱的关键经验。车端完全可以用车机模拟器、场景回放和故障注入,构建自己的 Agent 训练与验证闭环。
🚨 7月17日前,三条消息被混成了一个新闻
最近网上开始流传一句话:豆包手机二代将在 7 月 17 日发布。
真正值得关注的是,AI手机已经进入第二阶段。
这也解释了豆包二代真正要跨过的四道门槛。
第一,任务必须从对话生命周期升级为系统生命周期。 Agent需要队列、状态、超时、中断恢复、前后台切换和跨设备迁移,不能关闭悬浮窗以后任务就消失。
第二,执行链路必须从纯GUI操作走向API与GUI混合。 打车、外卖、订票等高频服务如果没有结构化接口与正式授权,只靠看屏幕和模拟点击,稳定性、风控与责任边界过不了量产关。
第三,安全策略必须下沉到Runtime。 数据本地化、模型隔离、最小观察面、持久化确认状态和调用审计,不能只写在隐私声明里。
第四,Agent必须接受互联网生态不是它自己的。 系统权限只解决“能不能操作”,不能自动换来第三方App的信任。应用授权、身份认证、调用审计和利益分配最终都会进入控制面。
反直觉。豆包二代真正的发布门槛,不是模型还不够聪明,而是模型、OS、应用生态与监管能不能共同承认一套执行规则。
这件事对座舱同样重要。手机Agent想进车,不能把GUI自动化原样延伸到车机;它必须把任务、权限、身份和执行状态结构化,才能通过A2A与车端Policy Gateway接入。
🧨 阶跃星辰要抢的,是 Agent 终端入口
阶跃星辰这条线也突然提速了。7月9日,阶跃星辰官方宣布将推出新一代智能体终端;多家媒体进一步把产品指向AI智能体手机,并披露其与手机ODM产业链的合作。
AI终端、智能体系统、ODM量产能力。
这几个词放在一起看,信号很清楚。
它不是单纯发布一台硬件手机。
它更像是在试图把「模型公司」往「智能体终端入口」上推。
更准确点说,这不是模型公司突然想卖手机。
这是模型能力往端侧控制面挤压以后,一个很自然、也很残酷的结果。
这件事很合理。
因为大模型公司的云端能力再强,如果始终只能待在一个聊天框里,价值会被 App 生态和操作系统切走一大块。
真正的入口,不是回答问题。
真正的入口,是任务执行。
用户说一句话。
系统能不能拆任务。
能不能调工具。
能不能跨 App。
能不能拿到上下文。
能不能在失败后自我修正。
能不能形成数据飞轮。
这才是 AI 手机的核心竞争点。
坦率地讲,阶跃星辰做 AI 智能体手机,和豆包手机走的是同一条大方向。
差别在于,大家会选择不同的模型底座、不同的系统权限合作方式、不同的终端伙伴,以及不同的数据飞轮。
但最终都绕不开一个问题。
Agent 一旦从聊天框走向系统执行,它就必须拿到 OS 级控制面。
没有控制面,它只能建议。
有了控制面,它才会行动。
🚗 手机 Agent 进车以后,座舱不能只把它当投屏
回到座舱。
手机 Agent 进车以后,最糟糕的架构是什么。
是手机 Agent 直接控制车端能力。
比如手机侧判断用户想去哪,然后直接改导航。
手机侧判断用户热了,然后直接调空调。
手机侧判断用户要开某个座舱 App,然后直接模拟点击。
这听起来很智能。
但量产上很危险。
因为车不是手机。
手机出错,最多是下错单、发错消息、打开错页面。
车出错,可能是驾驶分心、车控误触、隐私泄露、责任边界不清。
所以我认为 AI 手机接入座舱,正确架构应该是这样。
先看跨设备边界。
手机 Agent、座舱 Agent 和云端模型之间,只交换声明过的能力、任务状态和最小上下文,不共享无限制的系统控制权。

再看车内执行边界。

手机 Agent 可以表达意图。
可以提供用户记忆。
可以发起任务协商。
可以请求车端能力。
但它不能绕过座舱 Policy Gateway。
更不能直接穿透到 Vehicle HAL。
中间必须有几层硬边界。
第一层是 A2A 协议。
它负责 Agent 和 Agent 之间怎么发现能力、交换上下文、提出任务、回传结果。
比如手机 Agent 告诉座舱 Agent,用户最近常去哪类地方,今天日程是什么,手机上刚查过什么。
座舱 Agent 告诉手机 Agent,当前车辆状态、行驶场景、车内人数、可用工具、风险等级。
这层像 Agent 世界里的 Binder IPC。
不是直接把对象指针扔过去,而是要有接口、权限、生命周期和失败处理。
第二层是 Policy Gateway。
这层才是车端真正的闸门。
它要判断身份是否可信,场景是否允许,车辆是否在行驶中,工具风险等级是多少,是否需要用户确认。
比如查路线可以自动执行。
调整导航目的地,最好二次确认。
打开座椅按摩,风险较低。
涉及车控、支付、联系人、位置分享,就必须有更严格的策略。
第三层是 Tool Gateway。
Agent 不能直接碰 Android Framework、车厂 SDK、Vehicle HAL。
它只能调用被封装过的工具。
工具要有 schema,要有权限,要有审计,要能回滚,要能降级。
这点和 MCP 很像。
只是车端 MCP 不能只考虑工具可用性,还要考虑驾驶安全和法规边界。
🌐 车手 Agent 生态,真正值钱的是任务接力
这里我把「手机 Agent + 座舱 Agent」的协同形态简称为 车手 Agent。
它不是一个超级 Agent 吞掉手机和汽车,也不是把手机自动化原样搬进车里。
更合理的分工是,手机掌握身份、账号、个人偏好和跨 App 服务,座舱掌握驾驶上下文、车辆状态和座舱交互,云端负责复杂规划与外部服务。
三者通过一个受控协同面接力,但车辆最终执行权始终留在车端。

这套生态最有可能先在四段连续旅程里长出来。
看起来只是四段体验,底下其实需要五个系统机制。
能力发现。 手机和座舱先交换经过授权的 Agent Card,只暴露身份、端点、能力、认证方式和技能摘要。敏感能力不能靠广播发现,更不能默认对所有外部 Agent 可见。
任务接力。 A2A 传递的是任务和状态,不是无限制控制权。任务至少要有已提交、执行中、等待输入、完成、失败和取消等状态,手机断连、车辆熄火、账号切换后才能恢复或终止。
最小上下文信封。 手机不应该把完整记忆库同步给车,车也不应该把完整车辆状态持续回传手机。一次任务只携带目的、时效、来源、授权范围和必要字段,到期自动失效。
车端能力注册。 地图、空调、座椅、媒体、通信和补能不是一组裸 API,而是一组带风险等级、确认策略、前置条件和审计要求的 Vehicle Skills。Agent 只能请求能力,Policy Gateway 决定是否放行。
多用户隔离。 驾驶员、乘客和临时访客可能同时带着不同手机进入座舱。车端必须把账号、座位、显示区、麦克风区和工具权限绑定起来,不能把乘客的个人记忆默认并入驾驶员任务。
🔐 车手 Agent 最重要的协议,不是“怎么把上下文传过去”,而是“哪些上下文绝对不能传过去”。
💼 这套生态会长出哪些机会
车手 Agent 不只是一项功能,它会重新分配手机厂商、车企和服务商的入口权。
我认为第一批高价值场景不会是「手机替你开车」,而是三类低风险、高频、跨域任务。
一类是行程连续性,例如会议、导航、停车、充电和支付在手机与车之间无感接力。
一类是多服务编排,例如把地图、补能、餐饮、酒店和日程组合成一个可确认的方案。
一类是座舱个性化,手机只提供授权后的偏好线索,座舱结合当前车辆和乘员状态做本地决策。
真正有商业价值的,不是再做一个车载超级 App,而是让服务以结构化 Skill 进入车端,同时让车企保留策略、分发、审计和结算权。
反直觉。车手 Agent 的杀手级能力不是“远程控车”,而是“跨设备任务不断线”。控制权越克制,生态反而越容易做大。
🧭 一个真实场景,能看清这条链路
假设用户上车后说一句。
「找路上能充电的咖啡店。」
如果这是普通语音助手,可能就是打开地图,搜咖啡店。
但 AI 手机 + 座舱 Agent 的组合,会复杂很多。
手机侧知道你最近常去哪些店,知道你偏好安静、有插座、能停车,可能还知道你今天下午有会。
座舱侧知道当前电量、路线、车速、剩余里程、车内温度、乘客状态。
云端模型适合做复杂规划,比如结合评价、路线、充电桩可用性、时间窗口做排序。
车端 Agent 负责落地执行,比如更新导航、规划充电、调整空调、把确认结果展示到 HUD 或中控屏。

这条链路看起来很自然,但里面至少有五个决策点。
手机记忆能不能给车。
座舱状态能不能给手机。
云端规划能不能拿到当前位置和电量。
导航目的地能不能自动改。
车端执行是否需要驾驶员确认。
我一开始也容易把这个场景想简单。
用户一句话,手机和车一起完成任务,好像就是多调几个接口。
但真放到量产里看,问题立刻变脏。
所以 AI 手机进车以后,真正要建设的不是一个「万能助手」。
而是一套跨设备 Agent 协作的安全控制面。
🧱 GUI Agent 在座舱里只能兜底,不能主路径
这里有个很容易被忽略的点。
手机上的 GUI Agent,可以接受几秒一步。
比如打开购物 App、查订单、编辑图片,慢一点用户还能忍。
但座舱不行。
座舱里的交互经常是秒级甚至百毫秒级约束。
导航播报、语音打断、危险提醒、车控响应,这些都不能等一个云端 GUI Agent 慢慢看屏、规划、点击、验证。
所以我对座舱 AI 的路线判断很明确。
API 和工具优先,GUI Agent 只能做 fallback。
标准能力要走 AppFunctions、Tool Gateway、车端服务 API、Vehicle HAL 的封装链路。
GUI Agent 只能用在三类地方。
一类是旧 App 没有 API。
一类是第三方生态暂时不开放。
一类是低风险、低频、非驾驶关键任务。
比如帮你在停车后整理行程、跨 App 查询订单、自动生成出行总结。
但只要进入驾驶关键路径,GUI Agent 就不应该是主路径。
这也是我为什么反复强调 Policy Gateway。
A2A 只解决 Agent 怎么说话。
Policy Gateway 才解决 Agent 能不能动手。
⚖️ 这场竞争,比的不是谁更会聊天
AI 手机这件事,我觉得会把手机行业和座舱行业同时推到一个新阶段。
以前大家比的是硬件参数。
屏幕、影像、快充、SoC、系统流畅度。
后来大家比 AI。
总结、修图、搜索、语音。
但豆包手机和阶跃星辰这类智能体手机,把问题又往前推了一步。
下一阶段比的是,谁能让 Agent 安全地使用系统。
这句话听起来有点像口号。
但我觉得它比「端侧大模型」更接近真实战场。
这里有四张牌。
这四张牌里,模型只是其中一部分。
更难的是权限、工具、数据和安全。
所以未来 AI 手机和座舱之间,不应该是「谁吞掉谁」。
更合理的关系是,手机 Agent 带着用户记忆和个人上下文,座舱 Agent 掌握驾驶场景和车辆能力。
中间通过 A2A 协议协商,通过 Policy Gateway 限权,通过 Tool Gateway 执行,通过审计系统留痕。
这才像一个能量产的系统。
🎯 我的判断
这里我给几个更直白的判断。
第一,AI 手机不是手机行业的小功能升级,而是模型公司争夺终端控制面的尝试。
聊天框只是入口,真正值钱的是任务执行。
第二,豆包手机公开展示的能力至少说明,GUI Agent 需要更深的系统协同,单纯 App 形态很难做深。
但它也暴露了另一件事,系统权限越深,生态反制、隐私风险和责任边界越尖锐。
新一代豆包 AI 手机正在推进研发认证,进一步说明竞争已经从「技术预览能不能跑」进入「Agent Runtime 能不能量产」。真正决定二代成败的不是参数,而是任务调度、应用授权、安全隔离和合规认证。
第三,阶跃星辰如果要做 AI 智能体手机,不能只讲多模态和工具调用。
行业真正会看的是,它有没有 OS 级执行能力、有没有稳定的任务闭环、有没有跨 App 与跨设备的安全协议。
第四,座舱厂商必须尽快设计自己的 Agent 接入口。
如果车端没有 A2A、Policy Gateway、Tool Gateway,外部手机 Agent 就会用更粗暴的方式进入座舱。
比如投屏、模拟点击、语音转发、云端绕行。
这不是智能化。
这是控制面外溢。
第五,座舱 AI 最终不是做一个更聪明的语音助手,而是做一套车端 Agent OS。
它要能接手机 Agent,接云端 Agent,接车端工具,也要能拒绝它们。
能执行很重要。
能拒绝,更重要。
以上,既然看到这里了,欢迎关注「AI架构前哨」。
我会继续用 OS、端侧 AI、座舱和 Agent 架构视角,拆这些看起来热闹、但迟早一定会落到系统边界里的东西。

夜雨聆风