進入2026 年，Agent 徹底火了。

Claude Code、ChatGPT Agent、Manus，再加上一堆大廠的企業(yè)級工作流平臺，動不動就喊“替代打工人”“創(chuàng)造萬億美元價值”。麥肯錫的報告也在推波助瀾：62% 的企業(yè)正在試水 Agent。

但把熱鬧先放一邊，真正的問題是——在真實工作場景里，Agent 到底走到哪一步了？

最近，MIT、哈佛、斯坦福等機構(gòu)的研究團隊發(fā)布了一份《2025 AI Agent Index》。

這幫學(xué)者干了一件很有價值的事：

他們把市面上最具代表性的30 個代理系統(tǒng)逐一拆開來看了一遍，并設(shè)計了45 個維度，仔細扒了扒這些產(chǎn)品的技術(shù)細節(jié)、部署情況、設(shè)計架構(gòu)、工具使用和安全機制等信息，得出了當下Agent最硬核的3個真相。

透過這部分報告，我們就能更清晰地了解當下Agent發(fā)展的真實情況。

/ 01 / 產(chǎn)品形態(tài)收攏在這3個方向

大多數(shù)代理產(chǎn)品集中在2024–2025 年發(fā)布。

 （藍色柱狀圖代表與代理型人工智能產(chǎn)品相關(guān)的谷歌新增搜索詞，紅線則代表谷歌學(xué)術(shù)中包含“人工智能代理”或“代理型人工智能”關(guān)鍵詞的論文發(fā)表數(shù)量）

從產(chǎn)品形態(tài)看，AI代理基本收攏在了三個方向：

聊天式代理（12個）：以對話為入口，掛載各種工具箱；

企業(yè)自動化平臺（13個）：主打B端工作流的自動化編排，已經(jīng)成為與聊天界面分庭抗禮的主流形態(tài)；

瀏覽器/GUI型Agent（5個）：直接接管屏幕，模擬人類點擊和輸入，類似于之前的豆包手機。

企業(yè)工作流平臺已成為與聊天界面并列的主流形態(tài)。其中，中國開發(fā)的GUI 型代理更傾向于整合電話與電腦操作能力（5個中有3個具備雙能力），功能整合度更高。

按應(yīng)用場景來分，排名前三個的例子是：信息研究與集成（12個）、跨部門工作流自動化（11個）、以及表單填寫和預(yù)訂等瀏覽器操作（7個）。

在底層模型上，除了Anthropic、Google、OpenAI這幾家“前沿實驗室”以及部分中國廠商在使用自研模型外，大多數(shù)的代理都在高度依賴GPT、Claude或Gemini系列。

盡管“模型開源”已經(jīng)成為行業(yè)趨勢，但在Agent產(chǎn)品上則呈現(xiàn)了完全不同的局面。

30 個代理中，有 23 個選擇完全閉源。只有7 個開源了代理框架或工具層，包括 阿里MobileAgent、Browser Use、TARS、Gemini CLI、n8n、OpenAI Codex、WRITER。

生態(tài)在變開放，商業(yè)產(chǎn)品卻仍以封閉為主。這是一種典型的“框架開放、產(chǎn)品閉源”結(jié)構(gòu)。

/ 02 / 從行動空間到自主性，AI代理正在分化

雖然都叫“Agent”，但這30個產(chǎn)品的功能相差很大。

其中，一個核心區(qū)別在于，行動空間。

企業(yè)工作流代理，主要通過CRM、數(shù)據(jù)庫等系統(tǒng)連接器來執(zhí)行操作（8/30）。它們更像企業(yè)流程里的自動執(zhí)行節(jié)點。

命令行界面（CLI） 代理則直接操作文件系統(tǒng)和終端命令（4/30），能力更偏工程環(huán)境。

瀏覽器代理的方式最直觀：點擊、輸入、導(dǎo)航網(wǎng)頁（5/30），它們直接“代替人類”操作界面。

值得注意的是，企業(yè)代理的行動空間通常被嚴格限制，并優(yōu)先設(shè)置工具權(quán)限與使用防護。換句話說，越貼近真實業(yè)務(wù)系統(tǒng)，控制就越嚴格。

在用戶界面上，Agent產(chǎn)品也出現(xiàn)了不同的選擇。

在企業(yè)場景中，畫布式編排界面已成為標準。8/13 的企業(yè)平臺采用可視化流程組合界面，讓用戶配置觸發(fā)器、動作與防護規(guī)則。

而在消費級場景里，聊天界面依然是主流入口（14/30）。這意味著，設(shè)計層強調(diào)流程構(gòu)建，使用層強調(diào)自然語言。

最重要的是，不同類型的代理，在“自主性”上也呈現(xiàn)出明顯分層。

最常見的仍然是“輪次式助手”。Claude、Gemini、ChatGPT 等產(chǎn)品采用的是低至中等自主性模式（L1–L3）：每執(zhí)行一組動作，便等待用戶下一條指令。

這種結(jié)構(gòu)本質(zhì)上仍以人類為中心，模型只是延長了操作鏈條。

但在同一產(chǎn)品內(nèi)部，自主性差異可能極大。例如“普通聊天”與“深度研究”功能之間，已接近兩個不同范式：前者只是響應(yīng)式生成，后者則可在一定程度上自主規(guī)劃任務(wù)路徑。

瀏覽器代理則代表了另一端。它們通常達到L4–L5，自主性顯著更高。一旦接收指令，便獨立完成整個執(zhí)行流程，過程中幾乎沒有實時干預(yù)空間。用戶的控制權(quán)，在提交任務(wù)那一刻就已經(jīng)讓渡。

而在企業(yè)級代理上，則呈現(xiàn)出一種更復(fù)雜的結(jié)構(gòu)：設(shè)計階段低自主，運行階段高自主。

簡單來說，在設(shè)計階段，用戶通過可視化畫布配置觸發(fā)器、流程與防護規(guī)則，部分平臺提供AI 輔助（L1–L2）。

但部署完成后，代理通常由郵件、數(shù)據(jù)庫更新等事件自動觸發(fā)，運行時無需人工參與，進入 L3–L5 狀態(tài)。

這意味著，自主性并非線性增長，而是“階段性切換”。

/ 03 / 自主性在變強，責任邊界也在模糊

從接口層看，MCP 已成為代理生態(tài)的主流標準。30 個系統(tǒng)中有 20 個支持這一協(xié)議，說明“如何接入工具”正在趨于統(tǒng)一。企業(yè)平臺中，還有一部分開始支持代理間協(xié)議（A2A），但整體仍處于早期階段。

盡管協(xié)議層在收斂，身份層卻在分化。

多數(shù)代理默認不向終端用戶或第三方披露自身的AI 身份。21/30 沒有記錄默認披露行為，只有極少數(shù)支持生成內(nèi)容水印。

也就是說，企業(yè)平臺往往將披露責任交給客戶，是否告知用戶“你正在與 AI 交互”，并不由平臺承擔。

在技術(shù)識別層面，情況更加復(fù)雜。

大部分瀏覽器代理通常無視robots.txt 文件，直接以“代表用戶”身份運行。

企業(yè)認為，代理不應(yīng)被視為傳統(tǒng)爬蟲，但這一邏輯正在引發(fā)法律爭議。

代理繞過網(wǎng)絡(luò)限制的趨勢，正在改變控制權(quán)結(jié)構(gòu)——從內(nèi)容托管方轉(zhuǎn)移至代理運行方。

目前，ChatGPT Agent 是唯一采用加密請求簽名的系統(tǒng)。多數(shù)代理缺乏可驗證的身份機制。

隨著更多任務(wù)交由代理執(zhí)行，“誰在行動”將變得越來越重要。同時，將披露責任轉(zhuǎn)交給運營方，也帶來一個問題：終端用戶是否真正知道自己正在與AI互動？

同時，當構(gòu)建者將安全責任轉(zhuǎn)移給用戶時，責任邊界變得模糊。一個更現(xiàn)實的問題開始浮現(xiàn)：當代理開始執(zhí)行任務(wù)，人類還能在多大程度上掌控它？

在這30個代理產(chǎn)品里，大部分都設(shè)計了審批與監(jiān)督機制，但方式并不一致。

比如，開發(fā)者或CLI 類代理，在涉及文件修改、命令執(zhí)行等高敏感操作時，通常會要求明確確認；瀏覽器代理則把控制節(jié)點更多放在身份驗證與支付環(huán)節(jié)。

一部分產(chǎn)品甚至提供“實時監(jiān)控模式”，允許用戶在關(guān)鍵步驟中觀察執(zhí)行過程。

但如果你仔細觀察就會發(fā)現(xiàn)，不同產(chǎn)品之間的透明度差距很大。

少數(shù)代理會展示完整的行動軌跡和推理過程，讓用戶清楚看到它如何決策、調(diào)用了哪些工具；更多系統(tǒng)只提供概括性的說明，甚至在執(zhí)行過程中幾乎不留下可追蹤的痕跡。

而對于不少企業(yè)級平臺來說，外界甚至無法確認單次運行是否存在實時監(jiān)控。

這意味著，控制機制“存在”，但不均衡；監(jiān)督邏輯“可見”，但并不標準化。隨著代理能力提升，人類對執(zhí)行過程的可見度，并沒有同步提高。

/ 04 / 總結(jié)

這份指數(shù)在1350 個維度上記錄了 30 個代理系統(tǒng)，但更重要的，是它揭示了三個結(jié)構(gòu)趨勢：

第一，安全披露高度不均。

僅有極少數(shù)代理發(fā)布針對自身架構(gòu)的系統(tǒng)卡片。大多數(shù)系統(tǒng)要么只披露基礎(chǔ)模型信息，要么只強調(diào)合規(guī)認證。能力基準與安全評估之間存在明顯不對稱。

當代理風險越來越多地來自規(guī)劃能力與工具調(diào)用，而不僅是模型輸出時，僅依賴模型層面的文檔已不足夠。

第二，基礎(chǔ)模型高度集中。

幾乎所有代理都依賴GPT、Claude 或 Gemini。模型供應(yīng)集中帶來效率與評估便利，但也意味著單點風險。定價調(diào)整、服務(wù)中斷或安全漏洞，都可能向下游系統(tǒng)擴散。

風險管理因此不能只停留在代理部署方，而必須延伸至上游模型提供商。

第三，責任鏈條分散。

代理系統(tǒng)往往形成一條多層依賴鏈：基礎(chǔ)模型、編排層、構(gòu)建平臺、部署方、最終用戶。沒有單一實體對完整行為負責。

在這種分布式架構(gòu)下，僅憑模型文檔做安全判斷，很容易形成虛假保障。

       原文標題 : 從最頂級的30個AI Agent產(chǎn)品里，看懂了這三個趨勢