过去一年,AI Agent 的讨论很容易陷入一个误区:谁的模型更强,谁的 Agent 更聪明,谁的 Demo 更炫。
但从 OpenAI Codex、Claude Code、Google ADK、Microsoft Agent 365、MCP、A2A、LangGraph 这些最新产品和技术动态看,Agent 产业正在发生一个更底层的变化:
Agent 的竞争焦点,正在从“会聊天的模型”转向“可长期执行任务的运行时”。
也就是说,真正前沿的方向不是再做一个 Chatbot,也不是简单包装几个 Prompt,而是构建一套可以让 Agent 持续工作、调用工具、管理状态、接受审计、沉淀产物、交付结果的系统。
一句话概括:
AI Agent 正在从 Chat Interface,演进为 Task Runtime。
一、核心信号:Agent 的基本单位正在从“对话”变成“任务”
传统 AI 产品的基本单位是 message。
用户输入一句话,模型返回一段内容。这个范式适合问答、写作、翻译、总结,但不适合复杂工作。
真正的业务任务不是一句话完成的。它通常需要:
- 理解目标;
- 拆解步骤;
- 读取上下文;
- 调用工具;
- 处理中间失败;
- 等待人工确认;
- 生成可交付产物;
- 留下执行记录;
- 支持恢复和复盘。
OpenAI Codex Cloud 的方向非常典型。Codex 可以在云端后台执行任务,连接代码仓库,独立运行多个任务,并把结果以 PR、代码修改、任务报告等形式交付出来。OpenAI 对 Codex Cloud 的官方说明里强调,Codex 可以在自己的云环境中后台工作,包括并行执行任务。
这意味着一个重要变化:
Agent 的工作单位不再是一次对话,而是一个独立 Task Session。
这也是为什么 OpenAI 在 Codex agent loop 技术文章里不再只讲模型,而是重点讲 harness、tool call、context、environment feedback、execution loop。Agent 真正有价值的部分,不只是模型推理,而是模型和工具、环境、状态之间的循环。
这对创业者的启发很直接:
如果你正在做 AI Agent 产品,不要只设计“聊天窗口”。你真正要设计的是:
User Goal
↓
Task Session
↓
Agent Loop
↓
Tool Execution
↓
State Update
↓
Verification
↓
Artifact Delivery
一个成熟 Agent 产品的底层,应该像任务系统,而不是像聊天软件。
二、第二个信号:Workspace Agent 正在替代“个人 GPT”
OpenAI 在 2026 年推出 Workspace Agents in ChatGPT,把 Agent 明确放进团队工作流里。官方说明中提到,Workspace Agents 是 GPTs 的演进版本,由 Codex 驱动,可以在云端运行,帮助团队完成报告、写代码、回复消息等复杂工作,并且可以被组织共享,在 ChatGPT 或 Slack 中使用。
这代表 Agent 产品从个人玩具进入组织协作。
过去的 GPT 更像“个人助手”。
现在的 Workspace Agent 更像“团队成员”。
它的关键不只是“能回答”,而是:
- 可以在组织内共享;
- 可以接入团队流程;
- 可以使用组织上下文;
- 可以跨工具执行;
- 可以在用户离线时继续工作;
- 可以被团队持续改进。
这说明 AI Agent 的真实使用场景,不是在一个孤立网页里完成的,而是在 Slack、GitHub、Gmail、Notion、CRM、数据后台、工单系统、CMS、运营后台这些已有工作场景里发生。
所以,对创业者来说,一个很重要的判断是:
不要把 Agent 产品只做成一个独立对话入口,而要把 Agent 嵌入真实业务系统。
三、第三个信号:纯 No-code Agent Builder 正在降温
OpenAI 在 AgentKit 页面更新中明确说明,将逐步下线 Agent Builder 和 Evals 产品;从 2026 年 11 月 30 日之后,这些产品将不再在 OpenAI 平台上可用。OpenAI 给出的迁移建议也很明确:适合代码化延续的工作流,迁移到 Agents SDK;适合自然语言配置的用例,使用 ChatGPT Workspace Agents。
这个信号很重要。
它说明大厂也在重新判断 Agent Builder 的产品形态。
过去很多人以为,Agent 产品会走向“拖拽式工作流 + 几个工具节点 + 几个 Prompt 节点”。但真实生产环境里,Agent 一旦开始执行复杂任务,就会遇到大量纯拖拽系统难以处理的问题:
- 任务失败后如何恢复?
- 工具调用如何鉴权?
- 状态如何保存?
- 中间产物如何管理?
- 扣费如何统计?
- 执行路径如何审计?
- 哪些操作必须人工确认?
- Agent 是否越权访问数据?
- 出错后能否回放完整轨迹?
这些问题不是 No-code 画布可以轻易解决的。
所以未来会分成两条路线:
| 路线 | 适合场景 |
|---|---|
| Code-first Agent Runtime | 生产级系统、复杂业务、开发者平台 |
| Natural Language Workspace Agent | 团队内部轻量流程、协作场景、低门槛使用 |
创业公司如果只做一个通用 No-code Agent Builder,会很容易被 OpenAI、Microsoft、Google、Dify、Coze、n8n、Zapier 这类平台夹击。
更好的创业方向是:
不要做“通用 Agent Builder”,而要做“垂直场景 Agent Workbench”。
也就是说,面向一个具体行业或任务,把 Agent 的能力、流程、工具、产物、评估标准都预置好,让用户买到的是结果,而不是配置能力。
四、第四个信号:MCP 和 A2A 正在成为 Agent 基础协议层
Agent 要从聊天走向执行,必须解决一个基础问题:它如何连接外部世界?
MCP 的价值在这里出现。
MCP 官方文档把 Model Context Protocol 定义为一种开放标准,用来连接 AI 应用与外部系统。通过 MCP,Claude、ChatGPT 等 AI 应用可以连接本地文件、数据库、搜索工具、计算器、工作流等资源。官方也把 MCP 类比成 AI 应用的 USB-C 接口。
但 MCP 解决的是 Agent-to-Tool,也就是 Agent 如何调用工具。
另一个方向是 Agent-to-Agent,也就是 Agent 之间如何通信协作。Google 发布的 A2A 协议,就是为了让不同框架、不同厂商、不同企业系统里的 Agent 可以安全交换信息、协调行动。Google 官方说明中明确提到,A2A 目标是让 AI agents 能够互相通信、交换信息,并在企业应用之上协调动作。
这意味着未来 Agent 系统会有三个协议层:
| 协议层 | 解决问题 |
|---|---|
| MCP | Agent 调用工具、数据源、API |
| A2A | Agent 与 Agent 协作 |
| Skill | 把任务经验封装成可复用能力 |
所以一个面向未来的 Agent 产品,不应该把工具调用层写死在系统内部。更好的设计是:
Agent
↓
Skill Router
↓
Tool Gateway
↓
MCP Servers / APIs / Internal Tools
↓
Audit / Permission / Cost / Trace
这里最关键的是 Tool Gateway。
因为 MCP 只是连接标准,不等于治理系统。生产环境不能让 Agent 直接调用所有工具。中间必须有权限、日志、限流、审计、风险控制和人工确认。
五、Claude Code 给出的启发:Skill 才是 Agent 产品的核心资产
Claude Code 现在最值得研究的,不只是它能写代码,而是它的扩展机制。
Claude Code 已经把 Skills、Subagents、Hooks、MCP、Plugins 等机制产品化。
Claude Code 官方文档中对 Skill 的定义很清楚:当你反复粘贴相同说明、清单或多步骤流程时,就应该创建 Skill。Skill 的正文只在被使用时加载,因此长参考材料不会持续消耗上下文。
这背后有一个非常重要的产品判断:
Prompt 不是资产,Skill 才是资产。
Prompt 往往是一次性的、散落的、不可维护的。
Skill 则可以被版本化、复用、评估、分发、组合、沉淀。
一个真正有价值的 Skill,不应该只是一段提示词,而应该包括:
Skill = 任务说明
+ 流程步骤
+ 工具权限
+ 输入格式
+ 输出格式
+ 示例
+ 校验标准
+ 安全边界
Claude Code 的 Subagents 也体现了另一个方向:复杂任务不应该全部塞进主对话里。官方文档说明,Subagent 可以在自己的上下文窗口里执行特定任务,并拥有独立 system prompt、工具权限和权限设置。
这对创业产品非常关键。
一个复杂 Agent 产品应该从一开始就支持:
- 主 Agent 负责理解目标和协调;
- Research Subagent 负责调研;
- Builder Subagent 负责生成;
- Reviewer Subagent 负责审查;
- Verifier Subagent 负责验收;
- Publisher Subagent 负责发布或交付。
这样才能避免所有任务挤在一个上下文里,导致成本高、状态乱、结果不可控。
Claude Code 的 Hooks 机制也很重要。Hooks 可以在生命周期关键节点自动执行命令、HTTP 请求或 LLM prompt,例如文件修改后格式化、命令执行前阻止风险操作、需要用户输入时通知、会话开始时注入上下文等。
这说明生产级 Agent 不能完全依赖模型“自觉”。必须把关键控制点工程化。
六、长任务能力,是 Agent 从 Demo 到产品的分水岭
真正的业务任务往往不是几秒钟完成,而是几分钟、几小时,甚至几天。
Google ADK 在一个长任务教程中举了一个新员工入职 Agent 的例子:Agent 可以发送欢迎材料,暂停数天等待员工签署文件,委派 IT provisioning 给专门的 sub-agent,再等待硬件交付,最后发送 day-one schedule,而且不会丢失上下文。
LangGraph 的定位也很明确:它强调 durable execution,让 Agent 可以在失败后恢复,并从中断处继续执行;同时支持 human-in-the-loop,让人可以在执行过程中检查和修改 Agent 状态。
这说明生产级 Agent 的关键能力不是“会不会规划”,而是:
能不能长期运行
能不能中断恢复
能不能状态持久化
能不能人工介入
能不能失败重试
能不能产物沉淀
能不能完整追踪
所以,Agent 产品必须有 Long Task Manager。
它至少要管理这些状态:
created
queued
running
waiting_for_user
paused
retrying
failed
cancelled
completed
archived
每个长任务都应该有自己的 Task Session。
每个 Task Session 都应该绑定:
- 原始用户目标;
- Goal Contract;
- 上下文;
- 执行计划;
- 子任务;
- 工具调用日志;
- 中间产物;
- 成本记录;
- 错误记录;
- 最终交付物。
没有 Task Session 的 Agent,本质上还是聊天机器人。
有 Task Session 的 Agent,才开始接近生产系统。
七、企业级 Agent 的下一层:Agent Control Plane
当一个组织里只有一个 Agent 时,问题还不明显。
当组织里有几十个、几百个 Agent 时,新的问题会出现:
- 谁创建了这些 Agent?
- 它们分别能访问什么数据?
- 它们调用过哪些工具?
- 哪些 Agent 正在运行?
- 哪些 Agent 失败率高?
- 哪些 Agent 成本异常?
- 哪些 Agent 有越权风险?
- 哪些产物可以被信任?
Microsoft Agent 365 的定位正是 Agent Control Plane。Microsoft 官方页面将 Agent 365 描述为用于观察、治理和保护 AI agents 的控制平面,可以为组织内 Agent 提供集中治理、安全和可观测能力。
这释放出一个强信号:
企业最终不会只买 Agent,它会买 Agent 管理系统。
未来企业 Agent 产品大概率会出现类似云计算时代的控制平面:
| 控制面能力 | 作用 |
|---|---|
| Agent Registry | 记录组织里有哪些 Agent |
| Identity & Access | 管理 Agent 身份和权限 |
| Tool Trace | 记录 Agent 调用了哪些工具 |
| Cost Metering | 统计每个任务和 Agent 的成本 |
| Observability | 追踪延迟、失败、重试、异常 |
| Policy Engine | 管理安全策略和审批规则 |
| Artifact Store | 管理 Agent 交付物 |
| Audit Log | 支持复盘、审计、合规 |
这对创业者非常重要。
如果你的 Agent 产品未来要卖给企业,早期就不能只做功能。你必须从第一天开始沉淀治理能力。
八、可观测性:Agent 不能只看最终答案,要看完整轨迹
传统 LLM 应用的评估方式很简单:
输入 → 输出
但 Agent 的评估方式必须变成:
目标 → 计划 → 工具调用 → 中间状态 → 失败恢复 → 成本 → 产物 → 用户验收
LangSmith 官方对 AI Agent observability 的定义也强调,团队需要可观测平台来理解 AI 应用在生产环境中的行为,包括 tracing、实时监控、成本、延迟、Agent 决策、复杂失败和幻觉调试。
OpenAI Agents SDK 也内置 tracing,可以记录 Agent 运行过程中的 LLM generations、tool calls、handoffs、guardrails 和自定义事件,用于调试、可视化和生产监控。
这说明 Agent 产品的后台至少应该看到:
哪个用户
哪个 Agent
哪个 Task
哪个 Session
调用了哪个 Tool
传了什么参数
用了多少 Token
花了多少钱
失败在哪里
重试了几次
最终产物是什么
用户是否接受
没有这些指标,就无法优化 Agent。
更重要的是:
没有可观测,就无法商业化。
因为商业化之后,用户不会只问“它聪不聪明”。用户会问:
- 为什么这次失败了?
- 为什么这么慢?
- 为什么这么贵?
- 为什么结果不一致?
- 为什么调用了这个工具?
- 为什么没有执行我的要求?
- 这个产物能不能审计?
所以,Agent Observability 不是锦上添花,而是商业化基础设施。
九、安全问题:MCP、Tool、Skill 会成为新的攻击面
Agent 能调用工具,就意味着它不再只是生成文本,而是可以改变外部世界。
这带来了新的安全问题。
关于 MCP 的研究已经指出,MCP 的动态、用户驱动、工具调用机制会引入新的安全、可维护性和治理风险。一项对 1,899 个开源 MCP servers 的实证研究发现,部分服务器存在通用漏洞,也存在 MCP 特有的 tool poisoning 风险。
另一篇 MCP 安全治理研究也指出,MCP 会扩大攻击面,包括内容注入、供应链攻击、工具投毒、跨系统权限升级和数据外泄等风险,并建议采用 scoped authorization、provenance tracking、sandbox、DLP、gateway layer 等控制手段。
这说明一个现实:
Agent 越有用,越危险。
尤其当 Agent 可以执行以下操作时,必须进入高风险控制:
- 删除文件;
- 修改生产数据;
- 发送邮件;
- 发布内容;
- 调用付费 API;
- 访问用户隐私数据;
- 操作代码仓库;
- 调用云资源;
- 使用账号池;
- 执行 shell 命令。
所以生产级 Agent 产品必须有最小安全边界:
Tool Allowlist
Permission Scope
Human Approval
Sandbox Execution
Parameter Visibility
Audit Log
Risk Classifier
Kill Switch
创业公司早期可以不做复杂合规系统,但不能没有权限边界。
否则 Agent 越强,事故半径越大。
十、市场判断:Coding Agent 是第一波爆发,但不是终局
为什么 Coding Agent 率先爆发?
因为代码任务天然适合 Agent:
| 特征 | 原因 |
|---|---|
| 可执行 | 可以 run、test、lint |
| 可验证 | 有编译、单测、CI |
| 可拆解 | issue、task、PR 天然结构化 |
| 可回滚 | Git 支持版本控制 |
| 有产物 | code diff、PR、commit、report |
OpenAI、Columbia、Duke、UPenn 等机构关于 Codex 的研究显示,2026 年上半年 Codex 活跃用户增长超过 5 倍,增长正在从软件开发者外溢到非开发者;超过 10% 的用户每周会管理 3 个以上并发 Codex agents,26.6% 的用户使用 skills。
这说明 Agent 已经开始从“辅助工具”变成“可委派劳动力”。
但 Coding Agent 不是终局。
它只是第一个 PMF 最清晰的场景。
下一批 Agent 机会会出现在同样具备“任务明确、结果可验收、流程可沉淀”的领域:
| 领域 | Agent 机会 |
|---|---|
| 法务 | 合同审查、条款对比、风险标注 |
| 财务 | 发票处理、对账、预算分析 |
| 销售 | Lead research、CRM 更新、邮件生成 |
| 电商 | 商品上架、评论分析、广告素材 |
| 内容 | 选题、脚本、分镜、生成、发布 |
| 运营 | 日报、周报、异常监控、活动方案 |
| 安全 | 告警分析、日志研判、响应建议 |
| 教育 | 作业反馈、课程助教、学习计划 |
这里的创业关键不是“能不能接模型”,而是能不能把一个垂直任务做成稳定的结果交付链路。
十一、创业者应该避开的三个坑
1. 不要做 Prompt Wrapper
Prompt Wrapper 的典型特征是:
套一个模型 API
加一个聊天 UI
预置几个角色
包装成 AI Agent
这类产品很难形成壁垒。模型厂商一更新,产品价值就被吞掉。
2. 不要迷信通用 Agent Builder
通用 Agent Builder 看起来空间大,但竞争极强,而且容易陷入“谁都能做,谁都不好用”的状态。
真正的企业用户不是想买一个配置工具,而是想解决一个业务问题。
3. 不要一开始追求全自动
生产级 Agent 不是完全自动化,而是“自动执行 + 关键节点人工确认”。
Human-in-the-loop 不是落后,而是商业化必需。
十二、真正值得做的方向:Vertical Agent OS
AI Agent 创业更好的方向,是做 Vertical Agent OS。
它不是一个通用 Agent 平台,而是围绕一个垂直场景,提供完整结果交付系统。
例如内容营销场景:
输入:产品信息、目标人群、品牌素材、投放目标
过程:
市场调研 → 卖点提炼 → 脚本生成 → 分镜设计
→ 素材生成 → 审核修改 → 多平台适配 → 发布建议
输出:
短视频脚本、分镜 JSON、海报文案、投放素材包、复盘报告
用户真正买的不是“视频生成工具”,而是“营销内容结果”。
再比如研发情报场景:
输入:关注领域、GitHub 趋势、论文、X 信息源
过程:
采集 → 去重 → 分级 → 技术评估 → 产品判断
→ 商业化分析 → 信号输出
输出:
日报、周报、月报、信号、深度文章、产品建议
用户真正买的不是“信息搜索工具”,而是“高质量判断”。
这就是 Agent 创业的核心转变:
从工具交付,转向结果交付。
十三、一个生产级 Agent 产品的最小架构
如果从创业产品角度设计,我认为最小架构应该是:
User Request
↓
Goal Contract
明确目标、约束、成功标准、交付物
↓
Task Session
每个长任务独立上下文、状态、日志、成本
↓
Long Task Manager
创建、排队、执行、暂停、恢复、取消、重试
↓
Planner Agent
拆解任务、选择路径
↓
Skill Router
选择合适 Skill
↓
Worker Agents / Subagents
研究、生成、审查、修复、验证
↓
Tool Gateway / MCP
调用工具、API、数据库、文件、浏览器、代码环境
↓
Verifier
检查结果是否满足 Goal Contract
↓
Artifact Store
沉淀报告、代码、JSON、视频脚本、HTML、素材包
↓
Delivery
交付、发布、导出、复盘
这套架构的重点不是“多 Agent 看起来很强”,而是让每个任务可管理、可恢复、可审计、可复用。
十四、最终判断:Agent 创业的护城河不在模型,而在运行系统
未来 AI Agent 产品会分成三层。
第一层:低价值层,Prompt Wrapper
特点是包装模型,做对话入口。
这层会被模型厂商快速吞掉。
第二层:中价值层,Agent Builder
特点是拖拽流程、配置工具、连接 API。
这层有价值,但竞争激烈,很容易平台化。
第三层:高价值层,Vertical Agent OS
特点是:
面向明确行业
交付具体结果
内置任务系统
内置 Skill 体系
内置工具协议
内置长任务管理
内置可观测
内置权限治理
内置产物沉淀
这才是创业公司更值得押注的方向。
因为客户最终不会为“一个 Agent”付费。
客户会为“一个可以稳定交付业务结果的系统”付费。
结语
AI Agent 的下一阶段,不是让模型更会聊天,而是让模型进入真实工作流。
真正的问题已经变成:
- 如何定义任务?
- 如何管理状态?
- 如何调用工具?
- 如何长期运行?
- 如何失败恢复?
- 如何控制权限?
- 如何追踪成本?
- 如何沉淀经验?
- 如何交付结果?
所以,AI Agent 创业的核心不是做一个聪明的助手,而是做一个可靠的任务操作系统。
不要先卖 Agent。
先让 Agent 能稳定交付结果。