当机器开始代表人类行动,我们需要一份怎样的公共契约?

在线体验各类最新模型,更有模型 免费Token 额度领取!
立即体验
简介: Agent从“信息工具”迈向“行动代理”的根本转变:当机器能自主执行退款等真实业务操作,便引发授权、责任与治理的深层挑战。文章提出A2B(Agent-to-Business)概念,主张建立轻量、可互操作的公共契约(如ACC),明确能力边界、行动主体、人工介入点与责任归属,核心是区分“可触达”与“有权限”,确保业务系统始终保有最终授权。治理不是刹车,而是可信委托的前提。

从信息工具到行动代理,Agent 带来的真正变化,不只是软件获得了更自然的交互方式,而是人类开始把一部分行动过程委托给机器。技术能力向前走了一步,授权、责任与治理秩序也必须随之向前。

假设有一天,你对一个 Agent 说:

把今天重复支付的订单找出来,符合条件的直接发起退款。

如果它只是生成一段操作建议,我们面对的仍然是一个信息质量问题。答案可能正确,也可能错误,但在结果进入现实系统之前,通常还有一个人负责阅读、判断和执行。

如果它真的查找订单、判断条件、调用退款接口,并改变了账户余额,事情就完全不同了。

此时,Agent 产生的不再只是一段文本,而是一个现实后果。

我们必须开始追问:

  • 它为什么可以看到退款能力?
  • 它正在代表谁行动?
  • 谁授权它执行到这一步?
  • 哪些情况必须停下来等待人工决定?
  • 如果参数在审批后发生变化,原来的批准是否仍然有效?
  • 如果执行错误,谁能够解释当时发生了什么?
  • 最终责任应当落在模型、运行时、业务系统,还是发起操作的人身上?

这些问题不会因为模型更聪明而自动消失。恰恰相反,Agent 越能自主完成工作,这些问题就越重要。

这篇文章想讨论的,不是某个产品如何实现工具调用,也不是某份规范是否会在短期成为行业标准。我们真正想讨论的是一个更长远的问题:

当机器开始代表人类进入真实业务系统行动,整个社会是否需要一套关于机器行动边界的共同语言?

一、历史真正改变的,不是 AI 会调用 API

人类一直在把工作交给机器。

计算器替我们完成计算,数据库替我们保存记录,搜索引擎替我们查找信息,传统自动化程序按照预先写好的规则执行任务。这些技术同样会影响现实,但它们的行为通常有清晰、确定的程序边界。

Agent 带来的变化,在于它开始参与过去由人完成的中间过程:

理解模糊意图
  ↓
选择完成目标所需的能力
  ↓
生成调用参数
  ↓
根据结果决定下一步行动
  ↓
持续执行,直到目标完成

我们不再只是让软件执行一条明确命令,而是在向它描述一个目标,然后允许它参与决定“接下来应该做什么”。

这是一种新的委托关系。

从技术上看,它表现为模型推理、工具选择和 API 调用;从社会运行角度看,它意味着机器开始进入人类原有的行动链条。

过去,人使用软件完成业务操作:

人登录系统 → 人理解页面 → 人选择操作 → 系统校验权限 → 业务结果产生

现在,中间多了一个能够理解意图并代替人选择行动路径的 Agent:

人提出目标
  ↓
Agent 解释意图、选择能力、组织参数
  ↓
运行时发起调用
  ↓
业务系统校验并产生结果

这条链路看似只是增加了一个技术组件,实际上却改变了责任形成的方式。

当一个人点击“退款”按钮时,我们很容易说明是谁做了什么;当一个 Agent 根据一句自然语言,自主选择退款工具并生成金额时,行动背后同时存在发起者、模型、运行时、工具提供方和业务系统。

参与者增加了,责任却不能因此变得模糊。

二、Agent 时代最稀缺的,可能不是能力,而是可解释的委托

今天的行业非常擅长让 Agent 获得更多能力。

我们在不断改进模型推理,提供更多工具,建设更强的工作流,让 Agent 能连接数据库、浏览器、代码仓库、企业应用和现实设备。

但“能做”只是问题的一半。

另一半是:

一个组织怎样才能清楚地说明,它把什么能力、在什么边界内、以什么责任条件委托给了 Agent?

这不是单纯的安全技术问题,也不是一句“操作前让用户确认”就能解决的问题。

真正可解释的委托,至少应当回答:

  • 能力边界:Agent 最多能够接触哪些业务能力;
  • 行动主体:它代表的是匿名访客、登录用户、企业员工还是服务账号;
  • 后果等级:这项操作最坏的合理后果是什么;
  • 人工介入:哪些行动可以直接继续,哪些行动必须等待外部决定;
  • 执行约束:操作是否只读、是否幂等、是否需要限流;
  • 责任记录:行动经过了哪些判断,提交了什么参数,最终产生了什么结果。

这些信息的意义,不只是帮助 Agent“更懂工具”。它们是在为一次机器行动建立可被人类理解和追溯的责任上下文。

一个成熟的 Agent 生态,不能只让机器知道“这个接口怎么调用”,还要让组织能够说明“为什么允许它调用到这里”。

三、现有协议栈解决了连接,却没有自动生成治理秩序

今天的 Agent 技术生态并非一片空白。

OpenAPI 可以描述 HTTP 接口、参数和响应;MCP 等协议可以帮助 Agent 发现和调用工具;Agent 框架和工作流引擎可以组织任务;API Gateway 可以执行鉴权、限流和路由;业务系统掌握真实用户、数据状态和最终权限。

每一层都在解决重要问题。

但把这些组件连接起来,并不会自动生成一套完整的行动治理秩序。

OpenAPI:这个接口的语法是什么?
工具协议:Agent 如何发现并调用它?
Agent Runtime:如何理解目标、选择工具并组织执行?
API Gateway:请求如何进入系统,流量策略如何执行?
Business System:这个主体此刻究竟有没有权做这件事?

在这些问题之间,还存在一组相对稳定、却经常散落在各处的信息:

这项业务能力是否允许向 Agent 暴露?
它的风险大致属于什么等级?
是否必须绑定一个可信业务主体?
是否存在人工审批意图?
是否涉及敏感审计信息?
执行时有哪些基本约束?

现实中的团队通常不是没有处理这些问题,而是把答案分别放在了提示词、平台配置、网关插件、审批代码、日志模块和开发文档里。

这在一个小规模项目中完全可以工作。

但当一个业务系统同时服务多个 Agent、多个入口、多个模型和多个运行时,碎片化的代价就会逐渐显现:同一个退款能力在不同平台中有不同风险描述,同一个审批条件被维护了多份,模型迁移后没人能确认治理配置是否完整迁移,安全人员也无法从接口契约中直接看到 Agent-facing 的能力边界。

问题不是行业完全没有治理,而是治理缺少公共语义。

四、一个问题被准确命名之后,才可能成为公共知识

技术史上,很多重要进步并不是从发明一个庞大系统开始的,而是从准确识别一个反复出现的问题开始。

在问题没有名称时,每个团队都会把它当成自身项目中的特殊情况:

  • 有人把它称为“AI 接口安全”;
  • 有人把它归入“工具权限”;
  • 有人把它写成“Agent 网关规则”;
  • 有人把它放进“工作流审批”;
  • 有人干脆认为这只是提示词工程的一部分。

这些说法都碰到了真实问题的一部分,却很难让产品经理、开发者、安全团队和架构师围绕同一个对象展开讨论。

当我们把“Agent 进入存量业务系统、代表真实主体产生业务结果”单独识别为一种场景,并把它称为 A2B,Agent-to-Business,变化并不只在于多了一个缩写。

它让一类分散问题有了共同讨论对象:

A2B 不是让模型多连接几个 API,而是让 Agent 在可授权、可治理、可追溯的前提下进入真实业务系统行动。

一旦问题被命名,我们才能进一步讨论它需要哪些基础语义、哪些责任属于运行时、哪些责任必须留在业务系统,以及哪些内容有可能形成跨实现的公共契约。

命名不是为了制造术语,而是为了减少整个行业反复解释同一类问题的成本。

五、公共契约的价值,不是让所有实现变得相同

提到标准或契约,人们很容易联想到一种强制统一:所有人使用同一种产品、同一套平台、同一个执行流程。

但真正有生命力的公共标准,往往不是统一所有内部实现,而是在异构系统之间建立最小共识。

HTTP 没有规定网站必须使用哪一种语言开发;OpenAPI 没有规定服务端必须使用哪一种框架;一种 Agent 能力契约同样不应该规定企业必须使用哪一种模型、审批系统、身份平台或数据库。

它真正需要稳定下来的,是不同参与者之间必须共同理解的那一小部分语义。

这可以被理解为一种“薄腰”结构:

不同模型、Agent、交互渠道和编排框架
                    ↓
     一组稳定、可机器读取的治理语义
                    ↓
不同网关、运行时、审批系统和业务系统

上层可以快速创新,下层可以保留企业自身复杂性,中间只维持足够小、足够稳定、能够跨实现成立的共同语言。

公共契约的目标不是消灭差异,而是让差异仍然能够协作。

六、最重要的边界:可触达不等于有权限

任何关于 Agent 行动治理的公共思想,都必须守住一条基础边界:

治理契约管理 Reach:Agent 最多可以触达哪些能力。
业务系统掌握 Authority:这个主体此刻究竟能不能执行。

这两个问题看起来接近,实际上不能混为一谈。

“退款申请是一个高风险能力,并且调用时必须绑定可信主体”,是一项相对稳定、可以跨运行时理解的声明。

但“当前员工能不能为这个订单退款 5000 元”,依赖的是实时业务事实:员工属于哪个组织,订单归属谁,订单当前是什么状态,可退款余额还剩多少,企业内部风控是否允许。

这些答案只有业务系统能够权威掌握。

无论 Agent 运行时做了多少治理,业务系统都不能放弃最终授权。因为任何中间层都有可能配置错误,也可能被绕过;真正的数据隔离、权限校验和业务规则必须在所有调用路径上成立。

这条分界的社会意义在于,它阻止我们把机器的“理解”误认为组织的“授权”。

模型可以判断用户想做什么,却不能仅凭判断就获得做这件事的权力。

七、薄,并不意味着不完整

第一次看到一份 Agent 能力契约,人们很自然会问:

  • 为什么不把具体审批人写进去?
  • 为什么不定义完整身份格式?
  • 为什么不描述跨接口事务?
  • 为什么不规定回滚和补偿?
  • 为什么不增加企业审计保存期限?
  • 为什么不直接定义所有动态业务规则?

这些问题都重要,但重要不代表都应该进入公共契约。

具体审批人依赖组织结构,身份解析依赖企业的身份系统,事务与补偿依赖工作流和业务语义,日志保存期限依赖企业合规制度,动态权限依赖实时业务数据。

如果把这些内容全部塞进一个所谓通用标准,它很快就会变成一套没有任何企业能够完整实现的万能策略语言。

更危险的是,一些字段可能制造虚假的安全感。

例如,在声明里写下“跨接口操作是原子的”,并不会自动产生分布式事务;在网关层覆盖一个租户参数,也不能取代业务系统的数据隔离;写下一个跨字段表达式,更不能自动解决数据从哪里来、是否可信、何时失效以及获取失败后怎么办。

克制不是回避问题,而是尊重问题真实所属的层次。

一份公共契约真正的完整性,不在于字段足够多,而在于它定义的每一个字段都能够:

  • 在不同实现中保持一致含义;
  • 不依赖某个产品的私有数据库和 UI;
  • 不越过业务系统的最终授权;
  • 具有明确的失败语义;
  • 可以被机器校验和验证;
  • 在版本演进时不因静默忽略而削弱声明者的安全意图。

标准的难度从来不只是增加能力,更在于知道什么不应该进入核心。

八、治理并不是给 Agent 踩刹车

安全治理经常被理解为限制创新:更多规则、更多审批、更多阻力。

但在 Agent 进入真实业务的过程中,情况恰恰相反。

如果一个组织无法解释 Agent 能接触什么、代表谁行动、何时需要人工介入、执行结果如何追踪,它最理性的选择就是不开放高风险能力。

于是大量 Agent 项目会停留在:

  • 回答帮助文档;
  • 查询公开信息;
  • 生成操作建议;
  • 创建不产生后果的草稿;
  • 展示一个看起来聪明的演示。

而真正有价值的企业工作,往往发生在写操作里:修改状态、处理退款、调整库存、创建工单、维护客户、执行审批、跨系统完成任务。

只有当行动边界能够被可靠治理时,企业才可能放心地逐步开放这些能力。

因此,治理不是 Agent 能力的反方向,而是可信委托能够继续扩大的前提。

一个社会能够把多少行动权交给 Agent,最终不只取决于 Agent 有多聪明,也取决于我们能否为机器行动建立多可靠的责任结构。

九、这套思想降低的是全行业的重复试错成本

假设没有任何公共参考,每一家准备让 Agent 操作业务系统的企业,都需要从零思考:

  • 如何区分查询、修改、资金和不可逆操作;
  • 是否必须绑定真实操作人;
  • 哪些条件应当触发人工介入;
  • 审批通过后如何防止参数漂移;
  • 哪些信息必须进入审计;
  • 治理规则应该放在提示词、平台、网关还是业务系统;
  • 更换模型和 Agent 平台后,治理配置如何迁移。

优秀团队最终可能设计出可靠方案,但整个行业仍然会重复支付同一笔认知成本。

而经验不足的团队,则可能把安全寄托在提示词上,把租户隔离交给中间层参数覆盖,把高风险工具直接交给模型,或者让多套运行时各自维护互不一致的治理规则。

一套公开的治理元模型,即使没有被原样采用,也能够成为共同参考基线。

企业可以直接实现它,也可以在内部契约中借鉴它,还可以质疑其中的边界并提出更好的方案。重要的是,后来者不必从一个完全空白的问题空间重新开始。

把私人项目中的经验,转化为任何人都能阅读、批评和改进的公共知识,本身就是开源标准最朴素的社会价值。

十、未来的生态不会只有一个入口

未来的 Agent 生态大概率仍然是多元的。

企业可能同时使用不同模型、不同 Agent 平台、不同云服务和不同执行器;有些治理能力会由独立控制面实现,有些会成为 API Gateway 插件,有些会进入 Agent 平台,还有一些会由业务系统原生提供。

这并不意味着公共契约失去意义,反而说明它更加必要。

如果治理语义只存在于某个平台内部,企业更换平台时就必须重新建设;如果同一业务能力被多个运行时使用,每个平台都可能形成自己的风险描述和审批规则;如果云、模型和业务系统之间没有共同词汇,跨生态协作就只能依赖大量定制适配。

中立契约的价值,不是与这些产品争夺运行时位置,而是让不同产品可以围绕同一份声明工作:

它可以通过 OpenAPI 扩展被描述;
可以通过 MCP 或其他协议被传递;
可以由 Agent 平台读取;
可以由 API Gateway 执行部分策略;
可以由独立控制面落实治理;
最终由业务系统完成权威校验。

实现形态可以竞争,基础问题却可以共享。

十一、标准的历史价值,不只由今天的采用量决定

一套新思想刚刚出现时,人们最容易用当前数字衡量它:有多少用户、多少实现、多少下载、多少企业接入。

这些指标当然重要,因为没有实践的标准无法证明自身价值。

但对于仍处在问题定义阶段的公共规范,它还有另一种更长线的衡量方式:

  • 它是否准确识别了一个会反复出现的问题;
  • 它是否为原本零散的实践建立了共同词汇;
  • 它是否划清了此前容易混淆的责任边界;
  • 它是否提供了一个可验证、可争论、可继续演化的公共起点;
  • 它是否让后来者减少了重复犯错的概率;
  • 它提出的命题,是否会在未来的不同实现中持续出现。

很多思想的影响,并不表现为所有人永久使用最初的名称和格式。

它可能被改写、扩展、吸收,甚至被新的标准取代。但只要后来者仍然在回答它最初提出的那些问题,这份思想就已经进入了行业演进的一部分。

所以我们不应把“成为唯一标准”与“具备长期价值”混为一谈。

前者取决于生态、实现、治理、时机和多方协作;后者首先取决于它是否真正推进了行业对问题的理解。

十二、ACC 是这套思想的一次公开范式实践

在这样的背景下,ACC,Agent Capability Contract 的位置才变得清楚。

ACC 不是这篇文章的前提,也不是关于未来的唯一答案。它是对上述问题的一次公开、可机器读取、可验证的范式实践。

它尝试做几件事:

  1. 用 A2B 描述 Agent 安全、可治理地进入已有业务系统工作的场景;
  2. 把能力边界、风险、主体、审批意图、审计和执行约束提炼为公共语义;
  3. 坚持 Reach 与 Authority 分离,让业务系统保留最终权限;
  4. 保持核心足够薄,使声明不绑定特定模型、平台、网关或审批产品;
  5. 通过 Schema、Conformance 和公开治理,让不同实现能够围绕同一份契约讨论一致性。

当前 ACC 选择通过 OpenAPI 扩展 x-agent-capability 提供首个正式绑定,但这不意味着这种思想只能存在于 OpenAPI 中。未来它可以拥有其他绑定,也可能被新的协议和实现吸收。

真正重要的不是某个字段是否永远保持不变,而是它背后的基础命题是否成立:

Agent 的能力需要显式开放,而不是默认拥有;
模型不能成为安全决策的唯一依据;
代理行动需要绑定可追溯的责任上下文;
高风险行动需要可声明的人工介入意图;
治理元数据必须与模型生成参数分离;
业务系统始终保留最终授权。

如果这些命题能够帮助行业更清楚地思考机器行动,ACC 就已经不只是一份 Schema。

它是一种关于 Agent 如何进入现实业务秩序的设计提案。

十三、我们也必须诚实地承认它的边界

把视角拉高,并不意味着应该夸大结论。

ACC 目前不是全球事实标准,也不能仅凭一套自洽设计就宣布行业已经完成共识。它仍然需要更多独立实现、真实业务案例、跨平台绑定、社区提案和长期兼容性验证。

它也不会解决企业 Agent 落地中的全部问题:

  • 不替代业务系统的身份和权限体系;
  • 不承担最终租户隔离;
  • 不定义完整审批组织结构;
  • 不代替 Workflow 或 Saga 协议;
  • 不承诺跨接口事务;
  • 不决定企业合规与日志保留制度;
  • 不把所有动态业务规则变成通用表达式。

这些边界并不削弱它的价值。

相反,能否长期保持中立,取决于它是否抵抗住“把所有重要问题都塞进核心”的诱惑。

一个标准只有清楚自己不负责什么,别人才能放心地围绕它建设各自的实现。

十四、即使未来不叫 ACC,这一层也一定会出现

未来,Agent 行动治理可能以不同形式进入产业基础设施:

  • 成为独立开放契约;
  • 成为工具协议中的治理扩展;
  • 成为 API Gateway 和 AI Gateway 的标准能力;
  • 成为 Agent 平台之间可交换的元数据;
  • 成为企业业务系统原生支持的一组声明;
  • 或者形成一个今天还没有名字的新标准。

名称、字段和承载方式都可能改变。

但只要 Agent 继续从“生成内容”走向“代表人行动”,行业就无法回避同一组问题:它能做什么、代表谁、在什么边界内行动、何时需要人类介入、如何留下责任证据,以及最终由谁授权。

因此,我们真正希望推动的,不是让所有人接受某个缩写,而是让这组问题尽早成为公共议题。

当越来越多团队开始用共同语言讨论机器行动的边界,当开发者不再默认“接通工具就等于可以安全执行”,当产品经理、安全人员和业务负责人能够围绕同一组治理命题协作,行业就已经向前走了一步。

结语:智能越向前,责任结构越不能留在身后

人类创造工具,是为了把能力延伸到自身之外。

从机械装置到软件系统,从自动化程序到今天的 Agent,每一次能力延伸,最终都会带来新的规则、责任和协作方式。

Agent 时代真正值得期待的,不是机器可以毫无边界地替人行动,而是我们能够建立一种成熟的委托关系:机器获得足够的能力完成工作,同时每一次重要行动仍然处在人类可以授权、约束、解释和追溯的秩序中。

历史不会因为一份规范发布就自动选择它。

但历史会不断淘汰那些无法解释责任、无法建立信任、无法承载真实业务后果的架构。

ACC 是否会成为最终名称,今天没有人能够断言。可以确定的是,当机器开始代表人类进入业务系统行动,一套关于能力边界、行动主体、风险、人工介入和责任记录的共同语言,迟早会成为产业基础设施的一部分。

评判这套思想的价值,不应只看今天有多少企业原样采用某份规范。

更应该看未来,当行业讨论 Agent 如何安全进入真实世界时,是否仍然绕不开它所提出的那些基础问题。

机器能够走多远,取决于智能;人类敢让它走多远,取决于治理。


延伸阅读:

相关文章
|
4天前
|
缓存 人工智能 安全
GPT-5.6 Terra与GPT-5.5性能实测:成本减半后的跑分对比与快速迁移指南
GPT-5.6 Terra 的定价为每百万 token 输入 2.50/输出 15。GPT-5.5 则是 5/ 30。Terra 的每一项费率,包括 $0.25/M 的缓存读取,都恰好是 GPT-5.5 的一半,因此在任何工作负载组合下,Terra 都固定 便宜 2.0x。以每天 10 万次请求、3K token 提示词计算,大约是 Terra 每天 2,000,GPT−5.5每天 4,000,即每月约 60,000对 120,000。问题在于:OpenAI 没有发布任何针对 Terra 的编码基准。那个著名的 91.9% Terminal-Bench 数字是 Sol 在 Ul
|
3天前
|
SQL 人工智能 自然语言处理
大模型内容安全实时防护:恶意Prompt注入拦截、越权阻断与熔断机制方案.166
本文系统阐述大模型输入安全防护体系,涵盖提示词注入、恶意Prompt拦截、越权阻断与输入熔断四大核心风险及应对方案。提出四层防护架构(预处理、检测、鉴权、熔断),结合规则引擎、语义识别与RBAC权限控制,实现全链路实时防护,保障业务合规、数据安全与服务稳定。
228 1
|
27天前
|
Linux 程序员 数据格式
【2026最新】Notepad++下载、安装和使用一篇搞定(附中文版安装包)
Notepad++ 是一款免费开源、轻量高效的 Windows 文本编辑器,支持 C/Python/HTML 等 80+ 语言语法高亮、代码折叠、正则替换、编码转换及插件扩展,专为程序员与文本处理用户打造,完美替代系统记事本。(239字)
|
11天前
|
人工智能 编解码 物联网
2026 最新Stable Diffusion 本地部署教程 下载安装使用详细图解(含官网安装包)
Stable Diffusion(SD)是2022年发布的开源文生图模型,由Stability AI等联合开发。支持文生图、图生图、局部重绘等,依托VAE降低算力需求,可在消费级显卡运行。本文提供秋葉aaaki制作的Windows整合包(含图形界面与插件),开箱即用,零配置启动。
|
12天前
|
人工智能 缓存 安全
Claude Code 封号真实原因曝光,这次彻底不装了,直接针对国内开发者的账号下手?
Claude Code 封号潮背后:逆向扒出客户端隐写区域标记,Anthropic 政策收紧叠加 DeepSeek 7 月涨价,国产替代更紧迫。
|
21天前
|
存储 人工智能 监控
QoderWork完全指南:从入门到精通,把“AI实习生”变成你的全能工作搭档
阿里云2026年推出的桌面端AI工作助手QoderWork,不止聊天,更可动手干活:本地运行、安全可控,支持文件整理、数据分析、PPT生成、网页开发等;内置专家套件、多Agent协作与自定义Skills,让AI真正成为你身边的“AI实习生”。
|
18天前
|
人工智能 JSON 自然语言处理
让教学更智慧:用阿里云百炼工作流,自动生成中小学教材内容#小有可为#有温度的AI
通过可视化工作流编排,将大模型推理能力转化为标准化的教学内容生成引擎。教师只需输入教材标题和适用学段,即可自动获得结构完整、符合课程标准的章节内容,大幅降低备课门槛,助力教育资源均衡化。
514 127
|
4天前
|
人工智能 缓存 JSON
刚刚 GPT-5.6 发布,吊打 Claude 5 和 Grok 4.5?一手实测来啦!
GPT-5.6 刚发布,跑分号称超越 Fable 5,真的假的?附一手实测,让 3 个最强 AI 编程模型 GPT-5.6 Sol、Claude Fable 5、Grok 4.5 在 Cursor 里同时一把梭开发网页游戏,看看最新模型到底谁更能打。
276 0

热门文章

最新文章