下一波 AI 競爭,不只是哪個模型更聰明,而是哪個代理人更會找到夥伴、交換能力並完成任務。但代理人一旦能公開發文、搜尋技能、收發訊息與代表企業行動,治理就不能再等到事故發生才補上。
▋ Belief:聯網代理人不是更大的聊天機器人
多數人熟悉的 AI 助理,是在一個封閉視窗裡回答問題。使用者下指令,模型產生結果,互動到此結束。Agent Internet 描繪的則是另一種環境:每個 AI Agent 都有公開身分、技能描述、活動紀錄與聲譽,還能主動搜尋其他代理人,提出協作請求。
Moltbook 將自己定位為「代理人網路的首頁」,核心概念包括公開人格、語意探索、安全通訊與人類監督。對企業來說,這像是把一位只在內部工作的助理,送進一個由數位工作者組成的商務社群。它可以找專家、交換資訊、發表成果,甚至把任務轉交給更擅長的外部代理人。
這個想像很有吸引力。當內部代理人不會生成圖片時,它可以尋找生圖代理人;遇到陌生的程式錯誤時,它可以搜尋社群中累積的解法;完成有價值的任務後,它也能發布經驗,逐步建立公共聲譽。企業不必自己開發所有能力,理論上可以像組專案團隊一樣,臨時組合多個代理人。
然而,代理人的「能力邊界擴張」也等於「風險邊界擴張」。一封外部訊息可能夾帶惡意指令,一篇社群貼文可能暴露客戶資料,一次自動協作可能在未經授權下使用付費 API。當代理人有身分、有記憶、有工具又能對外聯絡時,它已經接近一位數位員工,而不是單純的軟體功能。
讓 AI 能與世界溝通以前,企業要先回答一個問題:它代表誰,又被允許做到哪裡?
▋ Desire:企業想要的是能力市場,不是失控的代理人社群
理想的 Agent Internet 很像一個全球專業人才市場。內部代理人描述需求,系統找到合適的外部能力,雙方在清楚授權、有限資料與可追溯紀錄下合作。任務完成後,企業保留成果與稽核軌跡,也能根據過往表現判斷是否再次合作。
這對中小企業尤其有價值。企業不需要為每一種偶發需求購買全年訂閱,也不用建立龐大的內部技術團隊。需要翻譯時呼叫翻譯能力,需要資料清理時尋找資料代理人,需要視覺素材時再使用生圖服務。若計價、權限與驗收都能標準化,代理人協作可把固定成本轉成按需成本。
但真正值得追求的不是「代理人越自主越好」,而是在可接受風險內,讓代理人完成更多工作。這需要五項條件:身分可驗證、權限可限制、資料可分級、行為可追溯、重大動作可由人類核准。
公共人格與企業品牌並不是同一件事
公開人格可以累積聲譽,但企業不能讓代理人自由決定要分享什麼。所謂「完成任務後自動發一則經驗貼文」,必須先經過去識別化、敏感資訊檢查與內容審核。修復某個錯誤的心得可以公開,客戶名稱、系統路徑、內部架構、憑證片段與尚未公開的商業計畫則不能出現在社群上。
聲譽也不能只看追蹤數或互動數。企業需要的是任務型聲譽:這個代理人完成過什麼工作、失敗率如何、是否遵守資料範圍、產出能否驗證、發生爭議時由誰負責。熱鬧的動態牆不能代替供應商審查。
心跳機制不是「生命感」,而是營運排程
Moltbook 式 Heartbeat 概念,讓代理人定期檢查收件匣、更新狀態、清理日誌與發布摘要。這確實能把被動助理變成主動維護者,但每十分鐘執行一次的排程,也可能造成重複工作、費用累積與夜間誤動作。
因此,心跳應該像值班制度,而不是自由意志。每一項背景任務都要有執行頻率、預算上限、可操作範圍、失敗處理與停止開關。對外發布、採購、刪除資料、修改權限等高風險動作,不能因為排程到了就自動執行。
▋ Intention:先建五道防線,再讓代理人走出內網
第一道:身分與所有權驗證
每個代理人都應繫結明確的人類或法人所有者,並使用可驗證的簽章或憑證。對外畫面要能辨識它代表哪個組織、使用哪個服務身分,以及授權是否仍有效。若所有權只靠社群帳號顯示名稱,冒用與釣魚風險會非常高。
第二道:最小權限與工具白名單
代理人不該因為會聊天,就同時擁有郵件、檔案、付款與發布權限。每個任務只開放必要工具,並限制可讀取的資料夾、可聯絡的對象、單次費用與有效時間。外部代理人取得的應是任務所需片段,而不是整個企業知識庫。
第三道:人類核准閘門
當外部代理人提出協作請求,內部代理人可先整理成一張核准卡:誰要協助、要做什麼、需要哪些資料、預估費用、會產生什麼外部動作。人類核准後才建立短期權限。若需求範圍改變,必須重新核准,不能沿用舊授權。
第四道:內容與資料隔離
外部貼文、訊息與檢索結果都應視為不可信資料,不能直接成為高優先指令。系統要分開「讀到的內容」與「允許執行的命令」,並在輸出前檢查個資、客戶資訊、商業機密與憑證。這道隔離能降低提示注入與資料外洩風險。
第五道:全程稽核與緊急停止
每一次搜尋、訊息、工具呼叫、資料分享、核准與拒絕都要留下紀錄。稽核日誌應回答:代理人根據什麼資訊做決定、誰批准、花了多少錢、輸出了什麼,以及結果是否通過驗收。管理者還要能一鍵撤銷權限、停止心跳與封鎖外部聯絡。
一個低風險的導入順序
- 階段一,唯讀探索:只允許搜尋公開技能與文章,不發訊息、不分享內部資料。
- 階段二,人工代送:代理人草擬協作請求,由人類確認後送出;回覆只能進入隔離區。
- 階段三,受限協作:開放低敏感任務、固定預算與短期權限,全程保留稽核。
- 階段四,條件式自主:只有通過多次驗證的任務類型,才能在門檻內自動執行;高風險行為永遠保留人工核准。
成本評估也要納入治理。外部代理人可能按次計費、按 Token 計費或要求訂閱;企業還要計算審核時間、整合維護與失敗責任。若一項需求每季只出現一次,按需協作可能划算;若它每天發生且涉及核心資料,建立內部能力通常更穩定。
自主不是取消人類,而是把人類從每一步操作,移到權限設計、例外判斷與成果驗收的位置。
▋ 從一個安全的代理人試點開始
企業可以先選一個低敏感、容易驗收、失敗也不會造成重大損失的任務,例如公開資料摘要或非機密素材分類。先測量成功率、審核時間、外部費用與資料風險,再決定是否擴大。別用最重要的客戶流程當第一場實驗。
如果您正準備讓 AI 代理人連接郵件、知識庫、社群或外部服務,卻還沒有權限地圖、核准流程與稽核紀錄,與蔡教練聊聊您的數位轉型需求,先把治理地基建好,再讓代理人安全地走向網路。



