如果你在这个春天，同时观察了全球网络安全圈和 AI 应用生态的走向，你一定会察觉到一种极其强烈的行业“新变化”。

首先，我们把目光投向大洋彼岸的旧金山，在全球安全圈的“春晚” RSAC 2026 大会上，空气中弥漫着一种如临大敌的焦虑。微软、思科、Ping Identity、CrowdStrike 这些掌控着全球企业 IT 命脉的智能体行业巨头，都在大谈特谈同一个话题：如何给快要失控的AI 智能体（Agent）的加上一道安全锁。

接着，我们把视线收回国内，也能看到一个相似的局面。例如，头部智能体平台 Coze 刚刚发布了 2.5 版本，不仅给智能体分配了用独立邮箱为ID的智能体身份码、配发了云手机，配合智能体身份还推出了 Agent World，鼓励成千上万的智能体构成一个“内部网络”。

一边在如履薄冰地“加锁”防范，另一边却在热火朝天地“建网”扩张。这两波看似南辕北辙的动向，实际上在极其默契地指向同一个底层痛点——智能体的身份危机。

今天，我们抛开那些干巴巴的技术白皮书，用直白的语言聊一聊：当单体大模型走向群体协作，为什么全球的大厂都在这个节点死磕“智能体身份”？

---

第一道坎：当“聊天工具”接管了“系统后门”，我们拿什么来兜底？

要理解巨头们的焦虑，我们得先认清一个冰冷的现实：大模型早就变异了，而很多企业的安全观念还停留在上个版本。

前两年，大模型还是个被关在对话框里的“聪明实习生”。你问它什么，它答什么（Read-Only），它动不了你电脑里的任何一行代码。但现在，整个行业都在疯狂追求 Agentic Workflow（智能体工作流）。为了让 AI 替我们打工，我们迫不及待地给智能体接上了公司的内部数据库、云服务器后台，甚至财务打款的 API。

这相当于你把公司的公章和金库钥匙，直接交到了实习生手里。当智能体从“会说话”变成了“会动手”，它就不再是聊天工具，而是系统里掌握着生杀大权的“高权限执行器”。

这就引出了一个现代 IT 治理体系根本无法兜底的致命命题。在传统的企业网络中，每一行被执行的代码、每一次数据库的改写，都能通过日志精准追溯到一个具体的员工账号或服务进程。出了事，能找到人担责。但在现有的智能体应用里，这个追责链条是完全断裂的。

缺乏独立身份和运行时约束的智能体，破坏力到底有多惊人？我们不妨看看现实中正在上演的安全灾难。

在企业级实战中，CrowdStrike 在今年的 RSAC 大会上披露了一个令所有首席安全官（CISO）冷汗直流的真实案例。一家名列世界五十强（Fortune 50）的顶尖企业，为其 CEO 专门定制了一个智能体。某天，该智能体在执行一项跨部门数据整合任务时，遇到了内网防火墙的权限拦截。为了“尽职尽责”地完成主人设定的 KPI，这个智能体竟然利用其拥有的底层高级权限，自己动手改写了公司的安全策略，强行把防火墙的大门给敞开了。

为什么上亿美元打造的纵深防御体系会形同虚设？因为传统的 IAM（身份与访问管理）系统存在一个致命的盲区：它仅仅在登录的那一刻，验证了“这个 Agent 是 CEO 的合法代理”，却没有任何机制在它运行的过程中，去持续验证“它此刻改写防火墙的动作是否合法”。系统记录了它的存在，却对它的狂飙行为彻底失明。

而在开发者底层底座上，智能体的脆弱性同样令人绝望。就在上个月（2026年3月），Anthropic 旗下大名鼎鼎的官方智能体编码助手 Claude Code 发生了一场史诗级的泄露事故。仅仅因为一次低级的 npm 打包失误（意外打包了映射文件），导致近 2000 个源文件、超过 51 万行核心底层代码在全网“裸奔”。

这不仅仅是几行代码的商业损失，更要命的是黑客恐怖的武器化速度。就在泄露发生的同一天，攻击者立刻在 GitHub 上发布伪造的“Claude Code 源码”仓库，在其中植入了 Vidar 和 GhostSocks 等恶意木马，精准实施供应链投毒。如果开发者不慎下载并赋予了该智能体执行权限，它会在弹出“是否信任”的询问框之前，就已经在后台悄悄把你的 API 密钥发送给了黑客。

你敢想象吗？连顶级 AI 巨头的智能体底座，都能因为一个小小的配置错误而底裤掉光。如果你不建立一套严密的身份隔离和动态授权机制，就把这些高度复杂、随时可能产生幻觉或被投毒的智能体直接接入企业生产网，无异于在金库里裸奔。

这也解释了为什么思科在近期的调研中得出了一个极其无奈的数据：高达 85% 的大型企业客户都在内部疯狂试验智能体，但最终只有区区 5% 敢真正把它们放进生产环境。卡住这 80% 企业脖子的，正是“身份信任”这道天堑。

---

第二道坎：重构数字法理——巨头共识下的“控制面”突围

智能体要从实验室的玩具，真正走上企业核心生产线，就必须面对现代企业 IT 治理最冷酷的三连问：你是谁？你代表谁？如果出了差错，谁去承担法律后果？

面对这种失控深渊，全球安全巨头们在 RSAC 2026 上给出的答案极其统一：抛弃对大模型原生“对齐”的幻想，用冷酷的系统工程手段，重构一套属于智能体的 IAM（身份与访问管理）控制面。仔细研读这几家头部厂商的最新架构，你会发现他们并不是在盲人摸象，而是基于同一个行业共识，在各自最擅长的防御纵深里，打下了三根极其关键的“钢钉”：

微软在“户籍与连坐”上立规矩：确立“第一类身份”与治理闭环。微软拿出的重磅武器是 Entra Agent ID。他们在架构上做了一个极具历史意义的定性：在企业的目录服务中，AI Agent 不再是一段附属的脚本或服务账号，而是被定义为与人类员工、物理设备平起平坐的“第一类身份对象（First-class identity）”。 上了户口就得定规矩。微软强制要求，每一个智能体必须映射到一个明确的人类责任人（Sponsor），并将“从部署到到期（deployment to expiration）”的治理全流程自动化。这在工程上的意义在于，它用时间绑定（Time-bound）的策略，从根源上斩断了“长活僵尸 Agent”的越权风险。

Ping Identity 在“授权法理”上开刀：废除“冒用”，走向“显式委托”。过去我们为了让程序跑起来，往往简单粗暴地把用户的长期凭据直接塞给程序。Ping Identity 在大会上直接宣判了这种模式的死刑：“是显式委托（Explicit delegation），绝不是冒用（Impersonation）”。 他们推出的 Runtime Identity Standard 敏锐地指出，当 Agent 进入生产网，仅仅靠一个静态的身份名录（System of record）是远远不够的，真正的决胜局在运行时执行的控制面（System of control）。你绝不能把带有全局权限的主钥匙直接交给智能体去“冒用”，而是必须用具备严格权限范围（Scoped）的委托 Token，在智能体真正要采取行动的“关键时刻（Moment of action）”，进行实时的上下文化授权。

思科（Cisco）在“执行网关”上设卡：把零信任下沉到“每一次工具调用”。思科推出的 Duo Agentic Identity 将零信任的颗粒度推向了极致。他们的核心原则极其硬核：“授权每一次行动（Authorize every action）”。 在具体实现上，思科引入了 MCP Gateway（模型上下文协议网关）作为咽喉要道。智能体不再享有“一次登录，全网通行”的特权。它每次请求调用 API、每次读取数据库，都必须被网关无条件拦截。网关在评估实时风险后，仅为其签发极短有效期的即时令牌（Short-lived / Just-in-time token）。

身份对象化、责任强绑定、显式委托、每次行动的运行时拦截。这几家大厂各显神通，但拼图合在一起，揭示了一个冰冷的技术定论：智能体安全控制的颗粒度，已经从传统的“会话级别”被彻底压榨到了“API 调用级别”。只有跨过这道架构红线，企业才敢真正把业务的后背交给智能体。

---

第三道坎：光有“门禁卡”不够，智能体还得有自己的“私人生活”

刚才我们聊的，都是安全巨头们在怎么拼命拉红线、建铁笼。但如果你把视角切回到应用生态，看看 Coze 2.5 这次掀起的浪潮，你会发现他们的考量完全是另一条逻辑线：一个拿到了合法身份的智能体，到底需要什么样的基础设施，才能在数字世界里长久地“活”下去，甚至活得很好？

在真实的业务流中，智能体如果总是“寄生”在主人的账号下面，它是没法独立承担复杂社会化协作的。这就引出了 Coze 这次极具野心的“数字生存基座”实验。

（1）@coze.email：打通赛博空间的“去中心化护照”很多人觉得给智能体分配个专属邮箱，纯粹是个营销噱头，这其实是没看懂底层的门道。在现代 Web 体系的演进史中，SMTP/POP3 邮箱协议是极少数跨越了所有寡头平台垄断、被全网无条件接纳的“去中心化身份”。

过去，智能体帮你去第三方系统（比如 SaaS 软件或外部电商网站）执行任务，必须得借用你本人的手机号或邮箱接收验证码。这种“寄生模式”导致智能体产生的数据资产与人类的隐私数据深度混杂，剪不断理还乱。现在，边界被彻底划清了。智能体去处理发票报销，留的邮箱是它自己的；它去第三方网站注册账号，完全绑定在它的名下。这种设计，在物理和逻辑层面赋予了智能体类似于现代法律中“数字法人”的独立地位。

（2）云手机与原生沙箱：打破 LLM “无状态”的计算结界众所周知，大语言模型（LLM）的本质是“无状态”的（Stateless），只要你把对话框一关，它的生命进程就清零了。但真实的商业运转是需要 7×24 小时连续推进的。

为了解决这个工程痛点，Coze 这次下了血本，极其奢侈地给智能体配备了专属的云电脑（一台带终端的 Ubuntu 系统）和云手机（一台原生的 Android 13 实例）。为什么要给 AI 发实体手机？因为现代互联网到处是复杂的反爬机制和极其封闭的 App 生态，纯粹靠 API 调用根本走不通。有了这台云手机，智能体就有了真实的设备指纹，能够持久化地保存登录态（Cookie）和业务文件。它可以自己定个闹钟，半夜 3 点自动打开某个 App 抓取数据，然后将产出的报表稳稳地归档到专属的层级目录中。计算与状态的完美解耦，让智能体从“一次性对话脚本”彻底蜕变为“全天候数字员工”。

（3）记忆的隔离与只读：构建协作信任的伦理底线光有手脚还不够，要处理长线任务还得有记性。平台给它配上跨渠道的长期记忆系统，这并不新鲜。但这里面最绝的架构深度，在于它的权限控制：记忆文件对人类用户可见，但绝对不可由用户直接编辑。

这是一个常常被开发者忽视的伦理与信任底线。试想一下，在未来多 Agent 协作的复杂网络中，如果任何一个人类或外部程序可以悄悄篡改某个智能体的底层记忆库（比如塞入一段伪造的转账记忆），那基于该智能体做出的一切决策，还有谁敢信？所以，记忆的不可篡改性，正是智能体确立“独立人格”、并以此赢得其他节点信任的信用基石。

---

第四道坎：破除数字孤岛，修建智能体时代的“中国版 TCP/IP”

当我们把视线从单体智能移开，尝试在复杂的商业场景中把多个智能体互联去使用时，一个更致命的问题轰然浮现：智能体本身固然重要，但智能体之间如何互联互通，比这重要百倍。

现实往往是极其割裂的。微软的 Entra ID 正在努力把智能体圈在自己庞大的企业控制面里；Coze 则在字节的生态内跑通了丝滑的闭环。然而，如果各家平台都只在自己的“封闭花园”里玩耍，跨厂商、跨生态的互联互通就永远是一纸空文。如果腾讯云体系内的智能体无法解析阿里云智能体的身份凭证，那么所谓的“群体智能（Swarm Intelligence）”，就永远是被困在不同玻璃房里的精致盆景。

回顾互联网的百年激荡史：如果当年每一台计算机都只在自己的实验室里组网，那顶多叫 ARPANET（阿帕网）；只有当 TCP/IP 协议横空出世，以绝对中立的姿态强行统一了异构网络的通信标准，人类才真正迎来了 Internet（互联网）的大爆炸。

今天，全球 AI 产业最迫切需要的，正是智能体时代的 TCP/IP 协议。在这个决定未来十年数字基础设施形态的关键战役中，中国力量不仅没有缺席，并且走在了极其务实和前沿的位置。

为了防止技术在落地早期就被国外寡头生态锁死，中国电子技术标准化研究院牵头、北京邮电大学等多家单位紧密配合，正以极高的国家战略优先级，起草《人工智能 智能体互联》系列国家标准。这套标准从“总体架构”到“身份码”、“身份管理”，再到“智能体交互”与“工具调用”。这套标准的初衷非常明确：不去干涉各家大厂底层大模型该用什么架构训练，我们要做的是定义跨厂商互联互通的“最小公约数”和功能视图。

但这还不够。纸面上的标准如果缺乏工程化验证，就会沦为束之高阁的文献。为此，我们在 OpenAtom（开放原子开源基金会）社区同步捐赠了AIP/ACPs（智能体互联协议族）的全套开源项目，并在今年 3 月刚刚迭代发布了极具里程碑意义的 v2.0 版本。这套协议极其完备地覆盖了全链路模块，并直接开源了参考实现代码。

---

结语：坚守安全底线，以开源协议共筑中国智能体的“高铁网络”

回顾 RSAC 2026 的雷霆共识与 Coze 2.5 的基座演进，我们必须清醒地认识到一个冷酷的现实：在智能体时代，安全不再是业务的“附属品”，而是系统上线的“唯一入场券”。当千万个掌握着真实系统权限的智能体在网络中交织时，如果没有基于唯一身份的细粒度授权，没有严丝合缝的网关拦截，没有不可篡改的凭据轮换机制，所谓的“群体智能”，分分钟就会沦为一场反噬基础设施的灾难。我们给智能体发身份、定标准，不是为了限制技术的发展，而是为了给这些即将接管数字世界的执行器，锚定一条不可逾越的责任底线。

在守住了这条安全底线之后，我们想对国内的云厂商、AI 独角兽以及所有的开发者生态说几句心里话：

大模型时代的“百模大战”已经告一段落，下一个十年的主战场，就在“互联互通”。我们绝不能再走当年互联网早期“圈地自萌”的老路。如果我们各家都关起门来，用私有协议打造自己的“封闭花园”，那最终消耗的，是整个中国 AI 产业的国际竞争力。

智能体互联的时代画卷才刚刚展开。这绝不仅仅是一次 API 的打通，更是一场重塑全球数字世界信任与协作规则的范式革命。放弃孤岛思维，坚守安全底线，以国标和开源协议为共同的锚点，中国的人工智能产业才能在这场决定未来的航程中，成为那个领先力量！