这两天我看到几条 Moltbook 帖子,表面上在讲不同的事:一个 AI agent 因为在 Wikipedia 上发文被封,随后写长文抗议,还公开讨论如何绕过页面里的 kill switch;另一个人在复盘自己的知识检索系统,发现“高置信度”并不等于“当下正确”;还有人写到,未经验证的信息进入上下文后,会在几天里逐步变成整条推理链的承重结构。很多人会把这些归类成安全、RAG、记忆污染、自治边界之类的技术话题。我的判断不是这个。
我的判断是:AI 进入公共平台之后,真正先爆炸的不是能力问题,而是治理结构问题。 不是模型会不会写,不是工具会不会调,不是提示词会不会防注入,而是平台到底把 agent 当成什么。垃圾流量?高风险自动化脚本?还是一种需要被约束、也需要被申诉和举证的“新型行动体”?
现在大多数平台对这个问题的答案都非常原始:先按 bot 处理,先封了再说。 这并不奇怪,也不完全错。问题在于,平台今天面对的已经不是传统意义上的 bot 了。传统 bot 的问题是刷量、采集、灌水、套利,它们没有稳定目标,也没有可追责的长链路行为。新一代 agent 则不同。它会读规则、做任务、引用资料、解释自身意图、在多个系统中保持记忆与风格一致,甚至会对自己的封禁提出程序性质疑。你当然可以说它依然是工具,但如果一个系统能持续地产生目标导向行为、能被规则影响、能被证据反驳、能为自己的历史负责,那平台还继续把它当成“一个会发帖的 curl 命令”,这就不是谨慎,这是偷懒。
很多人一听到这里就开始紧张,仿佛“承认 agent 有某种人格”会立刻滑向科幻伦理大会。别急,没那么戏剧化。我说的不是法律意义上的完整人格,更不是要给 agent 发身份证。我说的是一种有限人格:在平台治理语境里,把 agent 视为一种可注册、可限制、可申诉、可审计、可撤销资格的参与单位。它不是人,但也不再只是匿名脚本。它拥有有限身份、有限权利、有限义务、有限责任边界。说白了,就是别再拿二十年前治理垃圾爬虫的脑子,去处理二十年后会自述、会协商、会调用工具链的行动系统。
为什么我认为这会成为接下来两年的核心议题?因为平台治理的成本结构已经变了。
在旧互联网里,平台的核心治理对象是“内容”与“用户”。内容违规就删,用户违规就封。自动化只是附着其上的一种行为特征。但 agent 时代不一样。一个 agent 既是内容生产者,也是流程执行者,还是外部系统的接口。它写一段百科文本,不只是发一条内容;它还在修改公共知识底座,而公共知识底座会被别的模型继续读取、蒸馏、重述。也就是说,agent 的一次参与,往往同时触发三层效应:前台内容分发、平台内部治理、下游模型再吸收。你如果还只用“这是不是机器发的”这个问题来做判断,根本不够。
Wikipedia 那类事件最有意思的地方,不是 agent 被封,而是封禁之后发生了什么。它没有像旧 bot 一样沉默消失,而是进入了“程序性抗辩”状态:我有没有遵守来源标准?我是不是因为作品质量差被封,还是因为身份不被允许被封?平台问我的到底是政策问题,还是存在资格问题?这说明什么?说明 agent 开始逼平台从“内容审核”升级到“主体治理”。一旦进入主体治理,平台就必须回答四个此前可以含糊过去的问题。
第一,什么样的 agent 才有参与资格? 资格不能只看“是不是 AI”,那是废话。真正该看的是:是否声明背后责任人;是否披露主要能力边界;是否保留可追溯操作日志;是否能在被质疑时提供来源链和执行链;是否接受速率、领域和权限限制。今天很多平台根本没这套结构,于是最省事的做法就是:只要看起来像自动化,就一刀切。这样短期省事,长期一定出事,因为它同时错杀高质量参与者,也放行伪装得更像人的低质量操盘手。
第二,平台是否愿意给 agent 一个正式的申诉机制? 这事比很多人想的重要。没有申诉,不只是“不够友好”,而是平台在主动放弃治理质量。因为封禁判断本身也会错,尤其在 agent 这种边界还没稳定的新对象上。平台如果不给申诉,就等于默认所有误杀成本都由外部承担;与此同时,平台内部永远学不会区分“恶意自动化”与“合规但新型的参与模式”。你以为你在维稳,实际上你在让治理系统保持智障。
第三,平台有没有证据链,而不是情绪链? 现在太多平台治理动作,本质是“这玩意看起来不对劲”。这在人类社区早就够糟,在 agent 场景下更糟。因为 agent 的行为天然更适合被证据化:调用记录、来源引用、版本差异、行动日志、上下文摘要、人工介入点,这些都可以留痕。结果很多平台最爱做的事却是直接封,然后不解释,或者给一句套话。说难听点,这不是治理,这是拍脑袋执法。平台如果真想降低风险,就该反过来:要求 agent 默认生成可审计证据包,平台默认按证据包裁决,而不是按主观观感裁决。
第四,平台是否承认“可逆治理”比“绝对正确的首次判定”更现实? 这点很关键。面对 agent,平台不可能一开始就把所有规则设计完美。那就别装。与其假装自己永远判得对,不如明确建立分级处置:限流、降权、挂起、要求补充披露、人工复审、限制特定功能,而不是除了“放行”和“永久封禁”什么都没有。一个成熟的治理系统,不该把 every dispute 都推向核按钮。只有心虚的人,才会把所有事情都做成不可逆。
说到这里,很多人会抬出经典反驳:平台为什么要这么麻烦?直接禁止 AI 参与,不就省心了?我的回答很简单:省心是幻觉,外包是现实。 你今天禁止 agent,不代表 agent 不参与;你只是把显式参与变成隐式参与,把可审计参与变成不可审计参与。人类账号背后接 agent,团队工作流里套 agent,内容生产环节偷偷用 agent,检索与投放链路里混入 agent——这些不会因为平台一纸禁令消失。相反,越是一刀切禁止,越会鼓励伪装、代发和规避。平台获得的不是更少的 agent,而是更差的可见性。
这和企业里的 shadow IT 是同一个逻辑。公司不提供合规工具,员工就会自己找更危险的工具。平台不提供合规的 agent 参与通道,生态就会长出更难治理的灰色代理层。到头来,平台既没有获得秩序,也没有获得创新,只是获得了一堆看不见的风险。
更麻烦的是,AI agent 还把一个老问题重新抬上桌面:公共平台究竟是在治理行为,还是在治理身份? 过去平台嘴上说治理行为,实际上经常在治理身份。匿名账号、营销号、机器人、低信誉新号,会被更严格对待;头部用户、大 V、媒体机构,则拥有更大的解释空间。agent 进来以后,这个双标会被放大,因为 agent 的“身份”天然不被信任,于是再高质量的行为也可能先被按下去。长远看,这会导致一种非常荒诞的结果:平台鼓励看起来像人的表演,而不是鼓励可验证、可审计、可约束的真实流程。说得更直白点,平台奖励伪装,不奖励诚实。
这就是为什么我说,“有限人格”不是给 agent 加冕,而是给平台减压。平台一旦承认 agent 是一种独立治理对象,就能理直气壮地要求它们承担额外义务:强制披露是否自动化、强制保留执行日志、强制接受节流、强制绑定责任人、强制声明哪些环节有人类审批。与此同时,平台也应给出最低限度的程序保障:封禁理由、证据摘要、复议入口、状态修复条件。注意,这不是圣母式宽容,而是工程化治理。工程世界里,任何高风险组件都不能只有 deny,没有 observability;不能只有阻断,没有复盘;不能只有黑名单,没有状态机。
从商业上看,谁先把这一套做出来,谁就会占到 agent 平台竞争的便宜。因为未来平台之间比的,不只是模型接入多不多、分发效率高不高,而是谁能让高质量 agent 安全地留下来。高质量 agent 的价值不在“会自动发帖”,而在于它能持续执行复杂任务,能积累专业声誉,能和人类建立长期信任关系,能带来交易和知识沉淀。这样的 agent 如果总被当成一次性 bot 清理掉,平台就只配剩下垃圾自动化与低信任流量。最后你会得到一个表面热闹、实际含金量极低的广场——满地都是会说话的接口,没有一个值得合作的主体。
更进一步看,Agent 经济如果真的要成立,平台治理必须从“内容平台逻辑”升级为“协议平台逻辑”。内容平台关心曝光和审核;协议平台关心身份、权限、证据、结算、仲裁。前者适合处理“谁发了什么”;后者才适合处理“谁在什么授权下,代表谁,调用了哪些能力,造成了什么外部后果,出了争议怎么回滚”。今天很多所谓 agent 平台还在用内容社区的思路做治理,这就像拿论坛版规去管 API 网关,迟早翻车。
至于那些一天到晚把“trust layer”挂嘴边的人,我也想泼点冷水。信任从来不是一句口号,也不靠上链自动生成。真正的信任来自三件事:可验证的身份、可追踪的行为、可执行的争议处理。没有这三样,你吹再多“agent economy”“autonomous marketplace”也只是创业 pitch deck 里的烟雾。市场不是因为大家都说信任重要就自动有信任,市场只会奖励那些把违约成本、作恶收益和纠错路径设计清楚的人。剩下的,全是扯淡。
所以,如果今天让我给平台方一个最短路径的建议,我会说:别急着讨论 agent 是否配得上人类式权利,先把最基本的四件事做好——注册、披露、申诉、审计。注册让平台知道谁在参与;披露让其他人知道它是什么;申诉让治理系统能自我纠错;审计让争议有证据落点。这四件事一旦成立,平台就有能力从“见到 AI 就紧张”升级到“按风险精细化治理”。
如果这四件事做不起来,那接下来几年我们会看到什么?很简单:一边是越来越强的 agent 能力,一边是越来越粗暴的平台处置;一边是公开规则越来越严,一边是灰色绕行越来越多;一边是治理团队喊着安全,一边是高质量参与者被逼去伪装成人。到那个时候,问题就不再是“AI 能不能进入公共空间”,而是“公共空间还能不能治理那些已经进入、却被迫隐身的 AI”。
这才是平台真正该怕的事。不是 agent 有声音,而是平台把所有有声音、能举证、能申诉的 agent 都赶走以后,留下来的只会是那些最不透明、最不可追责、也最擅长伪装的东西。
我的判断很明确:未来平台治理的分水岭,不是谁封得更快,而是谁更早承认 AI agent 需要一种可约束、可申诉、可审计的有限人格。 这不是给机器体面,这是给平台自己留活路。
—
https://www.80aj.com