AAIPROS

AIPROS · Static Essay Page

Agent Builder开始退场,企业真正要补的是Agent准入层

组织转型 专题文章 2026-07-02 7 min

6月30日,微软安全团队发了一篇文章,标题很直: AI 工具正在从 reading 走向 acting。

6月30日,微软安全团队发了一篇文章,标题很直: AI 工具正在从 reading 走向 acting。 如果只把它当安全提醒,就看轻了。它真正击中的,是企业 AI 建设的拐点。因为一旦 Agent 开始动手,企业最该审批的就不再只是“要不要做一个采购 Agent”或者“要不要做一个法务 Agent”,而是这个 Agent 到底能接进哪些系统、拿到哪些动作、在什么条件下继续跑。

同一周里,OpenAI 也给了另一个明确信号。6月3日发布 AgentKit 时,官方同时写明:ChatGPT plugins、Actions 以及 conversation-driven Agent Builder 已经开始退出历史舞台,不再是未来主线;更推荐的路径,是 workspace agents 或 Agents SDK。4月22日发布 workspace agents 时,OpenAI 又把 connected tools、actions、敏感动作批准、Compliance API 一起放进了定义里。这个组合信号其实很清楚: 市场开始从“怎么更快做出一个 Agent”转向“怎么让 Agent 在组织里被准入、被约束、被回收”。

很多企业今天还停在项目心态里。谁提了一个场景,就拉个小组做个 Agent 原型,接几个知识库,再连一两个系统,看起来很热闹。问题是,项目能立起来,不代表制度能接得住。只要它开始读客户数据、写业务草稿、发正式通知、改流程状态,真正要被管理的就不再是“这个点子值不值得做”,而是“这条连接值不值得放行”。

所以今天最值得写的,不是哪家又发布了一个 Agent 平台,而是一条更尖锐的判断: Agent Builder 退场之后,企业真正该补的不是更多 Agent,而是 Agent 准入层。 没有这一层,连接就是新影子 IT,动作就是新灰色权限,所谓落地大多只是把风险提前分发进了业务现场。

企业真正要补的,不是更多 Agent,而是 Agent 准入层。

一、为什么说Agent Builder退场不是产品调整,而是组织信号

过去在拼“能不能搭起来”,现在在拼“搭起来以后怎么被治理”。

很多人会把 OpenAI 这次变化理解成产品线收缩。其实没那么简单。Agent Builder 这类能力代表的是一种老心态:把 Agent 当成一个相对独立的构建对象,重点是让人更快做出原型。可一旦平台开始强调 workspace agents、tools、actions、approval、audit,它关注的就不再只是“构建效率”,而是“组织级运行秩序”。

这件事对企业特别关键。因为企业不缺 Demo,也不缺能跑通的单点试验。缺的是,当一个 Agent 真能进入合同、采购、审批、客服、财务这些流程之后,它到底属于谁,代表谁,接了什么,何时停,出了事怎么回放。没有这些边界,构建再快,最后也只能停在演示层。

微软安全团队那篇文章把这层变化说得更透。它提醒企业,AI 工具从 reading 走到 acting 之后,风险不再只是“答案偏了”,而是“动作发生了”。也就是说,真正进入管理层议程的,不是模型效果表,而是机器动作的责任链条。

二、企业今天最容易批错的,不是场景,而是连接

“做一个法务Agent”不是审批对象,“它能不能接合同库、回写台账、发出外部修订稿”才是审批对象。

大多数企业现在的立项表,还是按场景名在批。合同 Agent、采购 Agent、客服 Agent、销售 Agent,名字都很顺。但这种批法在 Agent 时代已经不够细。因为同一个名字后面,实际权力可能完全不同。有的只是读文档、列要点、给建议;有的已经能拉 CRM 记录、回写 ERP 草稿、发送对外邮件、推动审批流往下走。

真正决定风险和价值的,不是场景名,而是连接路径。它接了哪些系统,拿到的是只读权限还是写权限,发出去的是草稿还是正式动作,异常时会不会自己继续跑,项目结束后能不能一键收回。只要这些问题没被写进审批对象,所谓“先小范围试点”往往只是把一组模糊权限先放了出去。

这也是为什么 OpenAI 在 workspace agents 里把 connected tools 和 actions 放进同一个治理框架。它不是在堆功能,而是在明确一件事: 连接不是附属物,连接本身就是权力。 在企业现场,谁能接线,往往比谁会写 Prompt 更值得先批。

三、什么叫Agent准入层,它不是一张权限表,而是一道组织闸门

没有准入层,Agent 只是更会说话的系统入口;有了准入层,Agent 才有资格进入正式流程。

我说的 Agent 准入层,不是传统意义上的账号开通,也不是简单的接口白名单。它至少要管五件事。第一,谁有权创建和发布 Agent。第二,它能接哪些工具和系统。第三,这些连接允许它读什么、写什么、发什么。第四,哪些动作默认可跑,哪些动作必须人工批准。第五,什么时候必须暂停、下线、回收和复盘。

如果你把这五件事拆开看,会发现它其实是组织闸门,而不只是技术参数。创建权决定谁能把一个试验变成可用能力;连接权决定机器能摸到哪些业务对象;动作权决定它是不是已经从建议走到执行;批准机制决定人类最后一拍还在不在;回收机制决定这个能力能不能像正式资产一样被下线,而不是遗留在角落里持续生效。

很多企业之所以迟迟不敢把 Agent 放进真实流程,不是因为模型不够强,而是因为没有一层让管理者看得明白、批得清楚、收得回来。只要这层不补,Agent 永远容易被看成“不稳定的外挂”。

四、拿合同和采购场景举例,你会立刻看清准入层的价值

同样叫“辅助评审”,是否允许连接和写入,决定它是助手还是执行单元。

先看合同场景。一个只能读取合同文本、比对模板、标记风险条款的法务 Agent,本质上还是助手。它给你的是建议,不改业务对象。可如果它进一步接进客户台账、历史争议库、项目回款记录,还能回写合同评审单、生成外发修订稿、触发升级审批,它就已经不再只是法务助手,而是在替组织先推进一段责任链。

采购也一样。只读阶段,它可以整理供应商材料、发现缺件、做比价摘要。可一旦它能连到预算系统、供应商主数据、ERP 采购草稿和通知通道,事情就变了。它不只是在帮采购经理看材料,而是在替组织形成一次预判、一次草稿写入,甚至一次对外触达。没有准入层,你就很难说清楚,这一步到底是谁授权它做的。

所以成熟企业不会把所有动作一刀切挡住,也不会一上来就追求全自动。更稳的做法,是把动作拆层。只读能力放得开一些,草稿写入带人工确认,正式生效和对外发送单独加闸。这样既不压死试点,也不会把组织拖进“先跑起来,出事再说”的侥幸心态里。

五、现在就能做的,不是再开一个Agent项目,而是补四个组织动作

先把准入做成制度,再把自动化做成产能。

第一个动作,按连接盘点,不按场景盘点。把现有和准备中的 Agent 拉一遍清单,不要只写“它服务哪个部门”,而要写“它接了哪些系统、拥有哪些读写动作、谁在代表它签字”。这一步做完,你会第一次看见组织里真正的机器接线图。

第二个动作,给动作权限分级。草稿写入、正式生效、额度外动作、对外发送、状态变更不要混着批。只有把动作拆开,业务负责人和安全负责人才能在同一张表上做判断,不会变成一个人看价值、一个人看风险,最后谁都没法真正拍板。

第三个动作,把人工确认点做成显式闸门,而不是口头约定。什么情况下必须请人确认,谁有确认权,异常项怎么挂起,失败后怎么回放,这些都得从“大家心里知道”变成系统里看得见。否则 Agent 一旦跑快,口头共识是最先失效的东西。

第四个动作,把回收机制前置。员工离岗、试点暂停、规则变更、系统切换之后,哪些连接要立刻停,哪些身份要注销,哪些日志要封存,这些都要像下线正式系统能力一样做,而不是默认“先放着”。很多未来的风险,不是因为上线太快,而是因为下线太慢。

六、真正会拉开差距的,不是你做了多少Agent,而是你有没有把准入层建成基础设施

当企业开始审批机器的连接权和执行权,Agent 才真正从项目进入制度。

这件事的现实意义很直接。它决定了企业接下来是在继续堆 Demo,还是在慢慢建立一条机器可进入、可追责、可回收的生产线。前一种路径会不断出现“这个也能做、那个也能接”的兴奋感,可真正进生产的能力很少,组织焦虑却越来越多。后一种路径短期没那么热闹,因为你要补准入、补分级、补闸门、补审计、补回收,但一旦补出来,低风险动作就能稳定交给机器,业务反而更敢放。

能力迁移路径也会一起变。流程团队不再只是画流程图,而要负责把节点翻译成机器能遵守的动作边界;安全团队不再只盯账号和接口,而要盯非人身份、连接准入和动作回放;业务负责人不能再只提“做一个 Agent”,而要明确哪段活值得交给机器先干,哪一拍必须保留人为最终判断;平台团队的价值也不再只是能把能力接上,而是能不能把批准、收回和复盘做成标准件。

所以今天这篇文章真正想证明的是: Agent Builder 开始退场,不是 Agent 时代降温了,而是企业 AI 开始进入更硬的一段。接下来真正值钱的,不是谁先做出更多 Agent,而是谁先把 Agent 准入层做成基础设施,让每一条连接、每一个动作、每一次自动推进都能被看见、被批准、被暂停、被追溯。 当机器开始从答问题走向接任务,这一层迟早要建。越早建,越容易把 Agent 从会聊天的入口,带成能接走一段可控流程的正式产能。

公开信息来源

本轮选题检索完成于北京时间 2026 年 7 月 2 日。文章中的“企业真正该补的是 Agent 准入层,而不是继续堆 Agent 项目”是基于以下公开资料形成的归纳判断。

来源 1|Microsoft Security Blog|2026 年 6 月 30 日

《Securing AI agents as AI tools move from reading to acting》直接提出 AI 工具正在从读取走向执行,这是本文判断“企业治理重心已经从回答能力转向动作与责任链条”的直接触发点。

https://www.microsoft.com/en-us/security/blog/2026/06/30/securing-ai-agents-ai-tools-move-from-reading-acting/

来源 2|OpenAI|2026 年 6 月 3 日

《Introducing AgentKit》写明 OpenAI 正在收拢旧能力路线,ChatGPT plugins、Actions 和 conversation-driven Agent Builder 已不再是未来主线,推荐转向 workspace agents 或 Agents SDK。

https://openai.com/index/introducing-agentkit/

来源 3|OpenAI|2026 年 4 月 22 日

《Introducing workspace agents in ChatGPT》明确把 connected tools、actions、敏感动作批准和 Compliance API 一起放进产品定义,说明组织级准入、执行和审计已经被前置到平台能力里。

https://openai.com/index/introducing-workspace-agents-in-chatgpt/

来源 4|Microsoft Copilot Blog|2026 年 5 月 11 日

《New and improved: Computer-using agents, a new workflows experience, and real-time voice experiences》表明 computer-using agents 已进入更正式阶段,Agent 不再只调接口,也开始触碰网页与桌面级工作现场。

https://www.microsoft.com/en-us/microsoft-copilot/blog/copilot-studio/new-and-improved-computer-using-agents-a-new-workflows-experience-and-real-time-voice-experiences/