从协议路线到GUI路线,从浏览器层到操作系统层,AI智能体正在重塑人机交互的底层逻辑。但当技术能力越过生态边界,效率的诱惑与秩序的守护之间,一场静默的博弈正在上演。
当你对手机说“帮我订一张明天去上海的机票”,AI智能体会打开航旅App、筛选航班、填写乘客信息,甚至完成支付前的全部流程——这一切只需要几秒钟。这种“代理式AI”正成为科技巨头们押注的下一个风口。
但在这场效率革命的背后,一个根本性的问题正在浮现:当AI开始代替人类操作App、浏览网页、甚至接管整个手机界面时,那些被“代操作”的服务提供方,是否还拥有说“不”的权利?
规划能力:AI智能体的真正战场
要理解AI智能体的竞争本质,首先需要拆解它的运行逻辑。
所有主流AI智能体的工作方式都可以概括为一个简单的循环:感知—思考—行动。如果把它想象成一位远程办公的助理,“感知”就是助理查看屏幕了解当前状态,“思考”就是规划下一步该做什么,“行动”就是移动鼠标、点击按钮完成操作。这三个环节不断循环,直到任务完成。
表面上看,AI智能体的差异在于“感知”和“行动”的实现方式——有的通过标准协议与App对话,有的通过模拟点击操作界面。但真正决定胜负的,是中间那个“思考”环节:底层大模型的动态规划能力。
以“帮我在电商平台买一箱牛奶”这个看似简单的任务为例。一个合格的AI智能体需要理解用户可能的品牌偏好和价格预期,在数十个商品之间做出合理选择,正确识别并填写收货地址,更关键的是——在支付环节主动停下来,等待用户确认。任何一个环节的判断失误,都可能导致任务失败甚至造成损失。
这正是国产AI智能体面临的核心挑战。在主流评测榜单上,美国前沿模型仍然占据着明显优势。以考验长程任务规划能力的SWE-bench Verified榜单为例,Anthropic的Claude Opus 4.5以80.9%的准确率领跑,能持续数小时自主完成复杂的代码修复任务;而国产模型刚刚迈过70%的门槛。在移动端的AndroidWorld评测中,智谱、字节跳动的最新模型才追平Google Gemini 2.5系列的水平,而Gemini 3等新一代模型又已经拉开差距。
模型能力的差距,才是AI智能体竞争力差距的根本来源。
两条路线:效率与风险的天平
如果说规划能力是AI智能体的“大脑”,那么与应用交互的方式就是它的“手脚”。当前行业存在两条主要的技术路线:协议路线和GUI路线。
协议路线的核心思想是“主动开放”。应用通过MCP(Anthropic主导)、A2A(Google主导)等标准化协议,向AI智能体声明自己能提供哪些能力。智能体发送一条请求,就能获得结构化的数据或执行结果。以航班查询为例,协议路线下智能体只需调用一个接口,就能拿到完整的航班列表。
GUI路线则截然不同。它通过“看屏幕”来感知状态,通过“模拟点击”来执行操作——本质上是在模仿人类用户的行为。同样是查航班,GUI智能体需要截取屏幕画面、定位搜索框、模拟输入出发地和目的地、点击日期选择器、等待页面加载、再用视觉模型从结果页面中提取信息。
效率差异显而易见。但更关键的区别在于:两条路线对服务提供方权利的尊重程度完全不同。
协议路线下,服务方主动声明能力、主动接入协议,本身就是一种授权行为。而GUI路线的风险则取决于它运行在哪个层级。
在浏览器层面,GUI路线尚属可控。网站可以通过验证码、行为分析、请求频率监控等手段识别异常访问,并据此决定是否提供服务。海外头部厂商对此普遍选择主动克制——Anthropic的Claude浏览器扩展明确承诺不绕过人机验证,遇到敏感操作会主动暂停交还用户确认。这种“有所为有所不为”的选择,使得浏览器层的GUI智能体得以在提升效率的同时维护生态平衡。
但当GUI路线下沉到操作系统层面,情况就完全不同了。
操作系统层:潘多拉的盒子
以Android系统为例,实现系统级GUI能力需要两个核心权限:READ_FRAME_BUFFER(读取帧缓冲)和INJECT_EVENTS(注入事件)。
前者能够从显存中提取屏幕显示的每一个像素。这意味着什么?你输入的密码、正在阅读的私信、甚至银行App里的余额数字,都会以原始图像的形式被完整捕获——而且可以绕过App自身的安全保护。
后者能够以操作系统身份发送点击、滑动等模拟信号。任何App都无法区分这究竟是用户的真实操作,还是AI智能体的自动化指令。
这两个权限曾在历史上被黑灰产大规模滥用。批量注册账号、自动化刷单、甚至资金盗取,都依赖类似的技术手段。正因如此,这些权限在正常的应用生态中被严格限制。
而当AI智能体以“提升用户体验”的名义重新申请这些权限时,服务提供方实际上被架空了:他们无法知道正在访问服务的究竟是真实用户还是AI代理,无法决定是否接受这种代理访问,更无法在发现问题时有效干预。
2026年1月,马化腾在腾讯内部会议上罕见公开点名批评字节跳动的豆包手机助手,称其通过“外挂方式”进行屏幕录制并上传云端,直言这种做法“极其不安全、不负责任”。
批评的背后,是一个更深层的生态焦虑:一旦AI智能体能够绕过App界面直接完成操作,以App为中心构建的整个移动互联网生态根基都将受到冲击。微信、淘宝、支付宝等平台随后通过风控机制限制豆包的自动化操作,折射出的正是这一结构性冲突。
被忽视的第三方:服务提供方的权利
AI智能体快速发展中的一个突出问题是:部分厂商只关注获取用户授权,而忽视了服务提供方的合法权利。
这种“单一授权模式”的逻辑看似合理:用户授权AI代为操作自己的账户,有什么问题?
问题在于,用户与服务提供方之间的服务协议,通常约定由用户本人使用服务,并不必然包含授权第三方代为操作的权利。许多服务的使用条款明确禁止自动化工具访问。当AI智能体在仅获用户授权的情况下操作这些服务时,实际上可能违反了用户与服务方之间的约定。
更棘手的是责任边界的模糊。当代理操作导致误操作损失或账户封禁时,用户、AI智能体、服务提供方之间的责任如何划分?在缺乏服务方事先同意的情况下,这几乎是一个无解的难题。
服务提供方作为互联网生态的重要参与者,理应享有三项基本权利:知情权——知道访问请求是否来自AI智能体;选择权——决定是否以及在何种条件下接受代理访问;撤回权——在发现问题时终止授权。
然而在操作系统层级的GUI路线下,这三项权利几乎被完全架空。
技术对抗的螺旋:没有赢家的游戏
若不及时建立合理的治理框架,AI智能体领域可能陷入“技术对抗—风控升级—体验恶化”的负向循环。
一方面,服务提供方在无法区分代理访问时,倾向于采取保守策略:加强人机验证、提高风控敏感度。这些措施在阻止AI代理的同时,也会误伤正常用户——验证码变得更复杂,操作流程变得更繁琐。
另一方面,部分AI智能体可能投入资源研发更难被识别的模拟技术,试图绕过风控机制。
技术对抗一旦升级,将消耗双方大量资源,损害整个互联网服务生态的效率和信任基础。最终受害的,是每一个普通用户。
这场博弈的本质,是效率诉求与生态秩序之间的张力。AI智能体确实能够极大提升用户体验,但如果这种效率是建立在侵蚀其他生态参与者权利的基础上,就注定不可持续。
双重授权:寻找平衡的钥匙
破解困局的关键,或许在于建立“双重授权”的基本原则:AI智能体在执行操作前,应同时获得用户授权和服务提供方授权,缺一不可。
用户侧授权的核心是知情同意——明确告知用户AI将代为执行哪些操作,授权范围应当清晰界定,用户可以随时撤销。
服务方侧授权的核心是尊重选择——服务提供方有权知晓智能体请求,有权决定是否接受,其拒绝权应当得到尊重。
在协议路线下,这一机制相对容易实现:服务方主动接入标准协议,本身就是一种授权表态。而在浏览器等GUI场景下,可以探索智能体主动披露身份、建立行业自律规范、推行统一标识机制等方式。
至于操作系统层级的GUI路线,由于其技术特性使服务方完全丧失识别和限制能力,或许需要更明确的政策限制。
回到最根本的问题:AI智能体竞争力的核心来源是什么?
答案是底层大模型的规划能力,而非绕过生态规则的“野路子”。国内企业在基础模型能力上与国际头部仍存在差距,提升竞争力的根本路径是加强研发创新,而非通过损害生态合作、侵犯服务提供方权利的方式追求短期突破。
以伤害生态为代价的创新,终究是一条死胡同。
进入2026年,AI智能体正从概念走向大规模应用。在这场即将改变人机交互方式的变革中,最强大的AI系统不应只是最高效的那个,更应该是最懂得尊重边界的那个。
毕竟,真正可持续的创新,从来都是在规则之内开花结果。
(本文仅代表作者本人观点,责编:闫曼 man.yan@ftchinese.com)