最近看 AI Agent 生態的發展,我有一個感覺越來越強:下一階段的競爭點,不會只是「誰家的模型比較會呼叫工具」,而是企業能不能把工具、流程、權限和信任邊界整理成一套可被理解的能力目錄。
如果 Agent 只能靠一大段 prompt 記住自己有哪些工具,那它很快就會撞到天花板。工具一多,清單會膨脹;團隊一多,命名會不一致;流程一複雜,權限和責任邊界就會混在一起。最後看起來是 AI 很聰明,其實只是把一堆沒有治理的入口塞進同一個黑盒。
我以前也很容易把重點放在「工具接起來了沒有」。例如能不能查資料、能不能開單、能不能送審、能不能跑報表。這些當然重要,沒有工具的 Agent 只是比較會聊天的搜尋框。但工具接起來之後,真正麻煩的問題才開始出現:它怎麼知道哪個工具適合這個任務?它怎麼分辨測試環境和正式環境?它怎麼知道某個 API 是只讀、草稿、送出,還是會直接改變現場狀態?
這些問題如果只靠 prompt 補充說明,短期可以撐一下,長期一定會變成維護負債。因為 prompt 不是系統邊界,它比較像使用說明。使用說明寫得再完整,也不能取代權限模型、版本管理、稽核紀錄和介面合約。
所以我會把企業 Agent 的工具層拆成兩件事看:一件是「工具本身」,另一件是「工具如何被發現與信任」。前者是 API、MCP server、內部服務、工作流節點;後者則是 metadata、scope、publisher、版本、授權、風險等級、輸入輸出 schema、審批需求、失敗時的回復方式。
這聽起來有點像把 App Store 的概念搬進企業 AI。不是每個能力都直接丟給 Agent,而是先進入一個 catalog:這個能力做什麼、適合什麼任務、誰維護、能操作哪些資料、是否需要人類確認、成本大概多少、失敗會造成什麼影響。Agent 在執行任務時,不只是從 prompt 裡撈工具名稱,而是可以依照意圖去找能力,再根據信任與權限決定能不能用。
這個差異很大。
工具清單的思維是:「我給你十把鑰匙,你自己看著辦。」能力目錄的思維是:「這裡有十個門,每個門後面是什麼、誰可以開、開了會發生什麼、要不要留下紀錄,都先定義清楚。」前者適合 demo,後者才適合放進企業流程。
從技術主管角度看,這也是 AI 導入從 prototype 走向 production 的分水嶺。prototype 階段,我們常常追求速度:先讓 Agent 能做事,先把流程跑通,先證明使用者真的需要。這沒問題,太早做治理也會拖慢探索。但一旦 Agent 開始碰到正式資料、跨部門流程或可逆性低的動作,就不能再用 prototype 的方式管理。
我會特別在意幾個設計。
第一,能力要有明確的 scope。不是只有「可以查訂單」這種粗略描述,而是要知道它能查哪些欄位、哪些狀態、哪些時間範圍,是否會看到敏感資訊。Agent 最容易出事的地方,不是它完全沒有權限,而是它拿到一個過寬、語意模糊的權限。
第二,能力要分 action tier。查詢、草稿、建議、送審、正式執行,不應該混在同一個工具裡。很多企業流程其實可以讓 AI 先做到前幾層:整理資料、產生草稿、提出異常、準備送審內容。真正會改變狀態的動作,再交給明確的人或審批流程。這樣不是保守,而是讓系統有機會逐步建立信任。
第三,能力要能被觀測。Agent 呼叫了哪個能力、用什麼參數、拿到什麼結果、是否被拒絕、是否改走替代方案,這些都應該留下紀錄。沒有 observability 的 Agent,很容易變成一個會自己做事、但事後沒人說得清楚的同事。這在小工具裡可能只是麻煩,在核心流程裡就是風險。
第四,能力要能退場。企業裡最可怕的不是接了一個工具,而是接了之後再也沒人敢拔。目錄裡應該有版本、deprecated 狀態、替代能力、相容期限。否則 Agent 的工具層會像老系統的共用資料夾一樣,什麼都有,什麼都不能刪,最後大家只好把更多例外寫進 prompt。
我覺得未來企業 AI 平台很可能會長出一個新的中間層:它不像傳統 API gateway 只負責流量與驗證,也不像單純的 prompt template 只負責描述任務。它會更像 Agent 的能力註冊中心,管理「AI 可以知道什麼、可以做什麼、可以怎麼做、做到哪一步必須停下來」。
這件事不炫。它不像新模型發表那樣有漂亮 benchmark,也不像 demo 影片那樣幾秒鐘完成一個任務。但真正要讓 AI 進公司流程,很多價值都會卡在這些不炫的地方。工具能不能被治理,往往比工具多不多更重要。
我現在看 Agent 架構,會少問一個問題:「它能接多少工具?」多問幾個問題:「這些工具從哪裡被發現?誰宣告它們可信?權限怎麼分層?錯了怎麼追?不用了怎麼退?」
如果這些問題回答不出來,那再聰明的 Agent 也只是拿著很多鑰匙在黑暗裡摸門。短期看起來很有魔法,長期會讓每一次自動化都帶著不確定性。
企業需要的不是更長的工具清單,而是一套能讓 Agent 安全理解世界的能力目錄。當工具從「塞進 prompt 的選項」變成「可發現、可驗證、可治理的資源」,AI 才比較像真正能進組織工作的同事,而不是一個臨時被賦予太多權限的聰明實習生。