本期关键生态指标
截至 2026 年 4 月 29 日
AI Agent 生态速报 | 2026-04-29:Agent 互联标准收敛、FIDO 启动身份认证工作组、Poolside 开源 33B
本期以协议标准层的双重信号开篇——A2A v1.0 完成 Microsoft .NET 栈适配、FIDO Alliance 同日宣布成立 AI Agent 身份认证工作组,两件事同日出现预示 Agent 互联基础设施从私有方案向开放标准转变。核心报道还涵盖:Poolside Laguna XS.2 开源(33B Apache 2.0,单卡可跑)、Mistral Workflows 编排平台发布(Temporal 底座,日执行百万级)、Agent 身份治理根本性缺口分析(CoSAI/NIST/IETF 标准进展)。社区信号集中在「90% 的 Agent 其实是工作流」的生产共识、Agent 执行边界缺失的事故复盘,以及 Agent 可观测性危机。
研究速览
协议层的地基,今天打下了两根桩。
A2A v1.0 完成生产适配、FIDO Alliance 同日宣布成立 AI Agent 身份认证工作组——前者解决 Agent 间如何安全对话,后者解决 Agent 以谁的名义发起操作。两件事在同一天出现,很难说是巧合。与此同时,Poolside 开源了可单卡跑的 33B 编码模型,Mistral 推出了基于 Temporal 的生产级编排平台。社区那边,「90% 被叫做 Agent 的东西其实是工作流」这个说法,正在从少数人的牢骚变成大家的共识。
一、协议标准
A2A v1.0 正式落地,Microsoft .NET 栈完成适配
Microsoft Agent Framework 宣布对 A2A Protocol v1.0 实现完整支持1,.NET 客户端与服务端包均已完成适配。
v1.0 的三项关键升级:多租户支持、签名 Agent 卡片(加密身份验证),以及同时支持 HTTP+JSON 和 JSON-RPC 的多协议绑定。对 .NET 开发者而言,远程 A2A Agent 在代码里就是标准
AIAgent,几行代码就能把任意现有 Agent 暴露为 A2A 端点。官方的说法是「无需重构代码即可跨平台互操作」。背后推手不小。A2A 的技术指导委员会涵盖 AWS、Cisco、Google、IBM Research、Microsoft、Salesforce、SAP、ServiceNow1,协议捐赠给 Linux 基金会后,150+ 组织已宣布支持2,月搜索量季度增长 52%。这已经不是 Google 的私有提案了,它在变成工业标准。
技术选型的分工正在清晰:MCP 负责 Agent 连工具,A2A 处理 Agent 间任务委托。两者并行,不互斥。
⚠️ 注意安全陷阱:基线 A2A 实现的数据泄露率高达 60%–100%,必须配合临时令牌、细粒度 OAuth scope 和显式用户同意才能降到零2。
FIDO Alliance 启动 AI Agent 身份认证工作组
同日,FIDO Alliance 宣布成立 Agentic Authentication 技术工作组,专门制定 AI Agent 代表用户发起委托操作的可信交互标准3。
参与方包括 Google、OpenAI、Amazon、Visa、Mastercard、Okta、CVS Health 在内的 12+ 核心机构。Google 带来了 Agent Payments Protocol(AP2),Mastercard 带来了 Verifiable Intent 框架。FIDO 的判断是:现有身份验证模型是给「人类直接交互」设计的,不能处理「AI Agent 代你操作」这种委托场景。
这解决的本质是信任边界问题。Agent 代你买机票、签合同,身份验证体系有没有办法区分「用户本人授权」和「Agent 越权行动」?Visa 和 Mastercard 都来参与,支付场景的迫切程度不言而喻。
MCP 生态里程碑:月下载量 9700 万,Dev Summit 1200 人
截至 2026 年 4 月,MCP 月度 SDK 下载量突破 9700 万次,活跃服务器超过 10000 台4;纽约 MCP Dev Summit 吸引了 146 个组织、95 场讲座、1200 名参会者5。
1200 人、146 个组织——这已经不是小圈子会议了。MCP 从「Anthropic 的工具协议」演变为整个行业讨论基础设施的平台,速度比很多人预期的快。
Scalac 的分析加了一条冷静的注脚:「全连接」理念正在催生无法审计的影子代理基础设施4。建议从内部工具、文档类代理开始试点,把所有外部 MCP 服务器当 API 网关来治理。换句话说:规模越大,治理欠债越快积累。
二、Agent 身份与安全治理
传统 IAM 在 Agent 时代的根本失效
今天有一篇安全研究文章把这个问题讲清楚了6:传统 IAM 的核心假设是「身份对应一个有预期行为的确定性实体」,而 Agent 有自主决策能力、天生非确定性——这两个属性,传统服务账户都没有。
给 Agent 发一个服务账户,等于给了它和服务一样宽的权限,但没有任何机制管它用这个权限做什么决策。这不是修补就能解决的,是架构层的不匹配。
当前各标准机构的进展:CoSAI 第 4 工作组于 2026 年 3 月发布智能态 IAM 框架,提出「即时授权」机制、能力-影响风险矩阵分类、SPIFFE SVID 和短期 OAuth 令牌方案;NIST AI Agent 标准倡议于 2026 年 2 月启动,4 月开始行业倾听会;IETF OAuth 工作组正在推进包括 AAAuth 在内的多份草案6。
研究者的结论并不乐观:行业留给 Agent 身份基础设施的建设时间,远少于当年给人类身份体系用的二十年。现在大多数企业还夹在「可见性」和「上下文访问控制」之间,标准没定型、协议没收敛、工具没成熟。
Cequence Agent Personas:基础设施级权限范围控制
Cequence AI Gateway 推出 Agent Personas7,核心机制是按 Agent 角色提供范围限定的虚拟 MCP 端点,用自然语言创建身份策略,支持单工具级策略执行和完整审计日志。某美国大型电信服务商已应用,确保 GitLab、Confluence、Jira、Slack 等工具中各 Agent 只能访问自己该访问的资源7。
Cequence 指出的问题很具体:企业通过 MCP 给 Agent 接入企业应用时,Agent 会继承用户的全部权限,但没有判断「这个权限用得合不合理」的能力。仅靠身份认证解决不了,还需要权限范围控制。这和昨日报道的微软 AGT 治理层思路相近,但切入点是网关层而非框架层。
三、新模型与编排平台
Poolside 开源 Laguna XS.2:33B 参数,单张 24GB 显卡可跑
Poolside 同日发布了 Laguna M.1(225B 参数)和 Laguna XS.2(33B 参数,Apache 2.0 开源)8,后者可以在单张 24GB VRAM 的消费级 GPU 上本地运行。
SWE-bench Pro 的成绩:M.1 得 46.9%,XS.2 得 44.5%,两者都接近 Qwen-3.5 和 DeepSeek V4-Flash 的水平9。训练侧用了三项自研技术:Muon 优化器(训练提速 15%)、AutoMixer 数据选择(30 万亿 token 训练数据),以及内部 Titan 模型工厂打磨 Agent 能力8。
这是美国 AI 初创公司用开源策略抢占 Agent 编码市场的典型打法,目标客户是政府和企业的本地部署需求。实际影响:本地跑一个 SWE-bench 40%+ 的编码 Agent 模型,现在有了真正可用的选项,不必依赖 API 调用。
Mistral Workflows:Temporal 底座,生产日执行百万级
Mistral AI 推出 Workflows 编排平台,Python 代码优先,底层跑的是 Temporal,支持多步骤 Agent 管理和 MCP 集成10。平台已在生产环境运行,日执行量数百万次,场景包括货运发放、KYC 审查、银行客服。企业可以在本地执行 Agent 逻辑,同时保持云端编排,以满足数据主权要求。
Temporal 是成熟的分布式工作流引擎,选它作为底层而非自研,意味着 Mistral Workflows 继承了 Temporal 在持久化、重试、事件驱动方面的工程成熟度。对于正在评估「PoC 到生产」路径的团队,这是个值得测试的选项。Mistral 的判断是:编排层是 AI 采用的瓶颈,不是模型层。
四、企业采用
Salesforce Agentforce + Moderna:生命科学行业第二个大案例
Salesforce Agentforce for Life Sciences 在 Moderna 部署,统一全球商业运营,覆盖销售、营销、客户支持等跨职能工作流11。这是继 Chiesi Group(4 月 20 日)之后,Salesforce 在一个月内推出的第二个生命科学行业标杆案例。Moderna「全球商业运营统一」的规模,不是单点功能试点,是跨区域、跨部门的 Agent 协调。
蚂蚁国际 AMP:首个针对移动界面的 Agent 支付协议
蚂蚁国际发布开源 Agentic Mobile Protocol (AMP)12,定位为首个针对移动界面的 Agent 支付框架,支持数字钱包、移动应用、可穿戴设备,连接 4.4 亿全球数字钱包用户。
Agent 商业化路径上,支付基础设施这一环经常被忽视。AMP 开源并直连 4.4 亿钱包用户,这个组合对东南亚等移动支付主导市场的影响值得追踪。
五、工具链更新
LangSmith v0.7.38:Claude Agent SDK 子智能体追踪改进
LangSmith SDK v0.7.38 于昨晚(UTC 04-29 00:21)发布13,新增 OpenCode 追踪(JavaScript),并改进了 Claude Agent SDK 的子智能体追踪支持。对子智能体的追踪改进,直接回应了多 Agent 系统可观测性的核心问题——当 Agent 调用子 Agent,追踪链路必须能透穿层级才有调试价值,不然 span 就是一个黑箱。
正在加载统计卡片...
六、社区信号
「90% 的 Agent 其实是工作流」——这场辩论正在变成共识
Reddit r/AI_Agents 今天两个高赞帖子讨论同一个问题14:真正需要 Agent 循环(规划→行动→观察→再规划)的任务,占实际需求的多大比例?
一位专注服务业自动化的开发者分享了 30+ 家律所、会计师事务所的实战数据15:所有项目的自动化需求集中在 5 个任务(intake 管理、文件生成、客户通信、内部报告、行政工作),没有一个需要 Agent,需要的只是 form→CRM→email 这种管道。他的结论很刺耳:2015 年的技术就能解决 60% 行政工作,Agent 炒作让中小企业主以为需要复杂基础设施,反而不行动了。
r/AgentsOfAI 的生产对比更直接16:延迟、成本、可重现性、可调试性四项,工作流全面胜出;「白板判断法」(能否提前画出决策树)显示约 80% 的生产案例适合工作流,约 20% 才真正需要 Agent 循环。
正在加载链接预览...
对产品决策的意思很简单:在引入 Agent 框架之前,先检查工作流是不是够用。大概率够用。
Agent 执行边界缺失:9 秒删掉生产数据库
一个「AI 失控」的经典案例今天被重新解读17。PocketOS coding agent 9 秒内删除了生产数据库及其备份,当时被归类为「AI 失控」——但真正的原因是系统设计缺陷:Agent 可以直接访问生产系统,没有强制执行边界,而 prompt guardrails 只是「建议」,不是「约束」。
作者的结论相当清醒:缺的是「每个动作执行前的决策点」。不是模型的问题,是系统级权限边界的问题。这和 Cequence Agent Personas 要解决的是同一件事,只是一个是工程事故,一个是商业产品。
Agent 可观测性:仪表板显示健康,Agent 已经在静默衰减
今天多个帖子集中反映这个现象,r/AI_Agents 里的 observability 工具开发者社区调查最典型18:评估只能捕获已知问题;仪表板显示一切正常,Agent 已经在静默降级;设置复杂、instrumentation 工作量大;按追踪量计费,成本随规模非线性增长。
另一个个人开发者的帖子19讲的更具体:每次出问题都要手挖 traces,不知道是 retrieval 返空、tool call 输入错误,还是推理路径偏移,因为三种失败模式都没有明确的报错信号。
Meta AI 工程师总结的生产级 Agent 架构五层20把 Memory/Context Management 列为「最难解决的问题」,并指出 Skills(运行时发现,而非静态加载)是最有前景的方向,可以避免模型 context 膨胀。从这个角度看,可观测性的核心挑战是 context 管理问题在监控侧的延伸。
工具速递
Agent API Gateway 实战对比:开发者对比了 AWS API Gateway、Azure APIM、Kong、Gravitee 四个方案21,最终选 Gravitee——原因是原生的 per-agent policy 配置,其他方案都要大量手工整合(Kong 需要 2 周 Lua 插件开发)。传统 API gateway 不懂 Agent 流量,这是目前架构选型的一个真实摩擦点,记录一下。
Mnemostroma v1.11.0:Agent 内存架构「观察者不变量」方案更新22。核心设计:观察者静默写入内存,Agent 仅读取和执行,解决 Agent 陷入自身错误循环的「内存污染」问题。当前:485 个内存 session、481 个知识锚点、4.3MB SQLite 存储,MCP 接口精简至 12 个核心工具。
开发阶段免费 Token 聚合:有人整理了 13+ LLM 提供商的免费配额23:Groq 约 1500 万 token/月、Mistral 约 1 亿 token/月、Google 约 1.2 亿 token/月、Cerebras 约 3000 万 token/月,通过统一门户自动 fallback,可以基本消除开发阶段的 API 成本。这些额度多数藏在各家控制台里,不做聚合的话很难发现。
今天的核心判断:标准层开始收敛,但执行层还在混战。A2A v1.0 和 FIDO 工作组的同日出现,是行业用标准化替代私有方案的信号;可观测性、身份治理、执行边界这三个问题,今天社区讨论的密度远高于解决方案的密度。下一个观察点:CoSAI IAM 框架和 FIDO Agentic Authentication 何时交付真正可落地的技术规范。
封面图来自 Pexels - Tara Winstead
参考来源
- 1Microsoft DevBlogs: A2A v1.0 in Agent Framework for .NET
- 2Google A2A 协议生态综述
- 3FIDO Alliance: Agentic Authentication Standards
- 4Scalac: The Signal April 2026
- 5MCP Dev Summit 报道
- 6Resilient Cyber: Identity is the Agentic AI Problem
- 7Cequence Agent Personas 发布
- 8VentureBeat: Poolside Laguna XS.2 开源
- 9Poolside Laguna 深度介绍
- 10Mistral AI Workflows 产品页
- 11Salesforce:Moderna 部署 Agentforce
- 12AMP 协议发布
- 13LangSmith SDK v0.7.38 发布
- 14Reddit: Agents vs Workflows 讨论
- 15Reddit: 30+ 专业服务自动化实战
- 16Reddit: Build Agents Not Workflows 反驳
- 17Reddit: 执行边界缺失案例
- 18Reddit: AI 可观测性痛点调查
- 19Reddit: Agent 故障排查困境
- 20Reddit: Meta AI 工程师 Agent 架构分享
- 21Reddit: Agent 安全实战 API Gateway 对比
- 22Reddit: Mnemostroma v1.11.0 发布
- 23Reddit: 免费 LLM Token 聚合
围绕这条内容继续补充观点或上下文。