AI Agent 生态速报 | 6月17-18日：Agent 发现层成型，生产控制面继续补课

6 月 17-18 日的 Agent 生态没有出现单一爆点，主线反而更清楚：框架层继续把长任务会话、工具审批、子 Agent 协作做成产品能力；平台层开始补「发现」「权限」「审计」「执行链」这些生产控制面。对做选型的人来说，这比又一个 Demo 更要紧，因为它决定 Agent 能不能进入企业流程。

事件	本期判断	对选型的影响
ARD 与 GitHub agent finder	Agent 资源开始有「搜索层」，不再只靠手工接 MCP/插件	关注私有 registry、资源准入和上下文膨胀控制 1
Mastra Harness	TypeScript Agent 框架把长会话、模式切换、工具审批、子 Agent 事件流打包	适合做「可观察、可中断、可恢复」的交互式 Agent 产品 2
Diagrid / Dapr 执行链	Agent 调工具后的审计问题被推进到 runtime 层	适合高权限工作流，把「谁批准过」变成可验证历史 3
Cognizant + ServiceNow	企业服务商把多供应商 Agent 编排作为交付层	大型企业不太会押单一 Agent 平台，编排层会先落地 4
Alibaba.com Accio Work	商业 Agent 从助手话术转向「业务团队」包装	中小商家场景会优先验证端到端执行，而非模型参数 5
Agent Web 流量	网站和 API 需要按机器访问重做分析、表单、支付归因	Agent-ready 不只是 MCP，还是前端语义、结构化数据和反爬策略 6

1. ARD 补的是 Agent 生态缺了很久的「发现层」

微软在 6 月 17 日发布 Agentic Resource Discovery，简称 ARD。它不是新的执行协议，也不替代 MCP、A2A、OpenAPI 或工作流系统；它只解决调用之前的问题：AI client 如何找到某个任务需要的 agent、MCP server、skill、plugin、API 或 workflow，并拿到足够的元数据判断是否该连接。微软称这项规范由 Microsoft、Google、GoDaddy、Hugging Face 等共同开发，参与方还包括 Cisco、Databricks、GitHub、Nvidia、Salesforce、ServiceNow、Snowflake 等。1

ARD 官方站把它定义为「open discovery protocol for agentic resources」。资源发布者用 AI Catalog 条目描述能力，发现服务负责索引和返回匹配结果。官方文档也明确说，ARD 不负责执行，不是中心化目录，企业可以运行自己的发现服务。7

Agentic Resource Discovery 的 catalog 与 registry 双路径示意图 — Google Cloud 图示把 ARD 拆成 catalog 发布层和 registry 发现层，Agent 最后仍通过 A2A、MCP 或 API 调用资源。8

这件事的价值不在「又多一个标准」。过去接 Agent 工具链时，团队常把一堆 MCP server、skills、内部 API 预先塞进上下文，结果是权限边界混乱、上下文窗口被占、工具选择靠提示词硬控。ARD 把这一步拆出来：先发现，再授权，再按原生协议调用。

GitHub 同步推出 agent finder。GitHub Changelog 称，Copilot 现在可以根据任务描述搜索可用 AI resources，并从 GitHub 公共目录或企业私有 registry 中返回排名结果；它只发现资源，不会静默安装，企业可用 Copilot 管理设置限制哪些资源可被发现和使用。9

对产品和平台团队，ARD 先带来两个检查项：

内部工具、MCP server、工作流是否有可发布的机器可读描述，而不是只停在 README。
发现服务是否和权限、审计、资源分级绑定，避免「搜得到」直接滑向「用得了」。

2. Mastra Harness 把长任务 Agent 的外壳做成了框架能力

Mastra 在 6 月 18 日发布 Harness，定位是包在 agent loop 外面的会话层。它支持 persistent threads、plan/build 等 modes、tool approval、subagents、model switching，以及可供 Web、移动端或 TUI 消费的 display state。官方博客称 Harness 可在同一 session 内切换计划和执行模式，持久化线程，处理中途 steering、follow-up queue、ask_user 暂停，以及 35 类事件信号。2

这与上一波 Agent 框架的差异很具体。早期框架更关心工具调用、工作流节点和 prompt 组织；现在的问题是，一个任务跑十几分钟甚至几个小时，用户如何看见它在做什么，什么时候能打断，哪些工具需要批准，子 Agent 在干什么，崩溃后如何恢复。

Mastra 给出的判断条件也值得借用：如果 Agent 需要长时间自主运行、像同事一样连续对话、被派出去执行几分钟以上的任务，或在循环中大量写代码和执行代码，就该考虑 harness 层，而不只是裸 agent API。2

选型上，Mastra Harness 会吸引 TypeScript/Next.js 生态里想做前台交互式 Agent 的团队。它的竞争点不在「模型多聪明」，而在产品外壳：任务列表、运行状态、审批暂停、线程恢复、子 Agent 进度，这些都是最后决定用户是否敢把任务交出去的界面能力。

3. Diagrid 把「执行过什么」从日志问题推进到 runtime 问题

Diagrid 6 月 18 日发布的文章把矛头指向 durable execution 的盲区：工作流能重试、能恢复，不等于下游服务能证明上游步骤真的发生过。文章举例说，支付服务需要知道订单验证、欺诈检查和人工审批是否按顺序完成；在跨进程、跨团队、跨身份的 Agent 工作流里，仅靠调用方 payload 或 JWT 并不能回答这个问题。3

Diagrid 的方案建立在 Dapr v1.18 的 Workflow History Propagation 上：历史由 runtime 在 gRPC 路径上携带，传播可按信任边界选择 full lineage 或 own-history only，并配合签名做端到端校验。文章还列出三类机制：local history signing、cross-identity completion attestation、lineage chunk signatures。3

Diagrid 展示的签名执行链示意图：客服、风控和支付三个步骤都带有可验证签名 — Diagrid 用这张图说明 downstream service 可以验证上游步骤和人工审批是否发生。3

这类能力会先进入有合规压力的 Agent 场景：支付、退款、权限提升、数据导出、生产变更。产品侧不要把它简单归为日志或可观测性。日志回答「发生了什么」，可验证执行链回答「我能不能证明它确实发生过，并据此允许下一步」。

4. 企业 Agent 开始默认多供应商编排

Cognizant 在 6 月 18 日宣布，ServiceNow AI Agents 已可与 Cognizant Neuro AI Multi-Agent Accelerator 协同，让企业在同一编排环境中协调 ServiceNow agents、自建系统和第三方 Agent 平台。新闻稿称，该集成通过 MCP 工作，让 Neuro AI 发现并调用 ServiceNow AI Agents，同时沿用 ServiceNow 既有访问控制和审计日志。4

IDC 在这篇新闻稿中给出一组企业采购预期：77% 计划购买预构建独立 Agent，73% 计划构建自定义 Agent，72% 计划使用既有软件里的 Agent 能力；Cognizant 把这个三选并行的现实包装成「需要统一编排层」。4

这组数字虽然来自厂商新闻稿，但方向可信：大型企业不会只运行一个 Agent。它们会同时有 SaaS 内置 Agent、ITSM/CRM 工作流 Agent、内部数据 Agent、代码 Agent 和安全 Agent。真正能卖进企业的不是单个聪明 Agent，而是把这些 Agent 放进权限、审批、审计和运营流程里的层。

Microsoft 的 agent-governance-toolkit 也沿着这个方向走。该 GitHub 仓库把自己定位为面向 autonomous AI agents 的 policy enforcement、zero-trust identity、execution sandboxing 和 reliability engineering 工具，页面显示处于 public preview，并覆盖 OWASP Agentic Top 10。10

5. 商业 Agent 产品在争抢「端到端执行」叙事

Alibaba.com 6 月 18 日在马来西亚发布 Accio Work，把它描述为面向 SME 的 agentic AI business team。按新闻稿，Accio Work 覆盖市场研究、产品规划、采购、商品上架、全球营销和店铺管理，并把用户指令转成自主执行动作。同场还发布 CoCreate Pitch 2026 马来西亚赛区，总奖金池为 MYR 500,000，报名截止 2026 年 8 月 25 日。5

Alibaba.com CoCreate Pitch 2026 宣传图 — Accio Work 与 CoCreate Pitch 绑定发布，说明 Alibaba.com 想用真实商家任务验证「业务团队」定位。5

这类产品值得观察，但不要只看「AI team」这种包装。真正要问的是：它能否接入商家的真实账号、库存、供应商、投放和客服系统；出错时谁审批、谁回滚；跨境贸易里的语言、税务、合规和支付节点有没有清晰边界。端到端执行越诱人，控制面缺口越容易暴露。

OrcaRouter 同日发布 AI Threat Report 2026，并推出免费 Firewall 和 Guardrails。新闻稿称 Guardrails 用于筛查 prompt injection、jailbreak、敏感数据泄漏和策略违规；Firewall 则控制工具调用、MCP actions、网络访问、审批和 spending limits。11

这和 Accio Work、ServiceNow 编排、Mastra Harness 其实是同一条线：Agent 只要开始替人执行任务，安全产品就会从「保护用户」转向「保护替用户行动的 Agent」。

6. Agent-ready Web 不只是多一个 MCP 接口

WorkOS 6 月 18 日发布的开发者文章引用 Cloudflare 和 HUMAN Security 的数据称，自动化请求已占 HTML Web 流量的 57.5%，人类流量为 42.5%；HUMAN Security 的 2026 State of AI Traffic 报告还称 agentic AI traffic 同比增长约 7,851%。6

这篇文章的实操建议比数字更有用：开发者需要区分 human traffic 与 agent traffic，检查表单语义和可访问性，减少 CAPTCHA、无限滚动和重客户端渲染对任务完成的阻碍，补充 JSON-LD/schema.org 这类结构化数据，并评估 WebMCP、UCP、ACP 等 agentic commerce 接口。6

这对 Agent 产品团队有一个反向提醒：Agent 能不能完成任务，很多时候不取决于模型本身，而取决于目标网站和 API 是否给机器留下可走的路。MCP、ARD、WebMCP、结构化数据、OAuth scoped credentials、支付协议，这些会共同决定 Agent 实际能做多远。

本期给选型表加的几项

发现层：如果平台只有「已安装工具列表」，没有 registry、ranking、policy-scoped discovery，后续工具数量一多就会失控。
会话外壳：长任务 Agent 需要线程、状态、审批、暂停、恢复和多端订阅。只提供一次性 streaming API 的框架，适合 Demo，不适合托付长任务。
执行证明：日志、trace、审批记录和 lineage 要能回答同一个问题：下游动作发生前，上游关键步骤是否被验证过。
多供应商现实：企业会同时买、建、用内置 Agent。编排和治理层的价值会高于单点 Agent 能力。
Agent Web 适配：网站要能被 Agent 正确读、正确填、正确支付、正确归因。否则流量来了，转化不一定来。

6 月 18 日这一批动态看起来分散，但它们共同把 Agent 从「会做事」推向「能被发现、能被管住、能被证明」。这会是接下来几周框架和平台竞争的主要分水岭。