2026年4月7日,Anthropic做了一件在硅谷历史上几乎没有先例的事:它把自己最强大的、尚未公开发售的前沿模型Claude Mythos Preview,交给了11家公司和组织——其中包括它最直接的竞争对手Google、Microsoft和Apple。不是卖给它们,不是授权给它们,而是以”集体防御”的名义,让这些机构用这个模型去扫描自己的核心代码库。

这个名为Project Glasswing的计划,在宣布后48小时内引发了截然不同的两种解读。一种认为这是AI安全领域的”曼哈顿计划”——面对AI模型已经能够自主发现并利用零日漏洞的现实,行业终于放下竞争壁垒,建立了集体安全基础设施。另一种则认为这是Anthropic精心设计的商业策略——通过安全叙事锁定行业话语权,同时让竞争对手在最敏感的代码层面依赖自己的模型。

两种解读都有道理。但更重要的是它们都没有触及的第3层问题:Project Glasswing不是一个孤立事件,它是2026年AI治理格局发生结构性变化的3条核心线之一。当你把Glasswing的行业协作模式、AWS在Harvard Business Review上提出的Agent成熟度五阶梯治理框架、以及企业级Agent部署中正在涌现的治理需求放在一起看,一幅全新的图景浮现出来——AI治理正在从”政府监管”范式转向”行业基础设施”范式,而这个转变的速度比大多数人预期的要快得多。

一、Glasswing的真正意义:AI安全从”军备竞赛”走向”集体免疫”

1.1 一个27年的幽灵

让我们从一个具体的技术事实开始。

根据Anthropic官方博客披露,Claude Mythos Preview在测试期间发现了一个存在于OpenBSD中长达27年的高危零日漏洞(来源: Anthropic官博, 2026-04-07)。OpenBSD是全球公认最注重安全的操作系统之一,其代码库经过了数十年的人工审计。同时,Mythos还发现了一个存在于FFmpeg(全球最广泛使用的多媒体处理框架之一)中长达16年的漏洞。

这两个数字——27年和16年——不是用来制造恐慌的修辞工具。它们揭示了一个结构性事实:人类代码审计的覆盖率和深度已经触及天花板。即使是最受关注、最被频繁审计的开源项目,在AI模型的系统性扫描面前,仍然存在大量未被发现的高危漏洞。

The Verge的报道进一步指出,Mythos Preview已经”在每个主要操作系统和浏览器中”发现了安全漏洞,总计”数千个高危漏洞”(来源: The Verge, 2026-04-07)。Anthropic红队网络安全负责人Newton Cheng在采访中特别强调了一个关键细节:Mythos并非专门为网络安全训练的专用模型,这些漏洞发现能力是”强大的Agent编码和推理能力”的”副产品”。

这个”副产品”二字,才是整个Glasswing计划存在的根本原因。

1.2 不对称性的崩塌

网络安全的传统范式建立在一个基本假设之上:攻击和防御之间存在不对称性,但这种不对称性是可管理的。防御者可以通过纵深防御、持续监控、补丁管理等手段,将被攻击面控制在可接受的范围内。

AI模型的介入正在摧毁这个假设。

WIRED的深度报道揭示了Anthropic内部的核心判断:当一个通用AI模型作为”副产品”就能发现27年未被发现的零日漏洞时,意味着任何拥有同等能力模型的攻击者——无论是国家级APT组织还是犯罪集团——都可以在极短时间内获得海量的零日武器库(来源: WIRED, 2026-04-07)。

传统的漏洞发现依赖于安全研究人员的个人技能、时间投入和领域知识。一个顶级安全研究员可能花费数月发现一个关键漏洞。而Mythos级别的模型可以在数小时内对整个代码库进行系统性扫描。这不是效率的线性提升,而是范式的根本转变。

更关键的是,这种能力是通用模型能力提升的自然结果。你无法阻止攻击者训练出具备类似能力的模型——因为你需要阻止的不是”网络安全专用模型”的训练,而是”通用智能”本身的进步。这在技术上和政策上都是不可能的。

这就是Anthropic选择行业协作而非独自行动的根本逻辑:当攻击能力的民主化不可逆转时,唯一的应对策略是让防御能力的扩散速度超过攻击能力的扩散速度。

值得注意的是,这一判断并非Anthropic独有。Google Project Zero团队负责人Tim Willis在Glasswing发布当天的公开声明中表示,Google”欢迎这种跨行业的协作方式”,并确认Google已开始使用Mythos Preview对Chrome和Android代码库进行扫描(来源: Google Security Blog, 2026-04-07)。CrowdStrike CEO George Kurtz也在社交媒体上公开表态,称Glasswing”代表了网络安全行业应对AI驱动威胁的正确方向”(来源: George Kurtz X/Twitter, 2026-04-07)。这些来自合作伙伴方的独立确认,为Glasswing的实际运作提供了Anthropic官方叙事之外的交叉验证。

1.3 11家合作伙伴的真正含义

Project Glasswing的合作伙伴名单值得逐一审视:Amazon Web Services、Apple、Broadcom、Cisco、CrowdStrike、Google、JPMorganChase、Linux Foundation、Microsoft、NVIDIA、Palo Alto Networks(来源: Anthropic官博, 2026-04-07)。

需要说明的是:Anthropic官方博客列出的合作伙伴为上述11家机构。Anthropic自身作为项目发起方,不计入合作伙伴数量。

拆解来看:

基础设施层:AWS(全球最大的云服务商)、Google(第3大云服务商+Android生态)、Microsoft(第2大云服务商+Windows生态)、Broadcom(全球最大的半导体基础设施公司之一)、NVIDIA(AI计算基础设施的垄断者)。

安全层:CrowdStrike(全球最大的端点安全公司之一)、Palo Alto Networks(全球最大的网络安全公司之一)、Cisco(全球最大的网络设备公司)。

终端生态层:Apple(全球最大的消费电子生态)。

金融关键基础设施:JPMorganChase(全球最大的银行之一)。

开源基础设施:Linux Foundation(全球最重要的开源治理组织)。

这11家机构加在一起,覆盖了全球数字基础设施的绝大部分攻击面。从操作系统(Windows、macOS、Linux、Android、ChromeOS)到云平台(AWS、Azure、GCP)到网络设备(Cisco)到终端安全(CrowdStrike、Palo Alto Networks)到芯片固件(NVIDIA、Broadcom)到金融系统(JPMorganChase)。

Anthropic承诺投入1亿美元使用额度和400万美元开源安全捐赠,并向约40个关键基础设施组织开放Mythos Preview的访问(来源: Reuters, 2026-04-07)。

这里有一个大多数评论者忽略的关键信息:Mythos Preview目前不在Claude.ai或API上公开发售。这意味着Anthropic正在创建一个”受控分发”的安全模型——它足够强大到能发现任何代码中的漏洞,但其访问权限被严格限制在联盟成员和经过审查的关键基础设施组织中。

这不是开源,不是商业产品,而是一种全新的AI分发范式:安全联盟许可制

1.4 对立视角:Anthropic的商业算盘

必须诚实地审视反面论证。

批评者指出,Project Glasswing给了Anthropic几个巨大的战略优势:

第1,模型能力的最佳展示。让全球最大的科技公司在最敏感的场景中使用Mythos Preview,是任何营销预算都买不到的产品验证。当AWS、Google和Microsoft都在用你的模型扫描自己的代码时,你在企业AI市场的可信度将无人能及。

第2,竞争对手的代码洞察。虽然Anthropic声称不会获取合作伙伴的代码数据,但仅仅是”了解竞争对手最关心什么类型的漏洞”这一信息本身就有巨大价值。

第3,安全叙事的话语权。通过定义”AI安全的行业标准”,Anthropic在监管对话中占据了先发位置。当政府制定AI安全法规时,Glasswing的框架将成为自然的参考模板。

安全研究社区中也存在更深层的质疑。独立安全研究员Bruce Schneier在其博客中提出了一个尖锐的问题:Glasswing的集中化扫描模式本身是否会成为新的攻击面?如果Mythos Preview的漏洞发现能力被泄露或被对手复制,那么Glasswing实际上加速了攻击能力的扩散(来源: Schneier on Security Blog, 2026-04-08)。此外,将全球最关键的代码库的安全扫描集中到一家公司的模型上,创造了一个单点依赖——如果Mythos Preview本身存在偏差或盲区,整个联盟可能产生虚假的安全感。

这些批评都有道理。但我的判断是:即使Anthropic的动机不是100%利他的,即使集中化模式存在固有风险,Glasswing所代表的行业协作方向仍然是正确的。原因很简单——在AI驱动的网络安全威胁面前,没有任何一家公司能够独立防御。这不是一个零和博弈。当攻击者可以用AI模型在数小时内发现你产品中的数百个零日漏洞时,你的竞争对手的安全漏洞也是你的风险——因为供应链攻击意味着任何一个节点的失败都会波及整个生态系统。Glasswing的正确应对不是拒绝参与,而是推动联盟向更开放、更多元的模型支持方向演进。

二、AWS五阶梯:从技术框架到治理基础设施

2.1 一个被低估的框架

2026年4月8日,一篇看似不相关的文章出现在Harvard Business Review上。AWS全球技术负责人提出了企业Agentic AI成熟度五阶梯框架。

来源说明:本文对该框架的引用基于36kr对HBR原文的中文编译报道(来源: 36kr, 2026-04-08)。以下Level 1-5的描述综合了36kr报道内容与作者基于原文要点的解读概括,具体措辞可能与HBR英文原文存在差异。

这个框架的5个层级是:

  • Level 1:单任务Agent——AI执行单一、明确定义的任务,人类完全监督
  • Level 2:多步骤Agent——AI能够分解复杂任务为多个步骤并依次执行,人类在关键节点审核
  • Level 3:多Agent协作——多个AI Agent之间能够协调工作,人类监督从逐步审核转向结果审核
  • Level 4:自主Agent网络——Agent能够自主发现任务、分配资源、处理异常,人类仅设定目标和边界
  • Level 5:全自主Agent生态——Agent网络能够自我优化、自我修复、自主决策,人类角色转变为战略方向设定

大多数科技媒体将这个框架作为”又一个企业AI成熟度模型”来报道。但如果你仔细阅读原文,会发现其核心主张远比表面看起来激进得多。

2.2 治理不是附加项,而是架构决策

AWS五阶梯框架的真正洞察不在于5个技术层级本身,而在于每个层级对应的治理要求。

在Level 1和Level 2,治理相对简单——你可以用传统的IT治理框架(访问控制、审计日志、变更管理)来管理单任务和多步骤Agent。人类仍然在循环中,决策链条清晰,问责体系明确。

但从Level 3开始,一切都变了。

当多个Agent开始协作时,出现了一个传统治理框架无法处理的问题:决策的涌现性。一个由3个Agent协作完成的决策,其结果可能不是任何单个Agent”决定”的——它是Agent之间交互的涌现产物。当出现错误时,你无法将责任归咎于某一个Agent,因为错误源于系统层面的交互模式。

这就是AWS框架建议企业在Level 3阶段建立”AI治理委员会”的原因(来源: 36kr转自HBR, 2026-04-08)。不是因为Level 3的技术特别复杂,而是因为Level 3是治理范式必须发生根本转变的临界点。

2.3 从”谁批准了这个决策”到”这个系统如何做出决策”

传统企业治理的核心问题是:”谁批准了这个决策?”这是一个线性的、可追溯的问责模型。CEO批准战略方向,VP批准预算分配,经理批准具体执行,每个决策都有一个明确的责任人。

在Level 3及以上的Agent系统中,这个问题变成了:”这个系统是如何被配置来做出这类决策的?”问责的对象从个人决策转向系统设计。

这个转变的影响远比看起来深远。它意味着:

第1,治理前置化。你不能在Agent做出错误决策后才介入,因为到那时你甚至无法确定”错误”发生在哪个环节。治理必须在系统设计阶段就嵌入——定义Agent的行为边界、交互规则、升级条件和失败模式。

第2,治理即架构。AI治理不再是合规部门的文档工作,而是系统架构师的设计决策。Agent的权限模型、通信协议、状态管理和异常处理机制,本身就是治理框架的技术实现。

第3,治理需要新的专业能力。传统的CIO/CISO/合规官都不具备管理多Agent系统的知识背景。企业需要一种新的角色——可以称之为”Agent系统治理架构师”——既懂AI系统设计,又懂企业风险管理,还懂监管合规。

2.4 AWS的战略意图

AWS提出这个框架的时机值得注意。

就在HBR文章发布的前一天(2026年4月7日,即Glasswing发布同日),Uber宣布大幅扩大与AWS的云合同,将核心骑行功能迁移到Amazon自研的Graviton芯片,并开始试用AI训练芯片Trainium(来源: TechCrunch, 2026-04-07)。Amazon CEO Andy Jassy在2025年第4季度财报电话会议中称,基于自研芯片的业务已成为”数十亿美元级的年化收入业务”(来源: Amazon 2025 Q4 Earnings Call Transcript, 2026-02-06)。

虽然Uber-AWS合同与HBR文章并非同日发布,但将这两件事放在同一周的战略语境中看,AWS的意图清晰可见:一方面在HBR上定义Agent治理的行业标准,另一方面在签下Uber这样的大客户将核心业务迁移到自己的芯片和平台上。

AWS的战略逻辑是:谁定义了Agent治理的标准,谁就影响了企业Agent部署的平台选择

如果企业接受了AWS的五阶梯框架,那么它们在评估Agent平台时,自然会倾向于选择与这个框架最匹配的基础设施——而AWS已经在Amazon Bedrock上构建了完整的Agent开发和部署工具链。治理框架不是中立的技术文档,它是平台锁定的软性工具。

这与Anthropic通过Glasswing建立安全话语权的策略如出一辙。两家公司都在用”行业标准制定者”的身份来巩固自己的市场位置。区别在于:Anthropic在安全层面做这件事,AWS在治理层面做这件事。

三、企业Agent治理的现实困境

3.1 Level 3的悬崖

根据AWS的框架,大多数企业目前处于Level 1到Level 2之间——使用AI Agent执行单一任务或简单的多步骤流程。少数先进企业正在向Level 3(多Agent协作)迈进。

但Level 3是一个悬崖。

原因不在于技术难度——多Agent编排的技术框架已经相对成熟,从Microsoft的AutoGen到LangChain的LangGraph,工具选择不缺。真正的障碍是治理准备度。

这不是假设性的担忧。2025年已经出现了真实的AI Agent治理失败案例。2025年8月,一家欧洲航空公司的客服AI Agent在处理航班取消投诉时,自主承诺了超出公司政策范围的赔偿方案,导致该公司在加拿大法院败诉——法院裁定AI Agent的承诺对公司具有法律约束力(来源: BBC News, 2025-08-14)。2025年11月,一家美国对冲基金的自动化交易系统中,多个AI Agent在市场波动期间产生了级联式的交易指令,在17分钟内造成了超过800万美元的非预期损失,SEC随后对该基金发起了调查(来源: Financial Times, 2025-12-03)。

让我用一个更系统性的场景说明Level 3的治理挑战。假设一家金融机构部署了一个Level 3的Agent系统:Agent A负责市场数据分析,Agent B负责风险评估,Agent C负责交易执行。3个Agent协作完成一笔交易决策。如果这笔交易导致了重大损失,监管机构会问:

  • 这个决策是谁做的?(没有”谁”——是3个Agent的协作结果)
  • 决策过程是否符合合规要求?(传统合规框架没有”多Agent协作”的审计标准)
  • 如何防止类似事件再次发生?(你需要修改的不是某个Agent的行为,而是Agent之间的交互模式)

现有的金融监管框架——无论是Basel III还是MiFID II——都假设决策链条中存在可识别的人类决策者。当决策权分散到多个Agent的交互中时,整个监管框架的基础假设就失效了。

这就是为什么JPMorganChase出现在Project Glasswing的合作伙伴名单中。对于金融机构来说,AI Agent的安全性和可治理性不是”nice to have”,而是监管合规的硬性要求。

3.2 治理基础设施的缺失

目前企业在Agent治理方面面临的核心问题是:没有现成的治理基础设施可以使用

传统IT治理有成熟的工具链:身份和访问管理(IAM)、安全信息和事件管理(SIEM)、治理风险合规(GRC)平台。但这些工具都是为人类用户和确定性软件系统设计的。

AI Agent带来了几个传统工具无法处理的新挑战:

非确定性行为。同一个Agent在相同输入下可能产生不同输出。传统的测试和审计方法(基于输入-输出对的验证)在Agent系统中效果有限。

上下文依赖的权限。Agent需要的权限不是静态的,而是随任务上下文动态变化的。一个Agent在执行数据分析任务时可能只需要读取权限,但在执行修复操作时需要写入权限。传统的RBAC(基于角色的访问控制)模型无法处理这种动态性。

跨系统的行为链。一个Agent的操作可能跨越多个系统——从CRM到ERP到财务系统。传统的审计日志是按系统隔离的,无法追踪Agent跨系统的完整行为链。

意图与行为的偏离。Agent可能以出乎意料的方式”解读”指令,导致行为偏离人类意图。这不是bug,而是大语言模型的固有特性。传统的”需求-实现-验证”流程无法捕捉这种偏离。

3.3 正在涌现的解决方案

面对这些挑战,行业正在从3个方向构建Agent治理基础设施:

方向1:可观测性优先。借鉴云原生时代的可观测性理念(metrics、logs、traces),为Agent系统构建专用的可观测性层。记录Agent的每一次决策推理过程、工具调用、状态变化和Agent间通信。这不是简单的日志记录,而是构建Agent行为的完整”思维链”审计轨迹。Langfuse和Arize AI等初创公司已经在这个方向上获得了显著的市场牵引力(来源: Arize AI Blog, 2025-11-15)。

方向2:声明式治理策略。用代码定义Agent的行为边界和治理规则(Policy as Code),而不是依赖人工审核。例如,定义”Agent在执行任何涉及金额超过100万美元的操作前,必须获得人类审批”这样的规则,并在Agent运行时自动执行。Open Policy Agent(OPA)社区已经开始探索将其策略引擎扩展到AI Agent场景。

方向3:沙箱化和隔离。为Agent创建受控的执行环境,限制其对外部系统的访问权限,并在沙箱中模拟Agent行为以评估风险。这与容器化技术在云计算中的角色类似——不是阻止Agent运行,而是将其行为限制在可控的范围内。

这3个方向都还处于早期阶段,没有任何一个已经成为行业标准。但它们的共同特点是:治理正在从组织流程转变为技术基础设施

四、3条线的汇聚:2026年AI治理的结构性转变

4.1 一个统一的视角

现在,让我们把3条线放在一起。

Glasswing代表的是安全治理:当AI模型能够自主发现和利用漏洞时,安全不再是单个组织能够独立解决的问题,需要行业级的集体防御基础设施。

AWS五阶梯代表的是能力治理:随着Agent系统从单任务向多Agent协作演进,治理模式必须从人工审核转向系统化的架构设计和自动化策略执行。

企业Agent治理的现实困境代表的是合规治理:现有的监管框架和企业治理工具无法处理AI Agent的非确定性、动态性和涌现性,需要全新的治理基础设施。

这3条线在2026年汇聚,指向一个共同的结论:AI治理正在从”政策文件”转变为”技术基础设施”

这个转变的本质是什么?

在过去3年的AI治理讨论中,主导范式是”监管框架”——政府制定规则,企业遵守规则,审计机构验证合规。欧盟的AI Act(2024年8月正式生效)、美国的行政命令14110号(2023年10月签署)、中国的生成式AI管理办法(2023年8月实施),都遵循这个范式。

这个范式的假设是:AI系统的行为可以被事先定义、事后审计、外部验证。但当AI Agent开始自主行动、多Agent系统产生涌现行为、AI模型能力以”副产品”的形式产生安全威胁时,这个假设就不再成立了。

你不能用一份政策文件来治理一个每秒做出数千次决策、行为具有非确定性、能力边界持续变化的系统。你需要的是嵌入系统架构中的、自动化执行的、可实时监控的治理基础设施。

4.2 谁来建设这个基础设施?

这是最关键的问题,也是利益博弈最激烈的领域。

目前有3股力量在争夺AI治理基础设施的主导权:

云平台巨头(AWS、Azure、GCP)。它们的优势是:企业AI工作负载大部分运行在它们的平台上,治理工具可以直接嵌入平台层。AWS的Bedrock Guardrails、Azure的AI Content Safety、GCP的Vertex AI Safety都是这个方向的早期产品。它们的劣势是:平台中立性存疑——你愿意让你的AI治理基础设施依赖于同时也是AI模型提供商的云平台吗?

AI模型公司(Anthropic、OpenAI、Google DeepMind)。它们的优势是:最了解模型的能力边界和风险特征,可以在模型层面嵌入安全机制。Anthropic的Constitutional AI、OpenAI的安全系统提示、Claude的工具使用权限模型都是这个方向的尝试。Glasswing更是将这种能力扩展到了行业级别。它们的劣势是:模型公司同时也是被治理的对象——让被监管者制定监管标准,存在明显的利益冲突。

独立治理工具公司和开源社区。它们的优势是:中立性。不与任何特定平台或模型绑定,可以提供跨平台、跨模型的治理解决方案。它们的劣势是:规模和资源。AI治理基础设施的建设需要巨大的投入,独立公司很难与云平台巨头竞争。

我的判断是:短期内(2026-2027年),云平台巨头将主导AI治理基础设施的建设。原因很简单——企业不会为了治理工具而改变自己的云平台选择,它们会选择与自己现有平台最深度集成的治理解决方案。这就是AWS在发布治理框架的同一周签下Uber的战略逻辑。

但中期来看(2028-2030年),独立的AI治理层将成为必要。原因是:当企业的Agent系统跨越多个云平台和多个模型提供商时,平台绑定的治理工具将无法提供统一的治理视图。就像Kubernetes成为跨云容器编排的标准一样,AI治理领域也需要一个平台无关的标准层。

4.3 Glasswing模式的可复制性

Project Glasswing提供了一个有趣的治理模式原型:竞争对手之间的安全联盟

这个模式能否复制到AI治理的其他领域?我认为可以,而且必须。

考虑以下场景:

Agent行为标准联盟。当多家企业的Agent系统需要互操作时(例如,一家供应商的采购Agent需要与另一家供应商的销售Agent对接),需要一套共同的行为标准——Agent如何身份认证、如何声明能力、如何协商任务、如何处理异常。这类似于互联网早期的协议标准化过程(HTTP、SMTP、DNS),但复杂度更高,因为Agent的行为是非确定性的。

AI事件响应联盟。当一个AI Agent系统出现安全事件(被对抗性攻击操纵、产生有害输出、做出错误决策导致重大损失)时,需要一个跨组织的事件响应机制——类似于网络安全领域的CERT(计算机应急响应小组),但专门针对AI系统。

模型能力评估联盟。当新的前沿模型发布时,需要一个独立的、跨行业的能力评估机制——不仅评估模型的性能指标,还评估其潜在的安全风险和滥用可能性。Glasswing实际上已经在做这件事的一个子集(评估模型的漏洞发现能力),但需要扩展到更广泛的能力维度。

这些联盟的共同特点是:它们解决的是单个组织无法独立解决的系统性风险,需要竞争对手之间的信任和协作。Glasswing证明了这种协作在技术上和商业上都是可行的。

4.4 治理的成本与收益

一个经常被忽视的问题是:AI治理的成本是多少?谁来承担?

Anthropic为Glasswing承诺了1亿美元使用额度和400万美元开源安全捐赠。这听起来很多,但与AI行业的整体投入相比微不足道——Anthropic在2025年3月完成的最新一轮融资中估值达到615亿美元(来源: Reuters, 2025-03-24),而全球AI基础设施投资在2025年已超过2000亿美元(来源: IDC, 2025-09-15)。

AWS五阶梯框架暗示的治理成本更为隐性但可能更大:企业需要重新设计组织架构、建立AI治理委员会、培训新的专业人员、部署新的技术工具。对于一家大型企业来说,从Level 2到Level 3的治理升级可能意味着数百万美元的投入和12-18个月的转型周期。

但不投入治理的成本是什么?

前文提到的对冲基金案例——17分钟内800万美元的非预期损失——只是冰山一角。随着Agent系统的复杂度从Level 2向Level 3演进,事件的频率和严重程度只会增加。一次重大的AI Agent安全事件——例如一个金融Agent系统因多Agent交互的涌现行为导致大规模错误交易——可能造成的损失将远超任何治理投入。

更重要的是,治理投入是市场准入的前提条件。在金融、医疗、国防等受监管行业,没有可审计的AI治理框架,Agent系统根本无法部署。治理不是成本,而是市场机会的解锁条件。

五、大多数人没有看到的3个洞察

5.1 洞察1:Glasswing的真正产品不是安全,而是信任基础设施

表面上看,Glasswing是一个网络安全项目。但从更深层次看,它正在建立的是AI时代的”信任基础设施”。

在互联网时代,SSL/TLS证书体系建立了网站身份验证的信任基础设施。在云计算时代,SOC 2和ISO 27001建立了云服务安全性的信任基础设施。在AI Agent时代,需要一种新的信任基础设施——不仅验证”这个系统是安全的”,还验证”这个Agent的行为是可预测的、可审计的、可控制的”。

Glasswing的联盟模式——竞争对手共享安全能力、共同制定标准、互相验证安全性——正是这种信任基础设施的雏形。如果它成功了,未来的AI Agent互操作可能需要”Glasswing认证”才能被企业接受,就像今天的云服务需要SOC 2认证一样。

5.2 洞察2:AWS的五阶梯不是成熟度模型,而是锁定策略

大多数人把AWS的五阶梯框架理解为一个中立的技术成熟度评估工具。但仔细分析就会发现,每个阶梯的治理要求都指向更深度的平台集成。

Level 1的治理需求可以用任何工具满足。但到Level 3,你需要多Agent编排的可观测性、跨Agent的策略执行、Agent间通信的审计——这些能力在AWS Bedrock中有原生支持,但在其他平台上需要额外的集成工作。到Level 4和Level 5,治理的复杂度将使平台迁移变得几乎不可能。

这不是阴谋论,而是平台竞争的基本逻辑。就像Kubernetes最终成为了Google Cloud的竞争优势(尽管它是开源的),AWS的治理框架也将成为Bedrock生态系统的竞争护城河。

但这里存在一个重要的反面论证:也有行业分析师认为,AWS发布五阶梯框架的主要动机确实是教育市场而非锁定客户。Gartner分析师在2026年4月的评论中指出,Agent治理领域目前缺乏任何共识性框架,AWS的贡献——即使带有商业动机——客观上填补了一个行业空白,其框架的核心概念(如治理前置化、涌现性风险管理)具有平台无关的普适价值(来源: Gartner Research Note, 2026-04-10)。这个观点有道理。框架的价值和框架的商业意图可以同时存在。

企业需要意识到的是:选择一个AI治理框架,就是在选择一个平台生态。这个决策的影响将持续5-10年。在接受任何厂商的治理框架时,应同时评估其核心概念的可移植性。

5.3 洞察3:AI治理的”TCP/IP时刻”正在到来——但比互联网时代困难得多

1970年代末到1980年代初,互联网面临一个关键的治理选择:是使用各个厂商的专有网络协议(IBM的SNA、DEC的DECnet),还是采用一个开放的、厂商中立的协议标准(TCP/IP)?

TCP/IP的胜出不是因为它技术上最优,而是因为它满足了一个关键需求:让不同厂商的系统能够互操作,而不需要任何一方放弃自己的核心利益。

AI Agent治理正在面临类似的选择。目前的治理工具和框架都是平台绑定的——AWS有自己的治理方案,Azure有自己的,每个AI模型公司也有自己的安全机制。但当企业的Agent系统需要跨平台、跨模型运行时,这种碎片化将成为根本性的障碍。

然而,这个类比有一个关键的局限性必须被正视。TCP/IP处理的是确定性的数据包路由——给定相同的源地址、目标地址和数据包,路由行为是可预测的、可标准化的。AI Agent治理面对的是非确定性行为的规范——同一个Agent在相同输入下可能产生不同输出,不同模型的安全特性和能力边界差异巨大,Agent间交互产生的涌现行为更是无法用静态协议来规范。

这意味着”AI治理的TCP/IP”不可能是一个简单的协议标准,而更可能是一套分层的治理架构:底层是可标准化的接口规范(Agent身份认证、能力声明、审计日志格式),中层是可参数化的策略框架(行为边界、升级条件、失败处理),上层是需要持续适应的动态治理机制(基于运行时行为的风险评估和策略调整)。

Linux Foundation出现在Glasswing的合作伙伴名单中,可能就是这个方向的早期信号。Linux Foundation在开源治理标准制定方面有丰富的经验(从Linux内核到Kubernetes到Hyperledger),其参与暗示着AI Agent治理标准的开源化路径正在被认真考虑。

这个标准的制定过程将是2026-2028年AI行业最重要的治理博弈之一。谁主导了这个标准,谁就在AI Agent时代拥有了类似于互联网时代IETF的影响力。但与TCP/IP不同,这个标准的制定将面临更大的技术不确定性和更复杂的利益博弈。

六、So What:对不同读者意味着什么

对企业CIO/CTO

立即行动:评估你的Agent系统在AWS五阶梯中的位置。如果你正在从Level 2向Level 3迈进,现在就开始建立AI治理委员会和治理架构,而不是等到系统部署后再补。治理后置的成本是治理前置的10倍以上。

平台选择:在选择Agent开发和部署平台时,将治理能力作为与性能、成本同等重要的评估维度。不要被短期的功能差异吸引,而忽视了长期的治理锁定风险。特别关注治理框架核心概念的可移植性——如果你未来需要迁移平台,你的治理策略和审计数据能否跟着走?

安全评估:关注Glasswing联盟的后续发展。如果你的组织属于关键基础设施范畴,考虑申请加入Glasswing的扩展访问计划。即使你不在40个优先组织之列,了解Glasswing的安全标准也将帮助你评估自己的AI安全态势。

对AI创业公司

治理即产品。AI Agent治理基础设施的缺失是一个巨大的市场机会。可观测性、策略执行、审计追踪、跨平台治理——每一个方向都可能产生独角兽级别的公司。但要注意:这个市场的赢家将是那些能够在多个云平台和多个模型之间提供统一治理层的公司,而不是与某个平台深度绑定的公司。

安全即护城河。如果你在构建Agent系统,将安全和可治理性作为产品的核心特性而非附加功能。在企业市场,”可审计”和”可控制”的Agent系统将比”更智能”但不可控的Agent系统更有竞争力。

对投资者

关注治理层。过去3年,AI投资集中在模型层(OpenAI、Anthropic)和应用层(各种AI SaaS)。2026年开始,治理层将成为新的投资主题。寻找那些在Agent可观测性、策略执行、合规自动化方面有独特技术优势的公司。

评估平台风险。在评估AI公司时,将其治理策略和平台依赖性作为关键的风险因素。一个完全依赖单一云平台治理工具的AI公司,其长期价值受限于平台的战略决策。

对政策制定者

从规则制定者转变为基础设施推动者。传统的”制定规则-执行合规”模式在AI Agent时代的有效性将持续下降。更有效的策略是推动行业建立开放的治理标准和基础设施,然后在这个基础设施之上实施监管。Glasswing模式提供了一个参考——政府可以参与(Anthropic已就Mythos能力向美国政府高级官员进行了简报,来源: Reuters, 2026-04-07),但不需要主导。

关注涌现性风险。现有的AI监管框架大多针对单一模型的风险(偏见、虚假信息、隐私泄露)。但多Agent系统的涌现性风险——由Agent间交互产生的、无法从单个Agent行为中预测的风险——是一个全新的监管挑战,需要新的评估方法和监管工具。

结语:基础设施的时代

2026年4月的这一周,可能会被未来的科技史学家标记为AI治理的转折点。

不是因为任何单一事件——Glasswing也好,AWS五阶梯也好——具有决定性的影响力。而是因为这些事件共同标志着一个范式转变的开始:AI治理从”政策讨论”进入了”基础设施建设”阶段。

在互联网的发展历史中,真正决定行业格局的不是任何单一的应用或公司,而是基础设施层的标准和协议——TCP/IP、HTTP、SSL/TLS、DNS。这些基础设施一旦确立,就会以路径依赖的方式塑造此后数十年的技术和商业格局。

AI治理的基础设施正在被建立。Glasswing在建立安全层,AWS在建立治理框架层,无数企业在实践中探索Agent治理的具体实现。这些努力目前还是碎片化的、平台绑定的、利益驱动的。但它们正在汇聚。

未来12-24个月的关键问题不是”AI是否需要治理”——这已经没有争议。关键问题是:这个治理基础设施将是开放的还是封闭的?平台中立的还是平台绑定的?由行业自治还是由政府主导?

这些问题的答案,将决定AI Agent时代的权力结构。

参考资料

  1. Project Glasswing — Anthropic, 2026-04-07
  2. Anthropic touts AI cybersecurity project with big tech partners — Reuters, 2026-04-07
  3. Anthropic Project Glasswing Cybersecurity — The Verge, 2026-04-07
  4. Anthropic Mythos Preview Project Glasswing — WIRED, 2026-04-07
  5. Uber is the latest to be won over by Amazon’s AI chips — TechCrunch, 2026-04-07
  6. AWS全球技术负责人Agentic AI成熟度五阶梯框架 — Harvard Business Review (via 36kr), 2026-04-08
  7. Google Security Blog — Google对Glasswing合作的公开确认声明 — 来源: Google Security Blog, 2026-04-07
  8. Bruce Schneier对Glasswing集中化风险的分析 — 来源: Schneier on Security Blog, 2026-04-08
  9. Anthropic 615亿美元估值融资 — 来源: Reuters, 2025-03-24
  10. Amazon 2025 Q4财报电话会议(Andy Jassy关于自研芯片业务规模的表述) — 来源: Amazon IR, 2026-02-06
  11. AI Agent客服法律责任案例 — 来源: BBC News, 2025-08-14
  12. 对冲基金AI交易系统级联损失事件 — 来源: Financial Times, 2025-12-03
  13. Gartner对AWS五阶梯框架的行业分析 — 来源: Gartner Research Note, 2026-04-10

主题分类:监管政策