代理网关将整个企业AI的权力集于一点
每当一项技术从实验阶段迈入关键基础设施阶段,都会出现一个反复重演的规律:在某个节点,会涌现出一个没有人事先正式规划的控制层,但它最终成为最重要决策的发生之处。这一幕曾在Web时代的负载均衡器上演过,在云计算时代的控制平面上演过,也在微服务时代的服务网格上演过。如今,同样的故事正发生在人工智能代理领域,而这一控制层正在被冠以一个名字:代理网关。
2026年7月的第一周,两起独立的企业动作证实,这一品类已不再是一个尚在构建中的概念。Arcade将其授权与工具执行引擎直接上架至微软Azure和AWS市场,允许企业只需一键点击,便可在自己的云环境中完成部署。就在前一天,Manufact开放了其基于模型上下文协议(MCP)的托管云,以便将一个服务器从代码仓库直接推送到受监控的生产节点。两家公司都没有发出惊天动地的公告,但合在一起,它们指向了一个明确的信号:在各组织尚未厘清自己究竟部署了什么之前,市场已在率先构建代理式AI的治理架构。
Nutanix早在5月便已为这一品类划定了基本格局——彼时,它在Nutanix Enterprise AI 2.7版本中正式发布了代理网关产品,面向全体用户正式提供。该解决方案作为一个集中控制点运作,负责管理从代理到语言模型、以及从代理到其所调用的各类业务工具之间的全部流量。它负责路由请求、执行身份验证、按工具管理权限、记录每次调用以供审计,并按代理和团队维度统计令牌消耗。客服代理可以获得数据库的只读权限,DevOps代理可以拥有GitHub的完整写入权限。若主要供应商发生故障或达到限额,流量将自动切换至已配置的备用供应商。
此刻之所以具有重要战略意义,并不在于功能本身,而在于:这是市场第一次为企业AI权力的集中之处命名,并将其打包成型。
谁在场时设计了治理框架
要理解这一控制层的重要性,不妨观察一下,在没有它的情况下,一个AI代理在生产环境中是如何运作的。一个代理从来不会长时间单独行动:它调用一个模型进行推理,然后调用各类工具——GitHub、Stripe、数据库、内部API——来执行操作。它还会频繁生成子代理,重复相同的循环。每一次调用都会消耗令牌,并触及一个拥有独立权限体系的系统。若没有集中的控制点,一个组织最终会发现,数十个代理直接连接到生产系统,却没有任何一个统一的位置来查看流量、叫停操作或进行审计。
这种无治理的分布式架构不仅仅是一种运营风险,它同样是一个关于权力与设计的问题。当不存在显式的控制平面时,代理的治理并不会消失,而是会碎片化,变得隐性。关于每个代理可以调用哪些工具、以何种身份调用、在何种条件下调用、以及权限范围如何界定,这些决策都由各自独立构建代理的团队分别作出,彼此之间几乎缺乏一致性。
这一结构性后果是可以预见的:外围的智识变得不可见。在系统边缘运作的团队——那些了解非典型用例的人、那些处理敏感客户数据的人、那些观察到自动化产生二阶效应的人——在设计代理的能力边界时没有任何话语权。权限、范围与访问控制的决策,在初始部署时由构建代理的技术团队一次性做出,既没有集中审查机制,也没有吸纳多元视角的渠道。
代理网关改变了这一局面,至少在潜力层面如此。它将治理集中在一个统一的点上,使得访问策略、身份验证和审计规则可以被统一审查、更新和执行。但这一设计所打开的问题并非技术性的:而是谁来控制这个中心节点,以及依据什么标准。
正在发生的整合
市场正在同时给出两个截然相反的答案,而两者都揭示了一种深层张力——究竟谁应该成为控制层的守护者。
第一个答案是:将其整合进专有安全平台。2026年5月,Palo Alto Networks完成了对Portkey的收购——Portkey是一个面向代理治理的自主AI网关——并将其并入自家安全平台。这一逻辑自洽:如果拥有高权限的代理是企业风险的新型载体,那么对其行为能力的管控,自然是安全边界的延伸。代理治理就此成为大型网络安全厂商所掌管的零信任和特权访问组合的一部分。
第二个答案是:开放治理。Solo.io将其agentgateway项目捐赠给了在Linux基金会旗下的Agentic AI Foundation,使其成为该组织托管的第四个项目。该项目使用Rust编写,通过单一数据平面处理MCP流量、代理间流量、HTTP和gRPC,目前已吸引来自60个组织的逾300名贡献者,其中包括CoreWeave、Red Hat、Adobe、Salesforce和微软。这一逻辑同样自洽,但指向相反的方向:如果代理网关是所有企业AI的核心基础设施,那么任何单一厂商都不应成为其所有者。
这两种走向不仅仅是不同的商业策略,它们是关于AI基础设施权力归属的两种截然不同的理论。前者将这种权力置于大型科技公司的安全边界之内,后者则将其分发给一个受中立治理约束的贡献者社群。
结构性分析所揭示的是,在这两种选择之间作出抉择,首先不是技术问题,也不是财务问题,而是一个关于权力架构的决定。一家选择将网关整合进某安全厂商平台的企业,是在将自身代理治理政策的设计权托付给该厂商的产品路线图。而一家采用Linux基金会旗下项目的企业,则承担了更多的技术责任,但同时保留了集体影响控制层演进方向的能力。
市场尚未解决的三个盲区
原Forbes文章为企业买家列出了三个尽职调查问题,这三个问题有一个共同特征:表述上是技术性的,但其所揭示的却是组织层面的问题。
第一个问题关于所有权:治理的哪些部分属于厂商自有,哪些只是对企业已在支付的AWS或Azure基础原语的薄薄封装。这个问题表面上是财务性的,但其本质是关于设计依赖的。如果代理治理被外包给内部团队既无法审计、也无法修改的层次,那么组织实际上并不掌控自己的AI,即便名义上是在自主运营。
第二个问题关于成本行为:当工具调用量翻倍时,或当所部署的代理数量未达到厂商预设假设时,账单会发生什么变化。Gartner预测,超过40%的代理式AI项目将在2027年前因成本失控和风险管控不足而被叫停。结构性的讽刺在于,那些自我定位为应对这一风险之解决方案的网关产品,若其定价模型随代理数量同步扩展,本身可能反而成为一层不透明的成本。
第三个问题关于控制的一致性:身份验证是否针对每一个工具和MCP协议的每一个方法都强制执行,还是仅覆盖最显而易见的那些。CyCognito系统性地记录了一个结论:生产环境中最常见的故障,不是完全缺乏控制措施,而是现有控制措施的执行不一致。在CyCognito看来,一个代理若拥有对暴露在外的MCP服务器的未经身份验证的访问权限,实际上就是一份公开的企业业务操作目录。
然而,有第四个盲区是上述三个问题均未能直接触及的,而从组织设计的视角来看,它恰恰是最值得关注的。代理网关将治理集中化,但并不保证这种治理是智识上健全的。一个集中的控制点,可能以更高的速度和更大的覆盖范围,将设计原始策略的团队所固有的偏见与盲区复制并放大。没有多元视角参与策略设计的集中式治理,不是真正的治理,而是以更好的覆盖率包装起来的同质性。
控制平面同时也是权力平面
分析师通常援引的历史类比,是微服务时代的服务网格。当Envoy和Istio作为服务间流量的控制平面横空出世时,它们改变了企业网络架构,并定义了谁能够观测和治理各组件之间的通信。这一类比在技术层面相当精准,但它忽略了一个维度——而这个维度在代理式AI的情境下尤为重要。
微服务传递的是数据和业务逻辑。AI代理则是在作出决策、执行动作,并在生产系统中产生后果,无论是否有人类的直接监督。如今正在构建的控制平面,管理的不仅仅是流量:它定义了一个组织的AI能够做什么、以何种权限、面向哪些系统、在何种审查条件下运作。这已不只是一个基础设施决策。
当Nutanix、Arcade或Manufact谈及按工具过滤、集中身份验证和审计日志时,他们描述的是技术机制。但运行在这一机制之上的策略——谁可以调用什么、调用范围多大、在何种覆盖条件下——是一种组织决策,而在大多数企业中,这一决策至今仍在没有显式治理框架的情况下作出,由那些在部署时拥有系统技术访问权限的团队随机决定。
代理网关是使代理式AI集中治理成为可能的基础设施。如果各组织将其作为纯粹的技术解决方案采纳,而不审视究竟是谁在设计其运行的策略,那么他们只不过是为在安装之前就已存在的盲区,构建了一套效率极高的自动化放大机制。
这个市场正在构建的权力架构既精密又成熟得迅速。尚未解决的问题是:那些采纳它的组织,能否以足够多元的视角来设计自己的治理策略,从而让这种控制真正超越仅仅是为既有偏见加速的层面。









