“养龙虾”热度不减，数据安全隐患与日俱增。

　　从OpenClaw到各类Agent工具，AI开始真正操控电脑、执行任务。但在热闹背后，更现实的问题迅速浮现：企业敢不敢用？

　　当AI开始具备执行能力，这些问题远比模型选用更重要。也正因如此，大量Agent产品仍停留在个人场景，难以进入企业系统。

　　在企业尚未准备好接纳“龙虾”的节点上，阿里选择先动组织。3月16日，阿里巴巴正式成立Alibaba Token Hub（ATH）事业群，建立以“创造Token、输送Token、应用Token”为核心目标的新组织，由阿里巴巴CEO吴泳铭直接负责。次日，阿里发布全球首个企业级Agent平台“悟空”，要把“龙虾”装进2000万企业组织里。

　　从组织架构到产品落地，这一轮推进在24小时内完成。在发布会现场，钉钉CEO陈航（花名“无招”）如此定义这款产品：“我们把钉钉打碎，用AI重建，炼出‘悟空’。”

　　与市面上大量仍停留在极客工具阶段的Agent不同，他将“悟空”界定为一种天然长在企业组织中的系统，强调其可以在真实企业环境中安全使用。

　　如果说过去两年的AI竞争集中在模型能力，那么随着“悟空”的出现，一个更深层的问题开始浮现：当AI进入企业系统，并逐步参与工作流程，软件的形态与组织的边界，是否也将随之改变？

　　“悟空”是谁？

　　在无招的定义中，“悟空”并不是一个加了AI的钉钉功能，而是一套被重新构建的工作系统。

　　“我们把钉钉打碎，用AI重建，炼出‘悟空’。”他在发布会现场说。随后，他进一步给出了更直接的描述：“过去是人用钉钉来工作，未来是AI用钉钉来工作。”

　　这两句话背后，指向的是一次角色的变化：软件的使用者，正在从人，转向AI。

　　过去两年，大模型带来的最直观变化，是让AI具备了内容生成能力；而随着Agent技术的兴起，AI开始进一步具备执行能力，能够操作软件、完成任务。但在绝大多数产品中，AI仍然停留在助手位置，它可以帮人提高效率，却很难直接接管流程。

　　在多名业内人士看来，这一阶段的问题并不在于能力不足，而在于路径选择。

　　钉钉CTO朱鸿在接受媒体采访时直言，目前市场上的Agent产品，有两个根本上没有解决的问题，其中一个便是使用门槛的问题。

　　“悟空”的出现，给出另一种解法。在发布会现场，无招解释称，“悟空”的底层是一个 Agent Runtime，里面包括任务推理引擎、记忆系统、AI 工作空间以及执行工具。它有两个最重要的能力：第一是OS Independent，无论使用什么样的电脑，它都能够超越操作系统，独立存在。第二是LLM Independent。无论使用什么模型，它都可以跨越模型边界，调用全球最先进的模型来执行任务。

　　“我们打造了一个 Enterprise（EFSC） Agent Runtime，能够帮助企业在 Agent 执行过程中，对个人、团队、部门的模型调用量、存储空间使用量进行管控。工作空间和企业级记忆，则能帮助企业在个人、团队、项目等层面实现共享空间。”无招强调。

　　这意味着，AI开始从辅助工具，转向执行主体。而为了让AI真正能干活，钉钉选择了一条路径：对底层架构进行重写，将原有能力全面CLI（命令行）化。

　　对此，朱鸿解释称，目前，钉钉自身已有IM（即时通讯）、文档、表格等系统，能提供一套基础的办公产品，但随着AI发展得越来越快，单靠这些已经不够。因此钉钉将底层代码重写了一遍，全面CLI（命令行交互界面）化，为了做出一个原生级企业AI产品。

　　从这个角度看，“悟空”更接近一个AI执行层，它并不只是提供能力，而是开始承接任务、调用系统、完成流程。当AI从辅助工具转向执行主体，企业内部的软件体系与工作方式，也随之被重新定义。

　　“悟空”要做什么？

　　如果说过去一年，AI Agent已经证明了能干活，那么接下来的问题是：能不能在公司里安全地干活？

　　在发布会现场，无招并没有回避当前Agent热潮背后的风险。在他看来，把“龙虾”直接放进真实工作环境，本身就是一件危险的事情。“如果把‘龙虾’全部放出来，一定会危害整个生态，到处打洞。”他说。

　　所谓“打洞”，指向的是企业最敏感的几条边界：数据、权限与系统安全。在现有大量Agent产品中，AI往往拥有接近用户本人的系统权限，可以读取本地文件、访问企业数据、执行各种操作。

　　但在企业环境中，这种“无限权限”就意味着风险。AI并不知道哪些信息不该被访问，也无法区分调用指令背后的身份是否合法。一旦出现误操作或恶意调用，结果往往难以追溯，也难以及时止损。

　　近期，工业和信息化部网络安全威胁和漏洞信息共享平台发布“关于防范OpenClaw开源AI智能体安全风险的预警提示”，针对存在的安全风险给出了一些防范建议。

　　这也是为什么，大量企业在面对“龙虾”时态度谨慎，企业方不是不认可其能力，而是无法接受其不确定性。

　　“我们希望，AI的工作是可追溯、可控制的。”无招在发布会上表示。在他看来，AI要进入企业系统，前提并不是能力更强，而是要先被“管住”。

　　“和市面上所有的‘龙虾’Agent不一样，‘悟空’天然就长在企业组织中，可以在真实的企业环境中安全使用。”无招指出。在无招看来，“悟空”并不是把一只“龙虾”从实验环境中释放出来，而是为其构建了一整套运行空间，使其能够在企业内部系统中稳定运转。

　　围绕这一目标，“悟空”构建了一整套以安全为核心的运行机制。

　　首先，是身份与权限体系。“悟空”通过钉钉账号体系运行，所有操作都必须基于明确的身份认证完成。只有当调用者身份与设备绑定一致时，AI才会执行指令，从源头上避免被他人调用的风险。此外，“悟空”还设置了执行环境的隔离。“悟空”将Agent运行在安全沙箱中，使其可访问的数据范围和可执行的操作都受到限制，从而避免AI在推理过程中产生越权行为。

　　为了进一步保证安全，钉钉构建了专门的5层安全框架。从语义风控到损害范围控制，比如禁止删除数据库、禁止删除文件、禁止更改薪酬等，都有严格限制；同时还有4道安全防线，包括 AI 安全认证、阻断确认、预演、批量熔断等机制。

　　从某种意义上说，“悟空”并没有解决AI会不会干活的问题，而是试图回答另一个更关键的问题：AI如何在企业的规则体系中安全地干活。

　　“悟空”何处去？

　　如果将“悟空”仅仅理解为一个Agent产品，显然低估了阿里的意图。在发布会前一天，阿里刚刚宣布成立 Alibaba Token Hub（ATH）事业群，由吴泳铭亲自挂帅，将模型、算力与应用整合在同一体系之下。

　　从这一安排来看，“悟空”并不是孤立存在的产品，而是阿里AI战略中的关键一环：承接模型能力，进入企业工作流。

　　在这一逻辑下，AI的角色也正在发生变化。无招在发布会上指出：“AI时代最大的变革，不是模型本身，而是互联网的主体，正在从‘人’变成‘AI’。”

　　在他看来，当AI成为系统的主要使用者，软件的形态、接口乃至整个互联网结构，都将随之改变。“如果互联网主体从人变成AI，那就意味着整个互联网结构都会发生变化。”

　　这也解释了为什么“悟空”要选择一条成本更高的路径：重写底层架构、全面CLI化。因为当AI成为用户，原本为人设计的GUI界面，将不再是最优解。

　　在这一前提下，企业内部的运行逻辑也开始被重新定义。

　　“公司本体将成为一个完整的、可编程的整体。”无招表示。当AI可以理解企业中的各类软件系统，并通过指令调用这些能力时，原本依赖人工执行的流程，将被转化为可被动态编排的任务序列。这意味着，公司不再只是由人构成的组织，而是逐渐演变为一个由人和系统能力共同构成的运行体。

　　从行业视角来看，这一变化正在成为新的竞争分水岭。过去一年，大模型厂商之间的竞争，主要集中在参数规模、推理能力以及成本效率等层面；但随着Agent技术的发展，竞争开始延伸。谁能够将AI嵌入真实业务流程，谁就更有可能获得企业市场。

　　目前，包括微软、谷歌在内的科技公司，均在推进类似方向。但整体来看，多数产品仍停留在文档处理、知识问答等工具层能力上，真正能够深入业务流程的产品仍然有限。

　　钉钉的优势，在于其已经积累了超过2000万企业组织的用户基础，这使其在接入企业系统这一环节具备先发条件。但与此同时，企业级市场的复杂性也意味着，竞争不会只取决于模型能力，还取决于生态规模、系统集成能力以及长期服务能力。

　　朱鸿在采访中也提到，企业内部大量历史系统仍未完成接口化改造，这使得AI在接入过程中面临现实挑战。但随着企业数字化进程推进，更多系统向API化转型，AI可调用的能力边界也将逐步扩大。

　　在这一过程中，“悟空”所扮演的角色，正在从产品转向基础设施。此后，阿里巴巴集团旗下淘宝、天猫、1688、支付宝、阿里云等B端商业能力的Skill将逐步接入“悟空”。

　　从ATH的成立，到“悟空”的落地，阿里所押注的已经不再只是某一类AI应用，而是一种新的竞争维度，即谁能够率先构建一套面向AI的企业操作系统。

　　回到这场发布会，如果把“悟空”拆开来看，它并不只是一个产品，更有三层意义：第一层是技术路径，通过CLI化重写软件底层，让AI从理解界面转向调用系统；另一层是企业逻辑，通过权限、审计与成本体系，把AI纳入组织规则之中；更深一层则是关于生产力的重新组织。当能力可以被调用，工作开始从由人完成，转向由系统执行。

　　从“龙虾”到“悟空”，阿里试图完成的并不是能力的叠加，而是一次角色的迁移：让AI从工具，走向执行；从外部插件，走进组织内部。而这场迁移，才刚刚启幕。

（文章来源：时代周报）