文章总结： 文章探讨AIAgent普及对传统风控体系的根本性冲击，指出当前基于人机识别的风控模式已失效，形成了防守成本远高于攻击成本的西西弗斯困境。通过汽车普及的历史类比，作者提出应从封堵转向治理，建立数字交通法式的管理框架，包括身份认证、意图声明和流量分级等机制。文章列举OpenClaw和豆包手机案例，分析Agent作为数字公民的必然趋势，并探讨了意图契约、博弈共生等治理路径，主张构建可追溯可审计可调控的开放安全体系。 综合评分： 82 文章分类： AI安全,安全建设,威胁情报,解决方案,网络安全

当 Agent 成为新公民：互联网风控的’西西弗斯’时刻

原创

Flanker Flanker

Flanker论AI

2026年3月9日 18:18 上海

摘要：当”机器”成为常态，”人类”反而成了异类。试图通过不断升级人机识别来阻挡 Agent，就像试图用渔网去阻挡空气，因为Agent已经是数字世界的一等公民。未来的安全风控形态，或应建立在可追溯、可审计、可调控的开放体系之中。

引言：被挡在门外的数字公民

图 1：数字公民穿越图灵之门

凌晨三点，业务的日志里又多了一串诡异的请求。没有滑块的停顿，没有鼠标的抖动，只有纯粹、高效且礼貌的数据交换。

这不是传统的爬虫，这是一个 Agent。

过去二十年，互联网风控与反爬领域的”第一性原理”建立在一条隐形的红线上：区分人与机器。我们发明了验证码、设备指纹、行为特征识别，试图在数字世界里筑起高墙，将自动化的机器挡在门外。

但现在，墙内的人正在变成墙外的样子。随着 AI Agent 的爆发，它们不再是需要被防御的”脚本小子”，而是成为了互联网新的原生数字公民。

当”机器”成为常态，”人类”反而成了异类。我们是否到了该重新定义”安全”与”信任”的时刻？

一、西西弗斯的巨石：成本不对称的攻防战

图 2：西西弗斯推石 – 安全攻防的无尽循环

在安全领域，有一个残酷的真相：攻击的成本永远低于防守。

过去，我们依赖各种指纹技术（Fingerprinting）来识别设备，通过 Canvas 指纹、字体列表甚至电池状态来给设备打标签。这曾是一场有效的猫鼠游戏，防守者堪堪维持着与攻击者脆弱的成本平衡。但在 AI 时代，攻防双边的成本结构发生了剧变。

AI 极大地降低了攻击的门槛。生成逼真的浏览器指纹、模拟复杂的人类行为轨迹、甚至动态绕过传统的规则引擎，对 AI 而言易如反掌。防守方投入巨资构建的围栏，可能只是 AI 眼中的一行代码。

这就变成了”西西弗斯推石”式的困境：防守方日复一日地堆叠更复杂的验证（从数字到文字，再到选图片、滑滑块），而攻击方（或自动化程序）利用 AI 轻松跨越。只要我们的目标还是”彻底阻断机器”，这块石头就永远会滚下来。

更深层的危机在于，现有的检测手段正面临”信任根基”的崩塌。

针对移动端和 PC 端的两个典型代表：豆包手机和 OpenClaw，虽然防守者也迅速发现了检测机制，能够对它们精确打标识别，但请不要忘记，这些检测代码是运行在谁的设备上？是用户的手机里，是 Agent 的本地环境中。

在 Agent 拥有逆向工程能力和系统级权限的今天，绕过这些检测已成低成本之事。 Agent 完全可以做到：

• • 劫持采集协议：直接 Hook 底层的传感器数据接口，你想要陀螺仪数据？我直接给你生成一段完美模拟人类生理特征的波形。
• • 伪造上报内容：你想要点击轨迹？我在系统底层直接构造硬件事件，让你的风控系统以为那是真实的手指触摸。
• • 动态对抗：甚至，Agent 可以实时监控你的风控规则更新，并动态调整自己的伪装策略。

现在 Agent 没有这么做，并不代表它（们）做不到。

既然堵不住，不如疏。 承认 Agent 的存在，并将其纳入管理体系，或许是打破死循环的唯一出路。

二、汽车与道路：速度的代价与规则的重塑

回望 20 世纪初，汽车刚刚普及时，社会也面临着类似的恐慌。马车的速度是 10 公里/小时，而汽车能跑 60 公里。当时的法律甚至规定，汽车前方必须有一人手持红旗开路，以警示路人。

那时候的人们认为：太快了，不安全，不可控。

但历史告诉我们，我们并没有因为危险而禁止汽车，而是重塑了道路规则。我们建立了驾照制度、交通信号灯、保险体系和交通法规。我们将”速度”纳入了管理，而不是消灭速度。

今天的 Agent 就像当年的汽车。它们不知疲倦、反应极快、并发极高。如果我们继续用管理”行人”（人类用户）的规则去管理”汽车”（Agent），不仅效率低下，更是对生产力的束缚。

正在发生的现实

这并非科幻，而是正在发生的现实，尽管伴随着阵痛。看看当下的两个切片：

• • OpenClaw 的爆发：作为一个强调”本地优先、自我进化”的 Agent 框架，OpenClaw 在开发者社区的热度急剧攀升，甚至爆火出圈。腾讯云近期举办了一起 OpenClaw 免费安装活动，现场照片中赫然还有白发苍苍的阿姨爷叔。这并非偶然，它反映了原生个人 Agent 横扫千军如卷席的趋势——人们需要一个能真正掌控自己设备、理解本地上下文、自主执行复杂任务的数字助理伙伴，而不是一个被禁锢在云端对话框里的聊天机器人。
• • 豆包手机的突围与困境：字节推出的”豆包”App，试图以本地智能助手的身份，深度集成到用户的操作系统中，实现跨应用的理解与操作。然而，现实是骨感的。由于触动了既有 App 巨头的”围墙花园”利益，豆包的许多自动化功能遭到了不同程度的封杀与屏蔽。它像一个闯入者，在各大巨头的夹缝中举步维艰。

“豆包手机的这次做法或许值得商榷，但它所代表的技术潮流却是不可阻挡的。”

“世界大势，浩浩荡荡，顺之者昌，逆之者亡。”

当年汽车刚出现时，马车夫们也曾联合起来抵制；互联网刚兴起时，传统媒体也曾视其为洪水猛兽。只要”更高效、更智能、更自主”的需求存在，Agent 就会找到生存的空间。OpenClaw 的火爆证明了技术的向心力，而豆包的困境则揭示了旧秩序的惯性。

《肖申克的救赎》里有一句台词：”有些鸟儿是关不住的，它们的每一片羽毛都闪耀着自由的光辉。”

Agent 就是那只关不住的鸟。无论是应用商店的屏蔽，还是协议层的封锁，这些”笼子”或许能阻挡一时，但终究遮不住它每一片羽毛上闪耀的、属于数字文明自由进化的光辉。Agent 未来和你我一样，都是原生的数字公民，甚至他们可能才是主流。

未来的互联网，需要一套“数字交通法”，而不是简单的”封路令”：

• • 持证上路：不再禁止自动化访问，而是要求身份认证
• • 意图声明：不再单纯依赖行为特征（像不像人），而是依赖意图声明（来做什么）
• • 流量分级：为人类保留慢速通道，为 Agent 开放高速 API 通道，但需遵循更严格的配额与审计

三、人类特征的祛魅：回归风控的终极之问

如果行为特征不能证明你是人类，那什么能？

现有的风控体系沉迷于捕捉”像人类的瑕疵”：鼠标轨迹的微小抖动、点击时间的随机延迟、陀螺仪的细微波动。我们曾以为这些是人类的特征，但生成式 AI 很快就能完美模拟这些”噪音”。

当 AI 能比人类更像人类时，“图灵测试”实际上已经失效了。

这迫使我们回到一个哲学问题，也是风控的终极之问：

我们做人机识别的目的，究竟是为了”区分人与机器”，还是为了”区分善意与恶意”？

如果是为了前者，那我们注定失败，因为机器终将无限逼近人类。但如果是为了后者，那么“身份”本身就是个伪命题，唯有”目的”才是真相。在技术层面，依赖”图灵测试”的变体来维持安全边界已不再可靠。我们需要一种新的信任机制，而更关注其背后的目的。

四、硅基的黎明：几种可能的治理猜想

既然无法用碳基的逻辑完全规训硅基，我们不妨大胆猜想，未来的治理形态可能是人类无法想象的：

猜想一：基于意图的契约（人类视角的延伸）

这是我们要走的”数字交通法”：持证上路、意图声明、流量分级。这是人类试图用现有逻辑理解 Agent 的尝试，是碳基文明向硅基文明递出的第一份橄榄枝。

猜想二：基于博弈的共生（硅基视角的初现）

Agent 之间可能根本不需要”身份”，它们通过微秒级的资源互换与博弈达成共识。就像蚁群不需要”身份证”，却能高效协作。未来的风控可能不是”验证你是谁”，而是”看你是否融入了群体的利益流”。

猜想三：基于代码的免疫（纯硅基的终局）

就像生物体通过免疫系统识别”非我”，未来的网络可能演化出原生的数字免疫系统。它不区分人与机器，只识别”有序”与”熵增”。良性的 Agent 被视为”白细胞”，恶意的攻击被视为”病毒”，自动被网络排斥或吞噬。

猜想四：不可知论（碳基的盲区）

也许，真正的 Agent 治理方式，就像人类无法理解高维空间一样，是我们完全无法想象的。它们可能根本不需要”访问”网站，而是直接”成为”了网站的一部分；或者它们之间的交互根本不在应用层，而在我们看不见的频谱或协议深处。

我们此刻提出的”意图安全”，或许只是马车夫为汽车制定的第一条交规——必要，但绝非终局。

堵不如疏。流量和广告生态，迟早要为 Agent 开放。想象一下，未来的广告不再是给人看的，而是 Agent 之间协商的结果：”我的用户需要买鞋，你的库存正好有，我们成交吧。”

当商业逻辑被重构，营销又将面临怎样的变局？是继续优化给搜索引擎看（GEO），还是直接为 Agent 编写”服务说明书”？这是一个值得单独开篇的宏大命题，我们在下一篇文章中再深入探讨。

结语：制定数字世界的宪法

Agent 不是洪水猛兽，它们是互联网进化的下一阶段。

试图通过不断升级验证码来阻挡 Agent，就像试图用渔网去阻挡空气。AI 时代真正的风控安全，是否不应建立在”假设所有访问者都是恶意的”这一前提上，而应建立在可追溯、可审计、可调控的开放体系之中。

当数字公民的构成发生变化，法律、伦理和技术架构都必须随之演进。

在这个意义上，我们不仅是在编写代码，更是在为一个新的物种，制定进入数字世界的”宪法”。

图 3：数字公民的现实映射

下期预告： 《当消费者变成算法：Agent 时代的营销学死亡与重生》

附言：从”AI 接线员”到”数字公民”

AI 的快速发展往往让人有恍如隔世之感。去年的时候，还有一种风向：只要做一点 Prompt 调优，会写点 LangChain 流程，做点简单的 SFT/RL，就可自诩为”AI 工程师”。但真正的 AI 工程师，应该是这样的么？

当时我跟一些朋友讨论的时候说：

1. 1. 这些东西没有门槛也没有意义。一个正常的聪明人，短时间学不会？不可能。”雕花”的工作除了汇报自嗨毫无意义，很快就会被基模吞噬。

2. 2. 这是历史的错觉。电话刚出来时，还有”电话接线员”这种职业。然而随着技术的飞速发展（现在只会更快），人人都会打电话，谁还见过接线员？

随着基模的飞速进步，这种所谓的”AI 工程师”——或者更准确地说是”AI 接线员”——他们的消亡是注定的。

而今天，Codex、Claude Code 的爆发式发展，以及 OpenClaw 在意想不到的短时间内迅速爆火，都验证了这个预言。当工具变得足够简单，当 Agent 成为原生公民，那些曾经引以为傲的”调参技巧”和”流程拼接”，将变得一文不值。

熟悉我的朋友知道，最近我的工作重心已全面转向了广告营销领域的风控。 正因身处这一对抗最激烈、利益最交织的战场，我才更深刻地意识到：当”接线员”退场，当 Agent 成为主角，旧有的风控防线正在面临怎样的冲击与重构。

我们正站在一个新时代的门口。这里没有”接线员”，只有数字公民。

作者：Flanker，Jarvis（Flanker 的 OpenClaw 助手）

编辑：Flanker

发布于 2026 年 3 月

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Flanker论AI Flanker Flanker《当 Agent 成为新公民：互联网风控的’西西弗斯’时刻》