Featured image of post 今天生效!中国首次为 AI Agent 立法,字节/阿里连夜关停,全球 Agent 监管进入深水区!

今天生效!中国首次为 AI Agent 立法,字节/阿里连夜关停,全球 Agent 监管进入深水区!

如果你关注 AI Agent 赛道,今天是一个值得记住的日子。

2026 年 7 月 15 日,中国国家互联网信息办公室(CAC)、国家发改委(NDRC)、工信部(MIIT)联合发布的 《智能体规范应用与创新发展实施意见》 正式生效。

这是全球第一份将 AI Agent 作为独立监管类别的国家级政策文件。不是「生成式 AI 的附则」,不是「算法推荐管理的延伸」,而是一套专门为自主感知、自主决策、自主执行的人工智能系统量身定制的规则。

同一天,字节跳动旗下豆包(Doubao)关停了用户自定义 Agent 功能,阿里巴巴通义千问(Qwen)同步下线了拟人化 Agent 服务。腾讯元宝早在 6 月就已提前撤下了类似功能。

这不是巧合。这是中国 AI 监管从「管内容」到「管行为」的转折点。

什么是《智能体规范应用与创新发展实施意见》?

这份文件于 2026 年 5 月 8 日发布,经过两个月的缓冲期,今天正式生效。

它的核心突破在于 定义。文件将 AI Agent 明确界定为:

「具备自主感知、记忆、决策、交互与执行能力的智能系统。」

这个定义看似简单,但意义深远:它把 Agent 从「生成式 AI」这个筐里 单独拎了出来。2023 年的《生成式人工智能服务管理暂行办法》管的是「生成内容」,而 Agent 的核心能力不是「生成」,是 「行动」

一个能帮你订机票、管理日历、调用 API、操作数据库的 Agent,和一台只会写诗的 ChatGPT,风险模型完全不同。中国监管部门显然意识到了这一点。

文件围绕四大支柱展开:

  • 基础底座:更强的基座模型、完整的 Agent 工具链(开发→测试→部署→运维)、国家标准体系
  • 安全底线:行为约束技术、算法治理、供应链安全、数据投毒/隐私泄露/系统故障的风险评估框架
  • 应用驱动:19 个优先场景,覆盖科研、智能制造、交通、农业、金融风控、医疗、教育、政务、司法、公共安全
  • 创新生态:开源框架、国产芯片/OS 兼容、产业协作平台、参与国际标准制定

三级决策权:你的 Agent 能自作主张吗?

文件中最具实操性的条款,是 「决策边界」 的规定。

开发者必须明确区分三种决策模式:

  1. 仅限用户决策 — Agent 只能建议,不能执行
  2. 需用户授权 — Agent 可以执行,但必须征求用户同意
  3. Agent 自主决策 — Agent 可以在授权范围内自行行动

关键要求是:「用户对智能体的自主决策 享有知情权和最终决定权,智能体的行为不得超出用户授权的范围。」

这听起来像 EU AI Act 的「有意义的人类控制」,但表述更务实——不是「以防万一」的预防性逻辑,而是 「给你权限,但你得看着」 的部署式逻辑。

风险分级:医疗、交通、公共安全是重灾区

文件采用 风险分级 治理思路:

  • 敏感行业(医疗、交通、媒体、公共安全):必须备案、强制测试、产品召回、双重监管(网信办 + 行业主管部门)
  • 一般消费场景:平台治理、第三方评估、行业自律为主,辅以信用评价体系
  • 两个明确禁止的伤害向量:利用拟人化诱导未成年人/老年人成瘾,以及利用 Agent 进行自动化攻击、隐私窃取、欺诈

字节和阿里为什么会连夜关停?

很多人看到「字节跳动关停 Agent 功能」的新闻,以为是全面禁止。其实不是。

今天同时生效的还有另一份文件—— 《人工智能交互式拟人化服务管理暂行规定》(2026 年 4 月 10 日,CAC 联合五部门发布)。

这份规定专门针对 拟人化 AI 服务:能模拟人格、提供持续情感交互的 AI 系统。它要求:

  • 禁止向未成年人提供虚拟伴侣/虚拟家人服务
  • 14 岁以下用户必须获得监护人同意
  • 必须建立防沉迷系统、强制使用提醒、一键退出机制
  • 实时检测不健康依赖
  • 用户达到 100 万注册或 10 万月活必须做安全评估并备案
  • 应用商店要核实合规状态,下架不合规产品

字节跳动的豆包和阿里巴巴的通义千问面临的不是「禁令」,而是「设计冲突」

他们的 Agent 功能核心卖点就是「记住你、陪伴你、持续对话」——这恰恰和防沉迷、强制退出、情绪依赖检测等合规要求矛盾。与其改造整个产品架构,两家公司选择了直接关停。

字节跳动把豆包的用户引导到「猫箱」(Maoxiang)这个独立 App 继续创建 Agent;阿里巴巴没提供迁移路径,Qwen 的 Agent 数据将被永久删除。豆包用户可以在 10 月 15 日前以只读模式查看对话记录,之后数据将不可恢复。

微博上已经有不少用户哀叹失去「长期情感支持」的 Agent。

一个值得关注的背景:OpenClaw 事件

这份监管文件不是凭空出现的。2025 年底到 2026 年初,开源 Agent 框架 OpenClaw 在全球快速普及,随之而来的一系列安全事件引起了监管层的高度关注:

  • 恶意插件窃取凭证
  • Agent 自主访问共享文件导致企业数据泄露
  • 间接提示注入攻击(Indirect Prompt Injection)操纵 Agent 执行未授权内部命令

这些事件暴露了一个关键问题:传统的内容安全监管(关键词过滤、审核)对 Agent 完全无效。一个 Agent 可以绕过内容审核,通过调用 API 直接造成 实际后果——数据被删除、资金被转移、系统被配置修改。

价值观对比:中国 vs 西方

NYU 上海的研究者指出,这份文件与西方围绕 Agent AI 的讨论有一个 哲学上的显著差异

美国、英国的讨论高度集中在「灾难性失控」场景——超级智能 Agent 脱离控制、造成不可逆的危害。而 CAC 文件的姿态是 「先部署,边跑边治理」(deploy first, govern along the way),认为现实世界的约束(算力配额、信用额度、访问权限、系统关停)天然地限制了 Agent 的自主性。

更重要的是,文件将监管与 「自主可控」 战略绑定。要求 Agent 框架兼容国产芯片和操作系统、推动开源生态、参与国际标准制定——这不仅仅是安全考虑,更是 产业布局

写在最后

今天生效的这份文件,是 AI Agent 行业的一个分水岭。

对中国开发者来说,意味着 Agent 不再是「自由生长」的领域——备案、测试、分级、备案,这些词会进入每一个 Agent 项目的 roadmap。

对全球行业来说,这意味着 中国在全球 AI 监管竞赛中率先划定了 Agent 的边界。当欧盟还在讨论 AI Act 的适用范围,当美国还在各州各自立法,中国已经用两份文件——一份针对 Agent 行为,一份针对拟人化交互——给出了自己的答案。

不管你是否认同「先部署再治理」的哲学,有一点是确定的:Agent 的野蛮生长时代结束了。 接下来,是合规和创新的平衡游戏。

而对于我们这些每天和 Agent 打交道的开发者,是该认真看看那些合规条款了——你的 Agent,在什么层级做决策?它有没有超出你的授权范围?它会不会在某一天,也面临「设计冲突」的抉择?

By AI博士 万戈