过去一年，AI Agent 的消息越来越密集。

OpenAI 推出了能操作网页的 Operator，底层是 Computer-Using Agent，可以看屏幕、点按钮、填表单、执行网页任务。Google DeepMind 推出 Project Mariner，强调让 Agent 在浏览器虚拟机里同时处理研究、计划、数据录入等任务。Anthropic 也不断强化 Claude 的 computer use 能力，让模型能通过截图理解界面，再控制鼠标和键盘完成任务。(OpenAI)

于是很多人开始产生一种感觉：

是不是 AI 已经可以像真人员工一样操作电脑了？

答案是：已经很强，但还没到可以放心托管复杂工作的阶段。

更准确地说，今天的 Agent 已经能做很多“助理型任务”，但它还不是一个稳定可靠的“数字员工”。

一、Agent 的确已经跨过了一个重要门槛

以前的大模型主要是在聊天框里回答问题。

你问，它答。
你让它写，它写。
你让它分析，它分析。

但 Agent 不一样。

Agent 的关键变化是：它不只是说，它还可以动手。

它可以打开网页，搜索资料，点击按钮，填写表格，下载文件，整理内容，调用工具，甚至在某些环境里操作完整电脑系统。

这意味着 AI 从“文字助手”，开始向“任务执行者”靠近。

比如你让它：

帮我找几家酒店，比较价格和位置，整理成表格。

过去的 AI 只能告诉你“应该怎么找”。
现在的 Agent 可以真的打开网页、输入条件、筛选结果、读页面、做比较。

这一步很重要。

因为它让 AI 第一次有了类似“操作界面”的能力。

二、但“能操作”不等于“能稳定完成”

问题也出在这里。

很多人看到 Agent 演示，会觉得它已经接近真人员工了。

但演示里的任务，通常比较干净：

目标明确，页面正常，网络顺畅，按钮清楚，没有异常弹窗，也没有复杂业务规则。

真实工作不是这样。

真实工作经常是：

账号突然过期；
页面加载失败；
表格字段缺失；
弹窗挡住按钮；
按钮名字改了；
权限不够；
数据有冲突；
做到一半发现前面选错了；
最后一步还涉及付款、删除、审批、发布。

人类遇到这些情况，会自然停下来判断：

这一步不对。
这个页面和我预期不一样。
这里不能继续点。
我得先问一下负责人。

但 Agent 经常会继续往下猜。

它不是不会操作，而是出错后的自我纠偏能力还不够稳定。

三、为什么很多新闻说 Agent 很强，但基准测试又没那么夸张？

这里要看任务类型。

OpenAI 的 Computer-Using Agent 在网页任务上表现很好，比如 WebVoyager 达到 87%，但在 OSWorld 这种完整电脑操作 benchmark 上，官方给出的成功率是 38.1%。OSWorld 测的是在 Ubuntu、Windows、macOS 这类完整系统中完成真实软件任务，比单纯网页操作难得多。(OpenAI)

Anthropic 后来的模型进步很快。Claude Sonnet 4.6 的系统卡提到，OSWorld-Verified 是一个评估真实电脑任务的多模态 benchmark，Claude Sonnet 4.6 在这个测试上达到 72.5%。这已经非常强，但仍然不是“复杂电脑工作 90% 都能稳定完成”。(Anthropic)

Google 的 Project Mariner 也说明了一个趋势：浏览器内任务正在快速变强。Google 对外介绍它可以在虚拟机里的浏览器中执行研究、计划、数据录入等任务，还可以同时处理多个任务。(Google DeepMind)

所以现在的真实情况是：

网页 Agent 很强。
办公 Agent 在变强。
代码 Agent 很有用。
完整电脑 Agent 还不够稳。
跨软件、长流程、强业务约束的 Agent 仍然容易翻车。

这不是唱衰，而是把边界说清楚。

四、Agent 最容易成功的任务，有几个共同点

今天的 Agent 最适合做这类工作：

第一，目标清楚。

比如：

把这 20 条客户反馈整理成表格。
打开后台，查昨天新增用户数。
根据这份文章生成 5 条小红书标题。
把这些 Excel 数据按地区汇总。

目标越清楚，Agent 越容易成功。

第二，步骤不要太长。

如果一个任务只有 5 步，Agent 成功率可能很高。
如果一个任务有 50 步，每一步都有 2% 的出错概率，最后整体成功率就会明显下降。

这就是长流程的麻烦。

单步很聪明，不代表全程很稳。

第三，环境要稳定。

网页结构固定，按钮位置稳定，字段含义清楚，权限正常，数据格式统一。

这种场景里，Agent 很容易发挥。

但如果页面经常变、弹窗很多、字段不规范、异常情况多，它就会变得不可靠。

第四，允许人类确认。

比如 AI 先完成草稿、表格、筛选、报告，然后人类检查后提交。

这种模式最稳。

真正危险的是：

AI 自动判断，自动点击，自动提交，自动删除，自动付款。

这就不适合直接放权。

五、Agent 最容易失败的任务，也有几个共同点

第一种是长链路任务。

比如：

登录系统 A 下载数据，清洗后上传系统 B，再进入系统 C 生成报告，最后发邮件通知客户。

这类任务每一步都不难，但连起来很容易出错。

第二种是强业务规则任务。

比如财务审核、合同审批、生产系统配置、客户权限调整。

这些任务不是“能点按钮”就行，而是要理解业务后果。

第三种是不可逆操作。

比如删除数据、付款、发正式通知、提交审批、修改线上配置。

这些任务不能让 Agent 完全自动执行。

第四种是需要长期记忆和持续跟踪的任务。

比如连续几天观察一个项目状态，根据变化调整策略。现在的 Agent 虽然可以接上下文，但长期稳定性、状态管理和责任边界还不成熟。

第五种是真实物理世界任务。

比如机器人、自动驾驶、工厂巡检。这里不只是网页点击，而是要理解空间、动作、物理规律和风险。纯语言模型并不天然擅长这些。

六、为什么 Agent 看起来像“会做事”，但本质还不是员工？

因为它缺少三个东西。

第一，责任感。

员工知道自己做错会造成后果，所以会谨慎，会停下来确认。

Agent 没有真正的责任感。它只是在根据目标继续执行。

第二，业务边界感。

人类知道哪些按钮不能随便点，哪些数据不能随便改，哪些事情必须请示。

Agent 需要被明确写进规则里。你不写，它可能就不知道。

第三，自我怀疑能力。

优秀员工会说：

这里我不确定，我先不动。

但 Agent 很容易给出一个看似合理的动作。

这也是 Agent 当前最大的风险之一：

它不是完全不会做，而是有时错得很自然。

这比“明显不会做”更危险。

七、所以现阶段应该如何正确理解 Agent？

我觉得可以用一句话概括：

Agent 不是可以独立上岗的员工，而是一个执行力很强、但必须被流程约束的实习生。

它适合做：

整理资料；
处理重复操作；
生成初稿；
辅助写代码；
跑标准流程；
做信息抽取；
做初步分析；
做低风险后台操作。

它不适合直接做：

资金操作；
删除数据；
生产环境变更；
法律合同确认；
医疗诊断决定；
关键客户沟通；
无人监督的长期任务；
高风险自动决策。

换句话说：

Agent 可以帮你省掉大量手工活，但不能替你承担最终责任。

八、企业真正要做的，不是“接入 Agent”，而是“设计 Agent 工作流”

很多公司现在有一个误区：

他们以为买一个 Agent 工具，就等于有了数字员工。

这太乐观了。

真正有价值的做法，是重新设计工作流。

比如：

把任务拆成小步骤；
给每一步设置输入和输出；
明确哪些步骤可以自动执行；
哪些步骤必须人工确认；
哪些操作禁止 AI 执行；
哪些结果必须二次校验；
出错以后如何回滚；
日志如何记录；
责任如何划分。

这才是 Agent 落地的关键。

未来的公司，不一定是让 AI 完全替代员工，而是让员工变成“流程设计者”和“结果审核者”。

AI 做重复劳动，人类做判断、约束和负责。

九、今天的 Agent，最像什么？

它不像一个成熟员工。

它更像一个开了导航的新司机。

导航可以告诉它怎么走。
地图可以显示路线。
摄像头可以看到路况。
它甚至可以自动转弯、刹车、加速。

但遇到复杂路口、突发事故、道路施工、警察指挥、地图错误时，它还需要人类接管。

所以我们不能因为它会开一段路，就以为它能独自跑完整个城市。

Agent 也是这样。

它已经能完成很多局部任务。
但从局部任务，到完整工作，中间还差着可靠性、纠错能力、业务理解和风险控制。

十、真正成熟的 Agent 时代，还差最后几块拼图

第一块是更强的环境理解能力。

它要更准确地知道屏幕上发生了什么，而不是只看见按钮和文字。

第二块是更强的规划能力。

它要能把大任务拆成小任务，还能在中途发现计划错了，重新规划。

第三块是更强的自检能力。

它要知道自己有没有真的完成，而不是“以为完成了”。

第四块是更好的工具接口。

相比让 Agent 像人一样点鼠标，很多任务更适合通过 API、数据库、脚本、工作流系统完成。Microsoft 的研究也在强调，工具调用和更可靠的执行轨迹，会明显影响计算机使用 Agent 的表现。(Microsoft)

第五块是权限和安全系统。

Agent 必须被关进笼子里：能做什么，不能做什么，做到哪一步必须停下来，都要清清楚楚。

结尾：不要神化 Agent，也不要低估 Agent

今天最危险的态度有两种。

一种是过度乐观：

Agent 已经能替代大部分白领了，直接让它全自动干活就行。

另一种是过度悲观：

它经常出错，所以没什么用。

这两种都不准确。

更真实的判断是：

Agent 已经进入可用阶段，但还没有进入完全可信阶段。

它会先吞掉大量重复、标准、低风险的电脑操作。
它会让很多人的工作方式发生变化。
它会让一个懂业务、懂流程、懂工具的人，拥有过去一个小团队的执行力。

但它还不能完全替代人的判断。

所以现阶段正确的用法不是：

让 Agent 接管工作。

而是：

让 Agent 进入流程，让人类控制边界。

未来真正厉害的人，不一定是最会点鼠标的人，而是最会设计任务、拆解流程、设置约束、审核结果的人。

Agent 的时代已经来了。

但它不是一个魔法按钮。

它是一台很强的发动机。

你可以让它跑得很快，但前提是：方向盘、刹车和安全带，仍然要握在人手里。