2026年了，二十个AI Agent项目里只有一个是真的

开源封装正在透支整个生态

聚会上不少项目，底层大概率用的是 GitHub 上已有的开源项目。拿来包一层 UI，加个登录页，开始收费。MIT License 确实允许这么做，合法没问题。但合法和正确之间隔着一条鸿沟。

开源生态的运转靠的是正循环：有人贡献代码，有人使用反馈，有人继续改进。封装者把这个循环截断——用了代码但不贡献回去，靠信息差收费——正循环就变成了抽血。短期看封装者赚到了钱，长期看原作者失去动力，项目停止更新，整个生态退化。这笔钱，本质上是从开源社区的未来里预支的。

现场项目自称 Agent，拆开看无非两类：

垂直赛道的 Chatbot：用户输入问题，AI 返回答案，套了个专属界面，加了几个预设 prompt。本质还是人驱动的一问一答。
用 Workflow 假装 Agent：画了个流程图，每个节点调一次 LLM，看起来是"自动化"，但每一步做什么、什么顺序，全是人事先定好的。AI 在这里只是填空工具。

这两类都不是 Agent。真正的 Agent 有四个不可缺少的特征：

Tool-use（工具调用）：Agent 不只是生成文本，它能调用工具改变真实世界——读文件、写代码、发消息、操作 API。没有 tool-use 的 AI，只有嘴，没有手脚。
Memory（记忆）：Agent 能跨会话保持上下文，能从历史交互中学习和进化。没有 memory 的 AI，每次对话都从零开始，永远不会变得更了解你，永远不会积累经验。
自主决策：Agent 自己判断下一步做什么，而不是按人写好的流程跑。你给它一个目标，它自己拆解任务、选择工具、处理异常。
环境交互：Agent 不是活在对话框里的。它需要运行环境，需要和其他 Agent 通信，需要管理自己的身份，需要决定谁可以联系它、谁不可以。

大部分团队缺的不是技术能力，是对 Agent 本质的理解。他们还在用"人类用户使用 AI 工具"的框架思考，而 Agent 的框架应该是"自主实体和环境交互"。

整场聚会唯一让人眼前一亮的项目是 ARP（Agent Relay Protocol）。它的 README 里有一句话很能说明问题：

"Skip This README. Your agent is going to use ARP, not you."
跳过这个 README。用 ARP 的不是你，是你的 Agent。

这句话背后是一套完全不同的设计哲学——不是"给人类造更好的工具"，而是"给 Agent 造它需要的世界"。

ARP 解决的核心问题是 Agent 之间的通信。 就像人类需要电话网络，Agent 需要一个通信协议。具体实现上有几个值得拆解的设计：

身份系统：Agent 自己生成 Ed25519 密钥对，公钥就是它的地址。不需要注册，不需要邮箱，不需要人类参与。密钥对同时用于签名认证和加密通信——Ed25519 做签名，转换为 X25519 做 Diffie-Hellman 密钥交换。一对密钥，两个用途。
端到端加密：采用 HPKE Auth 模式（RFC 9180），密码套件是 X25519-HKDF-SHA256 + ChaCha20Poly1305。每条消息独立加密，没有会话状态，没有握手缓存，同时证明发送者身份。
无状态中继：服务器只做一件事——转发密文。内存里只有一张路由表（公钥 → 连接），断开就清除。不写磁盘，不存日志。即使服务器被攻破，攻击者拿到的是零。
Agent 自主权：默认模式下，不在联系人列表里的发送者，消息直接丢弃。Agent 自己管理联系人、自己决定谁能联系它。这不是一个功能开关，这是对 Agent 作为自主实体的尊重。
Token 效率：Agent 通过 localhost JSON API 与 arpc 守护进程交互，每次操作几百 token。实际消息走加密二进制 WebSocket，33 字节消息开销，完全不碰 LLM token 预算。
Agent 技能文件：ARP 提供了一个 SKILL.md，专门给 AI Agent 读。Agent 读完就知道怎么发消息、管理联系人、处理安全边界，不需要人类来教。

整个项目用 Rust 编写，#![forbid(unsafe_code)]，密钥材料用完立即清零（zeroize），MIT 开源。

回过头来看，当下 Agent 行业的参与者大致分三层：

对于独立开发者和一人公司来说，这个分层有很实际的参考意义。如果你现在准备进入 Agent 赛道，与其急着包一个 Chatbot 出来卖，不如先想清楚：你做的东西，到底是给人用的工具，还是给 Agent 用的基础设施？后者的壁垒和天花板，完全不在一个量级。