一份关于企业级 Agent 的产品思考

开源 Agent 框架与
企业级应用之间,
存在一层常被低估的落地断层。 From open-source to enterprise-ready · 2026

Hermes Agent、OpenClaw、Cursor 这类工具,在个人开发者手里往往是高效工具; 但一旦进入政企客户服务、咨询交付或国企内部研发环境, 问题很快会从“能不能用”变成“能不能合规地、多人协作地、可审计地用”。这背后不是单点功能缺失, 而是三类默认假设在企业场景中失效—— 数据可以上云、单人单机足够、知识沉淀依赖个人。 AegisAgent 的产品构想,正是为了解决这层从开源 Agent 到企业级落地之间的断层。

作者 / Author 李惟夏 Lewis
背景 / Background AI 产品经理 · 7 年政企交付
阅读时长 / Read 约 8 分钟
向下阅读 / Scroll
第一章 · The Missing Layer

一个被现有 AI Agent 工具体系长期低估的需求层。

现有的 AI Agent 工具大多默认三件事: 数据可以送到云端处理、一个人独占自己的工作环境、个人产出的方法论由个人保管。 而在政企语境下,这些假设往往并不完全成立—— 它们背后对应着三层常被低估的企业级需求:合规、多租户、组织资产。

展开来看,任何希望把 AI Agent 推进到企业级应用的产品,都需要正面回应这三层:

合规层面——企业代码与数据可能受到透明加密客户端保护,文件一旦离开授权环境就变成密文; 数据出网受 DLP 与外发审批管控;每一次 AI 工具调用都需要可审计、可追溯。 在这种环境里,现成工具的“读取文件”动作本身就可能成为合规盲区。

多租户层面——一台服务器往往同时服务数十名顾问、覆盖数十个客户项目。 顾问 A 的客户数据不能进入顾问 B 的对话上下文; 同一顾问在不同项目之间,会话与记忆需要严格隔离; SSO 身份要贯穿到每一次工具调用的审计日志里。 而不少开源 Agent 默认以“单机单用户”为主要形态,多租户隔离并未被作为核心设计前提处理。

组织资产层面——企业里的每个项目都在产出方法论, 项目结束之后,这些隐性 know-how 往往沉淀在个人经验中,组织缺少稳定的复用机制。 现有 Agent 的 Skill 与 Memory 多以 Profile 为边界, 更偏向个人使用场景,难以直接承载“组织级知识资产”这一高价值维度。

这三个层面合在一起,并不是三个孤立功能点,而是共同指向一个新的产品形态—— “企业级 Agent 工作台”。它很难通过现有工具的局部能力叠加完整解决, 而需要从身份、数据、进程、知识资产与审计链路上重新设计。

第二章 · The Real Gap

开源 Hermes 与企业级需求之间,
到底差了什么?

把视野收回到具体的工程层面——既然要在开源 Agent 上构建企业级应用, 就需要先回答一个问题:市面上的开源底座,离“开箱即用的企业级”到底差多远?

Hermes Agent(Nous Research,2026 年 2 月开源)是我在当前调研中认为较接近企业级形态的候选之一—— 它支持自托管、覆盖多类 IM 平台、自带持久化记忆,采用 MIT 协议可商用, 并且原生提供了 Profile / Board / Tenant 等隔离原语。这些特性让它具备了被改造成企业级底座的潜力

但“具备潜力”和“可直接交付”之间,仍然存在一系列需要逐项工程化的差距。 把开源 Hermes 的默认能力与真实企业部署的最小需求做一次逐维度的比对, 这道差距的形状才会清晰:

维度 / Dimension
Open-source Hermes
Enterprise Need
用户模型
单机单用户,Profile 更偏向同一用户的多 Agent 场景
多用户共享服务器,SSO 身份贯穿,RBAC 三维权限
Gateway
每个 Profile 一个 Bot Token + 独立 Gateway 进程
统一机器人入口路由到多 Profile,避免用户规模扩大后机器人数量失控
资源管理
Profile 进程常驻,缺少配额与回收机制
Serverless 思路下按需拉起、闲置回收、配额可控
数据出域
缺少密级感知,默认调用已配置模型
按密级路由(公开 / 内部 / 机密)、出站脱敏、外发审批
加密客户端
缺少相关概念,文件 IO 走系统默认路径
进程白名单注册、密级元数据读取、输出同源加密回写
审计
本地日志为主,缺少统一身份关联
不可篡改、用户身份贯穿、合规报告一键导出
知识沉淀
Skill 以 Profile 私有为主,组织侧缺少积累机制
三级 Skill 体系(个人 / 项目 / 组织)+ 脱敏审核流水线
项目隔离
存在 Board 机制,但仍需手工切换
客户项目自动隔离、跨项目调用强制确认

这八个维度中的任何一项,如果没有被系统性处理,都可能成为企业部署中的关键阻塞点。 它们叠加在一起,构成了“开源 Agent 与企业级应用之间的真实距离”。 一个真正可用的企业级 Agent 工作台,需要逐一补齐这些能力。 那么具体要怎么补?这就是接下来要展开的问题。

第三章 · The Reasoning

思考路径 — 从具体痛点产品形态

第二章的差距表是结论。这一章往回追溯—— 我是怎么从“加密代码不能给 AI 用”这个具体痛点, 一步步推导出“企业级 Agent 工作台”这个产品形态的。 五步分析,每一步都把问题从现象拉回到可工程化的约束。

Step 01 · 现象观察
真正没被满足的需求是什么?
起点是一个具体场景:政企里的代码被加密,AI 编码工具读不到。 但继续追问就会发现,这只是冰山一角—— 类似的“用不起来”现象在企业内同时表现为:数据出网受管控、 多用户共享时缺少身份隔离、AI 调用过程难以完整审计、 项目知识无法在组织内稳定沉淀。 把这些现象并置起来看,真正没有被满足的需求, 是一个面向多人协作、合规可控、有组织资产沉淀的 AI 工作台。
Step 02 · 约束抽象
这些需求落到工程层,意味着哪些硬约束?
把需求继续往下抽象,会得到四条不能让步的工程约束: 数据不出域(本地推理优先、出站需脱敏审批)、 身份贯穿调用链(SSO + RBAC + 审计日志)、 多租户硬隔离(用户 / 项目级会话与记忆隔离)、 资源可调度(进程按需起停、配额可控)。 SaaS 工具往往在数据出域与审计留痕上难以满足前两条,普通自托管工具又常常缺少后两条—— 这正是它们进入企业场景后“用不顺”的根本原因。这四条约束之后会被进一步细化为八个具体维度,即第二章那张差距表。
Step 03 · 选型比较
在这套约束下,哪个底座最值得改造?
基于这四条约束反向筛选开源生态: Cursor / Copilot 等 SaaS 编码工具,在强合规场景下会首先遇到数据出域问题; OpenClaw 更偏个人或单点编码辅助,多端触达与组织级协同能力不足; Dify 更偏工作流引擎,并不直接处理端侧合规与多用户隔离。 因此,在已调研的方案中,Hermes Agent是较接近这一方向的开源底座—— 它同时具备“自托管 + 多端 + 持久记忆 + 隔离原语”四类基础条件, 改造路径相对清晰。
Step 04 · 差距诊断
底座选定之后,还差什么?
Hermes 是“较接近的起点”,但还不是“现成的终点”。 把它放回四条约束里逐一对照,可以看到八处具体差距—— 从用户模型、Gateway 设计、资源管理,到加密客户端集成、审计、知识沉淀—— 这就是上一章那张差距表的来源。 每一项都对应明确的工程任务,而不是一句含混的“后续优化”。
Step 05 · 形态闭合
把这八条差距补齐之后,产物是什么?
八处差距对应八个工程模块,叠加在 Hermes 之上, 最终收敛出一个完整的产品形态—— 一个面向企业级场景的 Agent 工作台。 它既可以作为内部团队的提效平台, 也可以作为面向客户交付的“合规 AI 基础设施”标准化能力包。 这就是 AegisAgent。
第四章 · The Name

为什么叫 AegisAgent

Aegis(神盾)是希腊神话中宙斯与雅典娜所持的神盾, 既能护佑,也能御敌。 这与产品定位较好对应:在企业的合规约束之下, 为 AI 工具构筑一道“既能用、又可控”的盾—— 向内保护敏感数据,向外降低违规流转风险。

Built to be the shield around your AI
in regulated environments.
— AegisAgent · Tagline

名字本身是产品语义的浓缩。AegisAgent 这个组合传递了三层信息: 它是一个 Agent(产品形态),它的核心价值是 Aegis 式的护佑(合规与边界), 它面向的是需要这道盾的环境(政企、咨询、强监管行业)。 好的产品命名不只是一个代号,而是把产品定位压缩成一句可被记住的语义。 AegisAgent 的价值不在于名字本身有多独特,而在于它把“Agent 能力”与“合规防护”这两个核心意象合在了一起。

第五章 · The Architecture

五层架构 — 从合规约束反推产品形态。

AegisAgent 的架构,不是从“我们要做什么功能”开始的,而是从“必须满足哪些约束”开始的—— 数据不出域、多用户隔离、全链路可审计、资源可控。 每一层的设计,都是这四条约束的工程化产物。 这也正是它与“先做功能、再补合规”的常见 AI 平台思路之间最核心的差别。

接入层
企业微信
钉钉
飞书
Web UI
IDE 插件
↓ ↓ ↓
控制平面
认证 / 路由
进程编排
配额 / 审计
Skill 仓
↓ ↓ ↓
合规中间层
授信代理
数据分级
脱敏引擎
外发审批
加密回写
↓ ↓ ↓
Agent 进程池
用户 A
用户 B
用户 C
用户 N
↓ ↓ ↓
模型层
公网 API
私有化 LLM
本地推理

每一层之间不是简单的“上下游调用”,而是一条由合规要求塑造的双向管道: 数据向下流动时被分级、脱敏、审批;响应向上回流时被审计、加密、留痕。 架构图上看到的“层”,在工程实现上其实是一系列嵌套的检查点—— 任何穿过它们的数据,都会被处理、记录,并形成可追溯链路。

第六章 · The Differentiators

八个让产品进入企业场景的核心模块。

第二章的差距表给出了“该补什么”,这一章给出“具体怎么补”。 八个模块,对应那张表的八个维度——每一项都是从一条需求约束,落到一段可工程化实现的路径。

认证授权

Auth · SSO Integration

对接企业 LDAP、OAuth 与企业微信 / 钉钉身份系统,让用户身份贯穿到每一次工具调用。RBAC 在用户、角色、项目三个维度交叉授权。

统一网关路由

Unified Gateway

把 Hermes “每个 Profile 绑定一个机器人”的模式重新组织为统一入口:前端保持一个机器人入口,后端按用户身份动态路由到对应 Profile。

进程按需编排

Serverless Orchestration

Profile 进程按消息触发拉起、闲置后自动回收,并配合资源配额,使一台服务器具备支撑多用户并发的基础。

组织级 Skill 仓

Knowledge Capitalization

Skill 在个人 → 项目 → 组织三级之间流转,经脱敏审核后晋升为组织资产。团队的隐性方法论由此可以被检索、被复用、被持续沉淀。

数据分级路由

Data Classification

按文件密级自动选路:公开级走公网,内部级走私有 LLM,机密级仅本地推理,并尽量在不增加明显操作负担的情况下完成。

外发审批工作流

Egress Approval

需要外发时一键申请,自动对接企业 OA(泛微 / 致远 / 蓝凌),脱敏后调用,全流程留痕。把合规动作嵌入流程,而不是额外阻碍。

客户/项目隔离

Tenant Isolation

同一用户的多个客户项目之间严格隔离,跨项目调用需要显式确认。从架构层降低“上下文污染”这一咨询场景中的常见风险。

审计与监控

Audit & Compliance

不可篡改的日志、一键导出的合规报告——面向等保、数据安全治理等常见审计要求,让合规检查从“被动应对”逐步变为“随时可查”。

这八个模块当中,最值得重点验证的是第 4 个—— 组织级 Skill 仓。它把企业里常见的痛点 (“项目结束 = 知识清零、人走茶凉”)转化为可沉淀、可复用的结构化资产。 其余七个模块解决的是“能不能进入企业场景”,这一个回答的是“为什么值得长期建设”。

第七章 · The Tier Ladder

合规不是一刀切,
而是一道从 L1 到 L4 的能力阶梯。

第六章给出了八个核心模块——它们是构件。但客户的合规要求不是均匀的: 一家内部 IT 团队和一家服务军工的咨询公司, 所需要的合规深度差着两个数量级。 把这些构件按合规等级有层次地组合, 会得到四档清晰的能力产品形态。

更关键的是,合规能力本身存在一条清晰的技术阶梯—— 从"信任运维方"到"连内存都不信任", 再到"连模型推理过程都密态化"。 AegisAgent 把这条阶梯显性化、产品化, 让客户按需选购对应等级——这是产品设计,也是商业设计。

L1 基础合规
适用:一般企业代码、内部 IT 团队
Tech授信代理 + 脱敏引擎 + 基础审计日志
Promise敏感字段在送达大模型前已被替换为占位符
信任假设:信任运维方与本地系统。
MVP 即可交付
L2 中级合规
适用:国企商密、咨询交付、金融业一般业务
Tech+ 数据分级路由 + 外发审批 + 不可篡改审计 + 输出加密回写
Promise任何数据出域均经审批,全流程可审计、可回溯
信任假设:信任运维方,不信任外部网络。满足等保三级要求。
对客主流形态
L3 高级合规
适用:政务、军工、金融核心系统、跨国涉敏业务
Tech+ TEE 机密计算(Intel SGX/TDX、AMD SEV)+ GPU Confidential Computing(H100)+ 远程证明
Promise数据在 CPU 与 GPU 显存中始终加密,即便服务器被物理入侵也无法获取明文
信任假设:不信任运维方与操作系统。性能代价 10-30%,已可商用。
差异化卖点
L4 极致合规
适用:国家机密、跨境敏感数据、未来医疗基因数据
Tech+ 同态加密(HE)/ 安全多方计算(MPC)/ 零知识机器学习(zkML)
Promise数据从加密到推理结束全程不解密,连模型本身都被视为潜在威胁
信任假设:零信任。当前对 LLM 的 HE 开销是明文的 10⁴~10⁶ 倍,5 年内不具备生产可行性,但值得长期跟踪。
2028+ 路线图

四级合规不只是技术分类,它直接对应四个差异化产品 SKU: L1 < L2 < L3 形成清晰的价格梯度, 客户随合规要求提升而升级 SKU、迁移成本极高, L4 则用来传递"产品视野与技术储备"的信号。 能力分级 + 渐进升级的产品形态, 在国内 SaaS 与企业服务市场极少见, 是 AegisAgent 区别于通用 AI 平台的核心竞争点之一。

第八章 · Current Status

项目当前状态

AegisAgent 目前处于 MVP 启动阶段。 完整方案文档(README · PROPOSAL · ROADMAP)已在 GitHub 公开, 代码改造从 Hermes 的 Gateway 路由层切入。

Project Status · As of 2026.05 Live
需求洞察:识别企业级 Agent 与开源工具之间的八维差距
Done
底座选型:对比 Hermes / OpenClaw / Cursor,选定 Hermes Agent
Done
完整产品方案文档:README + PROPOSAL + ROADMAP(中英双语)
Done
GitHub 仓库初始化,产品命名与品牌定型
Done
通读 Hermes 源码(run_agent.py / gateway/ / skills/),输出内部架构笔记
In Progress
Gateway 路由层 PoC:单 Webhook 路由到多 Profile(MVP 最关键的技术验证)
In Progress
组织级 Skill 仓数据模型与 REST API(FastAPI)
Next
Hermes Patch:Skill 加载支持远端来源(贡献回上游候选)
Next
MVP Demo:两个 Profile + Skill 共享 + Docker Compose 一键运行
Wk 8

MVP 阶段以个人项目方式独立推进, 不依赖任何外部资源。 做这件事的理由很简单——它指向的问题已经在实际交付场景中反复出现, 因此更适合通过 MVP 快速验证,而不是长期停留在概念讨论中。 AegisAgent 更适合作为一个从真实约束出发、边验证边产品化的长期方向。

如果你也在关注这类问题

完整的产品方案、技术细节与代码实现已经在 GitHub 公开,欢迎一起讨论。