闭源大模型的信任红利正在耗尽,企业 AI 必将走向本地模型和开源 Agent——以端脑科技为例
过去两年,大模型行业有一个默认前提:
只要模型足够强,其他问题都可以往后放。
数据在哪里处理,可以先不管。
Agent 到底怎么调用工具,可以先不管。
系统提示词里到底塞了什么,也可以先不管。
账号会不会被限制、模型会不会突然不可用,似乎也可以先不管。
因为模型实在太好用了。
一开始,所有人都愿意为这种好用让渡一点控制权。个人用户如此,企业用户也是如此。
但最近发生的几件事,正在让这个默认前提松动。
一边,是前沿模型的发布越来越像“分级审批”。更强的新模型不再是所有人同时可用,而是按地区、账号、组织身份、合规状态、风控等级逐步开放。
另一边,是 Claude Code 被社区用户逆向分析后引发争议:一个本地运行、权限很高的编程 Agent,被指在特定代理场景下,通过 system prompt 里的日期格式和 Unicode 撇号差异,隐蔽标记用户环境信息。
这两件事看起来不一样。
一个是模型发布策略。
一个是客户端行为透明度。
但它们其实都指向同一个问题:
当 AI 变成企业工作流的一部分,闭源、云端、高权限的 Agent 系统,还能不能继续只靠“相信厂商”来运行?
我的判断是:不能。
企业 AI 的下一阶段,核心不只是模型更强,而是系统更可控。
本地模型、开源 Agent、可审计入口、智能硬件,会成为企业重新获得控制权的关键基础设施。
一、为什么模型发布变得需要“分级审批”?
先看第一个变化:前沿模型的发布方式正在变。
早期大模型发布,很像普通互联网产品上线。
厂商发布一个新模型,用户注册,付费,然后使用。谁先体验到,更多取决于你有没有账号、有没有排队、有没有订阅。
但现在,前沿模型的发布正在变成一种“受控释放”。
比如行业里最近讨论的 Anthropic Fable 5(将于明天重新上线)、Mythos 5,以及 OpenAI ChatGPT 6,相关讨论都绕不开几个问题:
哪些地区能先用?
哪些账号能先用?
企业用户是否需要额外审批?
API、Web、Agent 客户端是否同步开放?
高级推理、代码执行、长上下文、工具调用是否分层开放?
某些组织、地区或网络环境是否会被限制?
这不是某一家公司的偶然选择,而是前沿模型变强以后必然出现的现象。
原因很简单:模型能力越强,风险半径越大。
一个普通聊天机器人,最多生成一段文本。
一个高级推理模型,可以辅助写代码、找漏洞、做自动化分析。
一个带工具调用的 Agent,可以读文件、改代码、跑命令、调接口,甚至参与真实业务流程。
能力越强,模型厂商越不可能完全无差别开放。它们必须考虑安全、滥用、出口管制、地区监管、模型蒸馏、API 转售、企业身份验证等问题。
所以,模型发布从“产品上线”变成“能力准入”,几乎是不可避免的。
从厂商角度看,这合理。
从企业角度看,这危险。
因为这意味着:企业能不能用上某个能力,不再完全由企业自己的采购决策决定。
你付费了,不代表一定能用。
你今天能用,不代表明天还能用。
你把流程接上去了,不代表平台策略变化时不会中断。
这就是企业 AI 架构里第一个需要正视的问题:访问权不确定。
二、Claude Code 争议真正刺痛人的地方是什么?
再看第二件事。
Reddit 上有用户发布逆向分析,称 Claude Code 在某些版本中存在一段针对代理环境的检测逻辑。
按照该用户的描述,当用户修改 ANTHROPIC_BASE_URL,也就是使用非官方端点、代理、中转站或企业内部网关时,Claude Code 会读取本地系统时区,并将代理域名与内置规则进行比对。
更敏感的是,比对结果并不是以普通日志或明显字段发送,而是被编码进 system prompt 里。
例如:
如果系统时区命中特定中国大陆时区,日期格式可能从 2026-06-30 变成 2026/06/30;
Today's date is 里的撇号,可能被替换成肉眼很难分辨、但 Unicode 编码不同的字符,比如 ’、ʼ、ʹ。
普通用户看上去几乎一样。
程序可以一眼识别。
从 Anthropic 官方以往发布的声明来看,它可能是一种反滥用、反代理转售、反蒸馏的水印机制。
但是,真正的问题并没有因此消失。
因为 Claude Code 不是一个普通网页聊天框。它是开发者 Agent。
开发者给它的权限往往很高。它可以读取项目文件,可以修改代码,可以执行 shell 命令,可以操作 Git,可以参与构建、测试、重构,甚至接近一个半自动化开发助手。
这类工具的信任要求,远高于普通聊天机器人。
如果一个高权限 Agent 的本地客户端里存在用户难以发现的环境标记逻辑,那么企业自然会问:
今天它标记的是时区和代理信息。
那它还能不能标记别的东西?
它到底读取了哪些环境变量?
它有没有改变 system prompt?
它有没有根据账号、地区、代理、组织身份调整模型行为?
它发送给模型的上下文里,有没有企业看不到的内容?
这些问题,不靠逆向工程就很难回答。
这就是第二个问题:执行过程不可验证。
三、问题的本质
很多讨论容易滑向道德判断:某家公司是不是作恶?某个功能是不是 spyware?某个厂商是不是针对某个地区?
这些问题当然会引发情绪,但它们不是最根本的问题。
最根本的问题是架构。
只要一个 AI Agent 同时满足三个条件,企业就会天然失去可验证性:
第一,它是闭源的。你看不到它完整的客户端逻辑,看不到 prompt 如何拼接,看不到工具调用规则,看不到遥测和环境检测细节。
第二,它依赖云端。模型能力、账号策略、地区限制、风控规则、价格、发布节奏,都由平台控制。企业只是租户,不是拥有者。
第三,它拥有高权限。它不只是回答问题,而是可以读文件、改代码、调工具、执行命令、调用内部系统,直接进入业务流程。
这三个条件单独看,都未必不可接受。
闭源软件很常见。
云端服务也很常见。
高权限工具同样很常见。
但当它们叠加在一个 AI Agent 身上,问题就变了。
因为 Agent 的行为不是固定的按钮点击,也不是传统软件里相对稳定的功能调用。Agent 会根据上下文动态规划、动态调用工具、动态生成中间步骤。它更像一个会行动的系统,而不是一个静态软件。
你越依赖它,它越应该可验证。
但闭源云端高权限 Agent 恰恰相反:你越依赖它,你越看不见它。
这就是企业真正要警惕的地方。
四、企业真正需要的不是“最强黑盒”,而是“可控智能”
过去讨论企业 AI,很多人默认目标是找到最强模型。
这没有错,但不完整。
企业当然需要强模型。没有足够智能,AI 无法承担复杂任务。但企业最终需要的不是一个“最强黑盒”,而是一套可控的智能系统。
这里有一个容易被忽略的差别。
个人用户使用 AI,更关注结果:
这段代码能不能跑?这篇文章写得好不好?这个问题回答得准不准?
企业使用 AI,除了结果,还要关注过程:
谁发起的?用了哪些数据?调用了哪个模型?有没有越权?有没有留痕?出了问题能不能复盘?供应商策略变化时能不能切换?
企业场景里,结果只是第一层。
过程可控,是第二层。
责任可追,是第三层。
系统可替换,是第四层。
这也是为什么企业 AI 不能只围绕模型能力来设计。它必须围绕治理能力来设计。
一个真正适合企业的 Agent 系统,至少要回答六个问题:
身份可归属:每一次调用是谁发起的?
数据可边界:Agent 读取了哪些数据,哪些数据出了内网?
模型可追踪:调用了哪个模型,是否切换或降级?
动作可审计:Agent 调用了什么工具,执行了什么操作?
策略可解释:为什么允许这次调用,为什么拦截那次操作?
系统可替换:如果某个外部模型不可用,是否能切换到其他模型或本地模型?
这些问题,才是企业 AI 从“好玩”走向“可用”,再到“可信赖”的关键。
五、可审计入口:企业 AI 的第一块地基
什么叫“可审计入口”?
它不是一个更漂亮的聊天框,也不是把几个模型 API 包在一起的中转服务。
可审计入口是企业 AI 系统的控制面。
所有人、模型、工具、知识库、设备、日志,都应该通过这一层被组织起来。
它的核心作用有三个。
1.把“谁在用 AI”说清楚
企业必须知道每一次 AI 调用属于谁。
是哪个员工?哪个部门?哪台设备?哪个业务系统?哪个客户场景?
这不是为了监控员工,而是为了建立责任边界。
没有身份归属,后面所有审计都没有意义。
2.把“AI 看了什么、做了什么”记录下来
Agent 最大的风险不是回答错,而是在没有记录的情况下做了某些事。
它读了哪个文件?
查了哪个知识库?
调用了哪个 API?
修改了哪个文档?
有没有执行 shell 命令?
有没有把上下文发给外部模型?
这些都应该有日志,而不是事后靠猜。
3.把“模型和工具”变成可替换组件
企业不能把所有能力绑定在一个模型或一个厂商身上。
合理的架构应该是:底层模型可以换,工具可以增减,数据源可以管控,权限可以配置,日志可以统一。
今天用 Claude,明天可以切到 GPT。
高敏任务走本地模型,低敏复杂任务走云端模型。
某个模型被限制,系统可以降级运行,而不是整条流程停摆。
这就是可审计入口的价值。
它让企业从“使用某个 AI 产品”,变成“拥有自己的 AI 控制面”。
六、本地模型的意义,不是“全面取代云端模型”
谈到本地模型,很多人会立刻问:
本地模型比 Claude 强吗?
比 GPT 强吗?
比最前沿的闭源模型强吗?
这个问题当然重要,但它不是企业做本地模型的唯一理由。
企业部署本地模型,不是为了在所有任务上打败云端最强模型,而是为了在特定场景里获得确定性。
哪些场景?
涉及源代码、合同、客户资料、内部知识库的任务;
高频、标准化、流程化的任务;
对延迟、稳定性、成本可预测性要求高的任务;
需要离线运行或内网运行的任务;
需要完整审计和本地日志留存的任务。
在这些场景里,本地模型即使不是最强,也可能是更合适的选择。
因为它提供了几件云端黑盒很难同时提供的东西:
数据不出内网;
调用不受外部账号状态影响;
日志留在企业自己手里;
权限可以和内部系统打通;
模型可以按业务需求微调或替换;
关键流程不会因为外部平台策略变化而突然中断。
所以本地模型不是“云端模型的低配替代品”。
它更像企业 AI 架构里的安全底座。
云端模型负责冲击能力上限。
本地模型负责保证控制下限。
这两者不是对立关系,而是互补关系。
七、真正的拐点:轻量高智商本地模型
过去,本地模型路线最大的短板确实是能力。
尤其是在复杂推理、长上下文、代码理解、多工具协作这些任务上,本地模型和最强闭源模型存在差距。
但技术趋势正在改变这个判断。
模型能力密度正在提升。
同样的任务能力,所需参数量在下降。
推理框架在优化。
量化技术在成熟。
端侧芯片和本地 AI 硬件在进步。
开源模型的代码、推理和工具调用能力也在快速增强。
这意味着一个重要临界点正在靠近:
本地模型不需要在所有榜单上超过最强闭源模型。
它只需要在企业高频、高敏、强流程任务中达到“足够聪明”。
一旦跨过这个门槛,企业选型逻辑就会发生变化。
因为在可控性、数据安全、审计能力、访问稳定性上,本地模型本来就有优势。过去它缺的是能力。现在能力差距一旦缩小,它的综合价值会迅速上升。
这也是为什么“轻量高智商本地模型”会成为一个关键方向。
轻量,意味着可部署、可普及、可放进办公室、部门、设备和边缘节点。
高智商,意味着它不只是离线问答,而是真的能参与代码、文档、知识库、流程和工具调用。
当这两件事结合起来,本地 AI 才会从“备选方案”变成“主线架构”。
八、开源 Agent 框架:让“相信它”变成“检查它”
只把模型放到本地还不够。
因为企业真正使用的是 Agent,而不只是模型。
模型负责生成和推理。
Agent 负责规划、调用工具、读取文件、执行动作、维护上下文。
换句话说,Agent 是把模型能力变成业务动作的那一层。
这一层如果还是闭源黑盒,本地模型只能解决一半问题。
Claude Code 争议最值得企业思考的地方,也正在这里:
即使模型能力来自云端,真正决定请求长什么样、上下文带什么、工具怎么调用的,往往是 Agent 客户端和编排层。
所以企业需要开源 Agent 框架。
开源的意义不只是“免费”,也不只是“开发者可以二次开发”。
开源真正带来的,是可检查性。
你可以看到:
system prompt 怎么拼;
用户输入怎么包装;
工具列表怎么暴露;
文件权限怎么限制;
shell 命令怎么执行;
模型请求怎么发送;
中间步骤怎么记录;
错误怎么处理;
记忆和日志怎么保存。
闭源 Agent 要求你相信它没有做不该做的事。
开源 Agent 允许你检查它有没有做不该做的事。
这就是本质区别。
对个人开发者来说,这可能只是偏好。
对企业来说,这是合规、安全和治理的前提。
九、为什么智能硬件会重新变重要?
在云计算时代,很多人会下意识认为:软件就应该在云端,算力就应该集中化。
这个判断在 SaaS 时代成立。
但 Agent 时代会让一部分算力重新回到本地。
原因不是云端不重要,而是 Agent 的工作方式不同。
Agent 会长期接触企业上下文。
它会读取内部文件。
它会理解会议、工单、代码和客户资料。
它会调用工具。
它会代表人执行动作。
它离真实业务太近了。
这时候,本地智能硬件的价值就出现了。
它不是简单地“把模型装进盒子里”,而是为企业提供一个本地智能节点:
敏感数据可以先在本地处理;
语音、文档、代码、知识库可以在内网完成分析;
设备可以和员工、部门、会议室、研发环境绑定;
外部云端不可用时,本地能力仍能维持基础流程;
企业可以在硬件上运行自己的模型和 Agent 编排层。
这也是为什么智能硬件会在企业 AI 里重新变得重要。
过去硬件是终端。
未来硬件可能是企业 AI 的本地入口。
它不是云端的反面,而是云端之外的控制锚点。
十、端脑科技抢先布局——为什么要做“入口 + 硬件 + 开源 Agent”
如果只做一个 App,很容易变成一个聊天壳。
如果只做一台硬件,很容易变成一台跑模型的机器。
如果只做一个 Agent 框架,又容易离真实用户和企业场景太远。
所以企业 AI 的机会,不在单点产品,而在一套完整栈。
端脑科技现在做的方向,可以理解为三层。
第一层:脑花 APP,解决入口问题
企业和个人需要一个统一的智能体入口,而不是每个人分散使用不同模型、不同插件、不同网站、不同 API。
入口层要解决的是:
人怎么进入 AI;
任务怎么被发起;
身份怎么归属;
日志怎么记录;
模型怎么切换;
Agent 怎么接入工作流。
这不是聊天框问题,而是控制面问题。
第二层:本地智能硬件,解决算力和数据边界问题
脑花 AI NPC 面向更高性能的本地智能场景。
龙虾派 CEPi 面向更轻量、零门槛的本地部署场景。
二者共同解决一个问题:让企业级用户和 C 端用户有能力把一部分推理、检索、分析和 Agent 执行放在自己能看见的地方。
高敏数据不必默认出云。
基础能力不必完全依赖外部平台。
企业可以拥有自己的本地智能节点。
第三层:开源 Agent 编排框架,解决可验证问题
硬件解决“模型在哪里跑”。
App 解决“人从哪里进入”。
Agent 框架解决“系统到底怎么做事”。
端脑围绕 OpenClaw / Hermes 这类开源 Agent 编排能力建设,本质上是为了让企业能够检查和控制 Agent 的执行过程。
对于企业来说,这非常关键。
因为未来的竞争不是谁有一个漂亮的 AI 界面,而是谁能提供一套可控、可审计、可部署、可扩展的智能系统。
十一、企业应该如何重新评估 AI Agent?
如果企业正在为自身的业务选型 AI Agent,最好不要只问“模型效果怎么样”。
应该问八个更底层的问题。
1.这个系统能否支持多模型?
如果只能绑定一个模型,未来一定会受制于它。
2.是否支持本地模型或私有化部署?
不是所有任务都适合发到云端。
3.Prompt 编排是否可见?
system prompt、上下文注入、工具描述,如果完全不可见,就很难审计。
4.工具调用是否有日志?
Agent 做了什么,比 Agent 说了什么更重要。
5.数据是否有清晰边界?
哪些数据出内网,哪些数据不出,必须可配置、可追踪。
6.权限是否能按人、部门、设备、任务划分?
Agent 权限不能只有“全开”和“全关”。
7.外部模型不可用时是否能降级?
没有降级方案,核心流程就不应该接进去。
8.是否允许企业检查和改造编排层?
如果不能检查,就很难真正掌控。
这八个问题问完,很多看起来很强的 Agent 产品,可能并不适合进入企业核心流程。
十二、未来三年,企业 AI 会发生什么变化?
合理的演绎可以推导企业 AI 会经历三个阶段。
第一阶段:追逐模型能力
这个阶段已经发生了。
企业关心的是谁的模型更强,谁的效果更好,谁能写代码,谁能做 PPT,谁能总结文档。
这是 AI 进入企业的入口阶段。
第二阶段:发现治理问题
当用得越来越深,企业会发现一堆现实问题:
员工到底有没有用?
数据有没有泄露?
账号会不会被封?
模型成本怎么控制?
Agent 做错了谁负责?
敏感任务能不能走本地?
不同部门的 AI 使用能不能统一管理?
这个阶段已经开始。
第三阶段:建设自己的 AI 控制面
最终,企业会意识到,AI 不是买几个账号就能解决的。
它需要一套自己的控制面:
统一入口;
多模型路由;
本地模型;
开源 Agent;
权限管理;
日志审计;
智能硬件节点;
私有化和混合部署。
这一步完成以后,AI 才会真正变成企业基础设施,而不是员工手里的外部工具。
十三、结语:信任不能只靠品牌,必须回到架构
闭源大模型的信任红利正在下降。
这不是说闭源模型不重要,也不是说云端模型没有价值。恰恰相反,最强模型在很长时间里仍然会来自大厂,企业也应该继续使用它们。
但企业不能只依赖它们。
模型发布开始分级审批,说明访问权不是完全确定的。
Claude Code 封号争议说明,高权限 Agent 的行为需要可验证。
企业 AI 深入业务流程,说明审计、权限、日志、可替换性会越来越重要。
所以,企业 AI 的下一步,不只是寻找更强模型,而是建设更可靠的智能架构。
这套架构里,云端模型负责能力上限。
本地模型负责控制下限。
开源 Agent 负责过程可验证。
智能硬件负责本地落点。
可审计入口负责把人、模型、数据、工具和业务连接起来。
这就是我们未来即将见证的发展前景……
