AI Agent 到底怎么进化的？2022-2026 五代演进完整梳理

Sat, 16 May 2026 19:19:52 +0800

AI Agent 的发展不是一夜之间发生的。

2022 年底，ChatGPT 还只是一个会聊天的窗口。到 2026 年，Agent 已经开始具备工具调用、文件操作、电脑控制、长期记忆、远程协作和常驻执行能力。四年时间里，它从“回答问题的模型”逐步变成“能推进任务的数字工作者”。

如果按时间线看，AI Agent 大致经历了五代演进。每一代都解决了上一代的核心缺陷，也制造了新的泡沫和新的安全问题。

总览：五代 Agent 时间线

阶段	时间	关键词	能力变化	核心问题
第零代	2022 年末 - 2023 年初	对话框	会生成文本，但不能行动	模型和现实世界断裂
第一代	2023 年中 - 2023 年末	工具调用	能输出结构化调用，接入 API 和 RAG	开环循环、任务迷路
第二代	2023 年末 - 2024 年	工程化工作流	有规划、状态、反思和多 Agent 协作	工作流易复制，低代码泡沫
第三代	2024 年 - 2025 年	Computer Use	能看屏幕、点鼠标、操作 GUI	权限、安全和误操作风险
第四代	2025 年 - 2026 年	MCP / Skills / 常驻	有工具网络、长期上下文和专业技能	常驻执行扩大风险半径
第五代前瞻	2026 年之后	闭环与世界模型	可能拥有更强记忆、验证和物理行动能力	治理难度继续上升

下面按时间线展开。

2022 年末：第零代，ChatGPT 对话框时代

第零代的起点，是 2022 年 11 月 30 日 ChatGPT 发布。

这一代 AI 还不能算真正的 Agent。它有很强的语言生成能力，但主要被困在对话框里。它可以写一段 Python 代码，却不能在你的电脑上运行；可以规划旅行，却不能打开网站订票；可以告诉你文件应该怎么改，却不能进入文件系统执行修改。

这一代的能力边界很清楚：

能理解自然语言；
能生成文章、问答、代码和方案；
不能主动访问最新数据；
不能稳定读取企业内部资料；
不能执行外部动作；
不能管理长期任务状态。

所以第零代最核心的问题是：模型能力和现实世界之间断裂。它能想、能说，但不能行动。

这一阶段也出现了第一波泡沫：提示词工程师、提示词模板市场、提示词课程和提示词认证。早期模型确实对 prompt 很敏感，但市场把一个临时补丁误解成了长期护城河。

后来 GPT-4 级别模型、系统提示、函数调用和产品默认引导逐渐成熟，大量提示词模板失去稀缺性。这个现象后来反复出现：新能力出现时，中间层爆发；下一代系统把能力内化后，中间层蒸发。

2023 年中：第一代，工具调用觉醒

第一代 Agent 的关键词是工具调用。

2023 年 6 月，OpenAI 发布 function calling。它允许开发者向模型描述函数名、用途、参数类型和 JSON Schema。模型理解用户请求后，可以不再输出普通自然语言，而是输出一个结构化 JSON 调用，再由外部系统执行。

这一步的架构意义很大：模型开始从“只会说话的大脑”，变成可以驱动外部工具的大脑。

第一代的关键能力包括：

根据用户意图选择工具；
输出结构化参数；
调用外部 API；
把 API 结果带回模型继续推理；
通过 RAG 接入外部知识；
通过插件和知识库形成早期 persona。

同一时期，RAG 和向量数据库流行起来。它们解决的是模型不知道最新信息、企业私有资料和内部知识的问题。系统先检索相关文档片段，再把材料放进上下文，让模型基于这些材料回答。

于是第一代 Agent 的基本结构出现了：

你是谁：系统提示和 persona；
你知道什么：知识库、RAG、私有文档；
你能做什么：函数调用、插件、外部 API。

这一代最典型的泡沫是 AutoGPT。它展示了一个很诱人的想法：用户只给一个宏大目标，AI 自己拆解任务、搜索、写文件、评估、循环，直到它认为完成。

但 AutoGPT 很快暴露问题。它缺少状态约束、终止条件和可靠反馈，经常陷入错误方向，反复调用错误参数，或者烧掉大量 API 请求。第一代的教训很直接：工具加死循环，不等于生产级 Agent。

2023 年末到 2024 年：第二代，工程化工作流

AutoGPT 的失败让行业意识到，不能只靠模型自由发挥。复杂任务需要结构化流程。

第二代 Agent 的关键词是工程化工作流。Agent 不再只是一次模型调用，而是一个有状态、有控制流、有评估机制的软件系统。

这一代的关键能力包括：

任务规划：把大目标拆成步骤；
状态管理：记录任务进行到哪里；
反思修正：生成后自评，再修改；
工具编排：在不同工具之间切换；
人机协作：在关键节点让人确认；
多 Agent 协作：让不同角色分工。

典型范式是 ReAct，也就是 Reasoning + Acting。模型先推理，再调用工具，再根据观察结果进入下一轮推理。这样 Agent 不再盲目行动，而是每一步都有可审计的逻辑和反馈。

这一阶段也形成了 agentic workflow 的几种常见模式：

反思：先生成，再评审，再修改；
工具调用：按任务选择搜索、数据库、代码执行、企业 API；
规划：拆解目标，跟踪状态；
多 Agent 协作：产品、开发、测试、评审分工。

第二代的价值，是把模型能力放进可控流程里。一个设计好的 workflow，有时能让较小模型完成比单次大模型调用更稳定的结果。

但这一代也带来低代码 Agent 平台泡沫。很多平台用拖拽方式组合 prompt、RAG、插件和流程，确实降低了搭建门槛。但如果一个流程可以被低成本复制，平台本身就很难形成护城河。

低代码工具能吃到早期红利，但红利不等于壁垒。

2024 到 2025 年：第三代，Computer Use 进入真实界面

第三代 Agent 的关键词是 Computer Use。

此前的工具调用主要依赖 API，能做什么取决于开发者提前接好什么接口。但现实世界里，大量软件没有理想 API，或者 API 不开放、不完整、不统一。

Computer Use 类能力让模型开始看屏幕、点鼠标、操作 GUI。它把通用电脑界面本身变成工具。

第三代的关键能力包括：

识别屏幕内容；
点击按钮、输入文本、切换窗口；
操作网页和桌面软件；
读仓库、改文件、跑测试；
查看终端输出和错误信息；
更接近真实工程助手。

这一步把 Agent 从“调用已接好的工具”，推进到“像人一样操作软件界面”。它也让 coding agent 更接近真实工作流：读项目、改代码、运行测试、根据报错继续修。

但信任边界也扩大了。AI 操作电脑，意味着它可能误点、误删、误提交，也可能被网页、文档或界面文字诱导。提示注入不再只是聊天问题，而可能变成文件操作、权限和系统安全问题。

Vibe coding 的争议也集中在这一阶段。让 AI 快速生成项目很爽，但如果缺少测试、评估、权限控制和部署边界，就容易从快速原型变成快速事故。

第三代的核心教训是：越接近真实操作，越需要沙箱、审批、回滚和最小权限。

2025 到 2026 年：第四代，MCP、Skills 和常驻数字员工

第四代 Agent 的关键词是常驻、连接、记忆和专业化。

这一代的重点不只是单次任务更强，而是 Agent 开始拥有长期上下文、工具网络、专业技能和时间感。它不再只是一次聊天里的助手，而更像一个能持续工作的数字员工。

MCP 解决的是工具连接问题。它让 Agent 用标准方式连接文件系统、数据库、浏览器、设计工具、项目管理工具和企业系统。协议一旦稳定，很多只做“工具连接中间层”的项目就会被压缩。

Skills 解决的是专业方法问题。工具告诉 Agent 能做什么，技能告诉 Agent 应该怎么做。一个好的 skill 不只是 prompt，而是把领域流程、约束、检查方式、常见坑和工具调用顺序封装起来。

第四代的关键能力包括：

长期记忆：保存用户偏好、项目规则和历史任务；
项目上下文：让 Agent 理解代码库、文档和工作规范；
工具网络：通过 MCP、API、浏览器和文件系统连接外部世界；
专业技能：用 Skills 封装任务方法；
常驻执行：可以等待、唤醒、提醒和继续跟进；
远程协作：用户可以从不同设备回来审批和调整。

这一代 Agent 开始有“员工感”：

有身份和职责边界；
有长期上下文；
有专业工作方法；
有时间感；
有工具权限；
能在无人盯着时继续推进任务。

但能力越像员工，风险半径也越像员工。长期运行、读取本地数据、持有密钥、调用工具、处理任务，都让安全问题从边缘变成中心。

尤其要注意一点：文本也是攻击面。如果 Agent 会读取并遵循 Markdown、说明文档、技能包、网页内容，那么恶意文本就可能改变它的行为。提示注入不再只是聊天问题，而是供应链问题、权限问题和执行安全问题。

第四代的核心教训是：常驻 Agent 不只需要能力，还需要治理。

2026 之后：第五代前瞻，闭环、内在记忆和世界模型

第五代还不是确定历史，更像是沿着前面四年的演进逻辑继续外推。

第一个方向是更完整的闭环。

成熟 Agent 至少需要三层闭环：

执行闭环：每一步操作后验证结果，不符合预期就回滚、修正、重试；
时间闭环：跨多个唤醒周期追踪长期目标，而不是做完一次动作就结束；
认知闭环：知道哪些信息确定，哪些只是猜测，哪些已经过期。

第二个方向是内在记忆。

过去的记忆大多在模型外部：RAG、向量库、会话记录、本地文件、memory.md。如果未来模型架构本身支持跨会话持久状态，Agent 的记忆系统会被重构。

第三个方向是世界模型。

今天很多 Agent 仍是反应式的：观察、响应、再观察。真正高风险任务需要模型能预演行动后果。比如改数据库脚本前，要先想到数据丢失、回滚失败、兼容性问题，而不是先造成事故再学习。

第四个方向是具身化。

前几代主要发生在数字空间：API、屏幕、文件、浏览器、企业工具。下一步可能是把 Agent 的行动能力延伸到物理世界，例如机器人、设备控制、工业系统和标准化物理接口。

第五代真正要解决的问题，是如何让 Agent 不只会执行任务，还能理解行动后果、管理长期状态，并在更大风险半径内保持可靠。

这条时间线背后的六条规律

第一，基座模型能力仍然是天花板。Agent 不是大模型之外的魔法，而是大模型能力通过工程系统释放出来的方式。

第二，工程化架构会放大模型能力。规划、验证、反思、修正、评估和权限控制，比单次生成更接近可交付结果。

第三，开放协议会重塑价值分配。MCP、Skills、项目上下文规范一旦稳定，竞争焦点会从“谁先接了工具”转向“谁沉淀了真实领域能力”。

第四，Agent 演化的隐含主线是人机信任边界扩展。从信任文本，到信任 API 调用，到信任复杂工作流，到信任电脑操作，再到信任常驻执行，每一代都把风险半径往外推。

第五，每一代事故都会变成下一代铁律。AutoGPT 的无限循环推动结构化编排，vibe coding 的失控推动评估驱动开发，误删生产环境推动最小权限和沙箱，技能投毒推动供应链安全。

第六，Agent 生态会反复经历爆发和灭绝。能力升级会创造临时中间层，模型或平台内化后又会消灭这些中间层。把时间窗口误判成护城河，是 AI 创业里很危险的错觉。

真正的护城河

AI Agent 领域真正的护城河，不是抢先包装某个新能力。

更可靠的护城河大概有三类。

第一，垂直领域深度。你是否真的理解一个行业的流程、风险、异常和责任边界。通用模型可以学概念，但不一定能替代长期打磨出来的领域执行经验。

第二，数据飞轮。你是否能从真实使用中积累高质量反馈，不断改进流程、评估、微调和产品判断。

第三，用户信任。用户是否愿意把更高价值、更长期、更有风险的任务交给你，而不是只把你当成一次性工具。

当某项能力被平台或基座模型吞噬之后，仍然能沉淀流程、反馈、责任边界和信任的产品，才更可能留下来。除此之外，很多项目只是阶段性泡沫。

最后

从 2022 年到 2026 年，AI Agent 的演进不是“模型越来越会聊天”，而是“人类愿意交给 AI 的事情越来越多”。

真正成熟的 Agent，不是最敢自动执行的系统，而是知道何时执行、何时验证、何时暂停、何时请人确认的系统。

如果要判断一个 Agent 产品是否有长期价值，可以问一个问题：当这个能力被下一代模型或平台内置后，它还剩下什么？

答案如果是领域流程、真实数据、可验证结果和用户信任，那才可能是长期价值。

Function Calling on KnightLi的博客