每一个爆火的 Agent 开源项目,都在重建一个人类已有的东西
我最近盯 GitHub Trending 盯出了一个规律。
MCP 火了 — 其实就是给 Agent 定了个"怎么调工具"的规矩。人类早就有了,叫 API 标准。
CrewAI 火了 — 让多个 Agent 分工合作。人类早就有了,叫团队协作。
Aegis 火了 — 给 Agent 加安全策略。人类早就有了,叫防火墙。
你发现没有?这些项目本质上在做同一件事:把人类社会里已经跑了几十年甚至几千年的基础设施,给 Agent 重新造一遍。
那我就顺着这个思路往下想 — 人类世界里还有什么东西,Agent 世界还没有?
| 人类世界 | Agent 世界 | 有人做了吗 |
|---|---|---|
| API 标准 | 工具调用协议 | MCP ✓ |
| 团队协作 | Multi-Agent 编排 | CrewAI ✓ |
| 防火墙 | 行为管控 | Aegis ✓ |
| 签字画押 | ? | ? |
最后一行,没人做。
签字这件事
人类搞了几千年的签字画押。签合同要签字,签收快递要签字,审批报销要签字。法官问的第一句话永远是「你有授权签名吗」。
签名不是信任机制。你信不信对方是一回事,但签了字就是签了字 — 白纸黑字,赖不掉。
Agent 呢?
你的 Agent 每天用你的账号调几十个 API。创建 Issue、发消息、下订单、改配置。做了什么?不知道。能证明吗?不能。
不是日志不够详细的问题 — 是根本没有「Sign」这个概念。日志谁都能写,谁都能改,谁都能删。那叫记录,不叫证据。
没签名的时候会怎样
说三个真实场景。
第一个。 你在 CrewAI 里跑了个 pipeline,调度 Agent 把任务分给研究 Agent、写作 Agent、审核 Agent。最后报告里有段数据是错的。哪个 Agent 搞的?什么时候搞的?当时输入是什么?你不知道,你只能一个一个排查。
第二个。 安全团队来了,问你"你那个 Agent 上周都干了什么"。你翻 MCP Server 的 access log — 里面全是 HTTP 请求,看不出是人操作的还是 Agent 操作的。你答不上来。
第三个。 你让 Agent 帮你在 marketplace 下了 10 笔采购单,其中一笔金额不对。你想说"这不是我批准的" — 但 Agent 用的是你的 Key,日志上看就是你干的。你拿不出反证。
所以我做了 Signet
Signet 干的事很简单:Agent 每调一次工具,就签一次名。
签名用 Ed25519(SSH、Signal、WireGuard 用的那个)。每条收据写进哈希链日志 — 改一条,全链断。
from signet_auth import SigningAgent
# 给 Agent 生成个"唯一标识"
agent = SigningAgent.create("procurement-bot", owner="willamhou")
# 签名。收据自动写进审计日志。
receipt = agent.sign("marketplace_purchase",
params={"item": "GPU-A100", "quantity": 2, "price": 15000})
# 这个 Agent 过去 24 小时干了什么?
for record in agent.audit_query(since="24h"):
print(f"{record.receipt.ts} {record.receipt.action.tool}")
# 这条收据被动过吗?
assert agent.verify(receipt)
# 整条日志链完整吗?
status = agent.audit_verify_chain()
三行代码。pip install signet-auth。不用部署任何东西。
回到前面三个场景 —
第一个:每个 sub-agent 有自己的签名。查日志,按签名人过滤,直接定位。
第二个:agent.audit_query(since="7d"),过去一周每条操作都有加密签名,给安全团队看。
第三个:拿出收据。金额、数量、时间、签名人 — 加密可证明,改不了。
和普通日志的区别?日志是"我说我做了",签名是"我做了,这是证据,你可以独立验证,我赖不掉"。
但是
写到这我其实想说另一件事。
开头那张表,整个行业都在做同一件事 — 把人类世界的组织形式搬到 Agent 世界。协议、团队、防火墙、签名,一个一个地重建。
这背后有个没人质疑的假设:Agent 应该像人类一样组织。
真的吗?
Agent 需要"团队协作"吗 — 还是因为我们习惯了团队,所以下意识地给 Agent 也造了一个?Agent 需要"签字画押"吗 — 还是存在某种完全不同的信任机制,不基于签名和证据,而是基于我们还没想到的东西?
人类发明护照、合同、审计,是因为人会撒谎、会忘事、会抵赖。Agent 是另一个物种。它的信任基础设施,是不是应该从头设计,而不是从人类世界照搬?
我没有答案。
我知道的是:今天你的 Agent 已经在替你做事了,而你连它做了什么都说不清楚。不管未来的答案长什么样,"能证明"这一条应该不会变。
至于 Agent 的组织形态到底应该是什么 — 这个问题留给比我聪明的人。
GitHub: github.com/Prismer-AI/…
pip install signet-auth
如果你也在想这些,@willamhou
