「托管 agent」很方便，直到你想走却走不了

眼下 AI 领域最火的卖点就是托管 agent。这一季谷歌正式推出了 Gemini API 里的 Managed Agents： 一次 API 调用就能在一个隔离的云端 sandbox 里拉起一个 agent，它在里面推理、规划、调用工具、运行代码、管理文件、保存状态—— 这一切都由谷歌的基础设施搞定，你什么都不用自己搭。Anthropic 也推出了自己的 Claude Managed Agents，做成了一个 一站式服务。 各家的承诺都一样：跳过管道工活儿，一天就把 agent 上线。

它确实很方便，我也不想假装不是这样。对于一个原型、一个用完即弃的东西、一个风险很低的项目来说，托管 agent 是笔好买卖。 但你值得看清楚自己到底买的是什么，因为在这件事上，便利和锁定恰恰是同一笔交易——而代价出现的时间，要比便利晚得多。

你租的不再是模型了，你租的是整套神经系统。

这里有个关键的区别。我以前写过，藏在 干净接缝后面的模型是可以随时替换的——你租的是大脑， 而换大脑只需要改一个配置值。托管 agent 是另一回事。你租的不只是模型，你还租了 runtime（agent 在哪里执行）、 记忆和状态（它在多次运行之间记住了什么）、工具层（它怎么动手做事）以及 可观测性（你怎么看到它做了什么）。这不是一个组件。这是你产品的整个操作系统， 跑在某一家厂商的高墙之内。

而且和模型不一样，这些部分会 越积越多。正如对这一波浪潮的分析所说，你最终会 把自己的 agent 架构嵌进平台的 runtime、治理和可观测性里，这种嵌入会随时间不断叠加，越来越难以拆解。 它跑得越久，你产品的记忆和行为就越多地存放在一个你没法轻易带走的地方。这正是几周前提到的 上下文锁定问题，只是又往深处推了一层： 锁住的不只是你的数据，而是处理这些数据的整台机器。

10% 测试

有个残酷的数据值得你揣在兜里。2026 年的一项评估发现，大约 90% 号称是 AI「agent」的产品其实是厂商掌控的功能套壳—— 它们没有你能掌控的持久化状态，没有模型可移植性，也没有外部可审计性。 只有大约 10% 是真正可移植的平台，agent 能真正独立于厂商的基础设施运行。

这就给了你一个干脆的直觉测试，适用于任何托管 agent 产品：你能不能把你 agent 的记忆、工具和定义拿走， 放到别处去跑？ 如果能，那它是个真正的平台，便利是白送的。如果不能——如果你 agent 的大脑、记忆、 技能和 runtime 全都是厂商的，没法导出——那它就不是平台，而是一个带退出费的功能， 而这笔退出费就是你的整个产品。

用它换速度，把会越积越多的东西解耦出来

这不是一篇「永远别用托管 agent」的文章——那太蠢了，速度的好处是实打实的。这是一篇「搞清楚你在做哪笔交易」的文章。 那些最敏锐的团队用的套路，是把会越积越多的部分从厂商的 runtime 里解耦出来： 把 记忆层、工具/技能库以及编排都保存在你掌控的格式里， 这样你换 runtime 时不会丢掉产品积累下来的状态。几条实操建议：

• 托管对低风险场景和原型来说没问题；任何核心的东西都要解耦。 你越是会因为走不了而受伤， 就越不该把你的神经系统放进厂商的 runtime 里。
• 拥有你的记忆和你的工具。 你 agent 积累下来的状态、它的工具/技能定义，是带引力的那部分。 让它们可导出、用开放格式——工具层尽量靠 MCP 这样的开放标准——这样它们就不会被困在某一个 runtime 里。
• 对 agent runtime 用上你对模型用的那套退出测试。 我一直会这样问一个供应商： 如果他们明天把价格翻倍或者关停服务，我要多久才能搬走？对 agent runtime 也这么问。如果诚实的答案是「我们搬不走」， 那你买的就不是便利——你买的是一种依赖。
• 盯住数据，别只盯 runtime。 日志、追踪记录、任何微调结果都存放在某个地方； 如果它们只存在于托管服务内部、没法导出，那就是披着仪表盘外衣的锁定。

归根结底

托管 agent 是 AI 里最诱人的报价，因为它用一次调用就帮你去掉了最烦人的活儿—— runtime、管道、状态管理。而这恰恰是它值得你再看一眼的原因。它帮你去掉的那些管道， 也正是那些一旦灌满了你产品的记忆和行为，就再也拿不回来、只能从头重建的部分。

所以，在风险低的地方尽管享受便利；在风险不低的地方，记住你交出去的是什么：不是一个你能随手替换的模型， 而是你产品用来思考的整台机器。把会越积越多的部分——记忆、工具、编排——构建成你自己的、可移植的， 让厂商去跑底下那些无聊的执行环节。这条边界划对了，托管 agent 就是纯粹的杠杆。 划错了，一次方便的 API 调用，就会变成你永远走不了的原因。