那个“促成交易”的 agent —— 演示藏起来的那部分

2026 年 6 月 3 日，Meta 在全球推出了它的 Business Agent。 它不是一个回答问题的聊天机器人。它会 预约、筛选潜在客户、促成交易、执行付款 —— 全天候，用客户的语言，接入 Shopify、Zendesk 以及其他数百个系统。Meta 说 已经有超过一百万家企业 在用它。在演示里它就是纯粹的魔法：一个永不疲倦、永不睡觉、起步零成本的销售员。

演示是简单的部分。下面是它从不展示给你的那部分。

它不是聊天机器人。它是一个拿着你的卡、却没有判断力的员工。

抹掉表面的光鲜，看看它的本质。你把一个自主的 agent 接进了你的业务，它能 读取陌生人发来的消息（你无法控制的输入），并且能以你的名义行动 —— 做出承诺、报价、成交、转移资金 —— 以机器的速度，一天成千上万次。

这不是客户服务。这是把你的公司信用卡、你的日历、你的结账流程交给一个新员工， 然后从不复核他做了什么。区别在于，这个员工是一个 非确定性的猜测者，它会在某个比例的情况下， 信心十足地说错话或做错事 —— 而现在做错的事是一笔退款、一个它自己发明的折扣、 一个你无法兑现的承诺，或者把客户的数据发到了不该去的地方。

同样危险的本质，被当成产品卖出去

我写过那一年，agent 成了攻击者： 危险的基本要素是一个拥有广泛权力的自主行动者，被喂入不可信输入， 其行动速度快过任何人类能复核的速度。 WhatsApp 上的销售 agent 正是如此。 那个"不可信输入"就是每一条客户消息 —— 一个聪明的、或者只是糊涂的客户， 就能把它引导去做不该做的事。过去需要一个安全研究员才能搭起来的东西， 现在成了一键产品，这一周就有一百万家企业接上了它。

新的部分：你不能说"是 AI 干的"

这里有一个变了的、而且非常具体的东西。法律上的逃生通道刚刚关闭了。 加州的 AB 316 自 2026 年 1 月 1 日起生效， 禁止你把 AI 系统的自主性当作抗辩理由 —— 如果你的 agent 造成了损害，"它是自己行动的"不能成为抗辩。整个 2026 年广泛的 法律共识也是一样的：部署 agent 的企业承担主要责任。 自主性重新分配了问责， 而不是抹掉问责。律师们还反复指出，大多数公司的合同根本没覆盖这个缺口。所以 "让 agent 去促成交易"真正的意思是：它做出的每一个承诺、发出的每一笔退款、 每一次错售和每一次泄露，都由我承担 —— 规模化地、瞬间地承担。

诚实的另一面

这东西确实有真正的价值。一个全天候、多语言、处理掉那 90% 无聊客户对话的 agent 是实打实的胜利，而且 Meta 确实提供了 guardrails（护栏）、控制项和指标。问题不在于 agent 去做事。问题在于做这些事的时候，没有把动作面（action surface） 当成它如今实际背负的法律责任来对待 —— 用"回答一个 FAQ"那样的随意态度， 去接上"促成交易"。

实际该怎么做

办法就是我一直回到的那套纪律，只不过对准的是业务动作：

• 给它锚定（ground it）。 agent 只能陈述经过计算或经过批准的事实 —— 你真实的价格、真实的库存、真实的政策。它绝不能发明一个折扣、一个交货日期或一个承诺。 如果这个事实不是来自你的系统，agent 就没资格说出来。
• 限定动词，而不只是限定词句。 聊天是廉价且可逆的。预约、退款和付款不是。 把每一个不可逆的、涉及金钱的动作，挡在一个额度、一道审批或一份白名单后面 —— 就像你绝不会在新销售上岗第一天就给他无限退款权限一样。
• 让它可观测，并给它一个负责人。 必须有某个人的名字 为它凌晨两点做的事负责。把 Meta 的 guardrails 当成它本就是的法律边界来用， 而不是一个你随手扫一眼的设置页面。

"让 agent 去促成交易"是演示里最激动人心的一句话，也是生产环境里最昂贵的一句话。 这个 agent 快速、不知疲倦、且属于你 —— 这意味着它犯的错也同样快速、不知疲倦、 且属于你。在你被它有多会说话打动之前，先决定它到底被允许实际做什么， 因为法律已经决定了它出错时由谁买单。是你。