SaaS 正同时遭受两记重击,而市场正在为错误的那一个定价。响亮的那一击——能在周末重建软件的编码 Agent——是真实存在的,但可以幸存。真正重要的那一击要安静得多,它决定了谁能继续获得报酬。
软件本身正在从人驱动的东西,变成 Agent 运行的东西:不再是用户点击一个确定性的工具,而是 Agent 在其中行动,批准退款、提交索赔、转移资金。一个确定性的产品每次给出相同的答案;一个概率性的产品可能会出错。一旦你的 Agent 软件自主行动,客户所支付的,就缩小为信任:在你的系统内行动的权利,以及当行动出错时你愿意支付的意愿。编码 Agent 可以复制其表面,但无法为其承担责任。
我们用这个测试检验了 200 家最大的上市软件公司:当软件自身的决策出错时,你会用现金赔偿吗?有两家会。当 TurboTax 的计算错误导致 IRS(美国国税局)罚款时,Intuit 会支付罚款和利息,不设上限,直至申报表有效期满,因为五十年的申报数据让它精确地知道自己的计算会在多长时间内出错。ADP 在薪资处理领域也采取了同样的做法,覆盖可追溯到其自身申报错误的罚款。这两家公司都不是有意为之;几十年的损失数据将他们推到了软件行业中最具防御性的位置之一。像 CrowdStrike 和 SentinelOne 这样的网络安全厂商看起来相似,但实则不同:他们的有限保修在产品未能阻止外部攻击者时赔付,而不是在软件自身的决策错误时赔付。这个区别就是全部意义所在,而下一波 AI 原生应用将会有意地攻克这一点。
重新定义 “套壳焦虑”
把某个产品称为“GPT 套壳”是一种委婉的说法,意思是“OpenAI 会在一个普通的星期二就做出这个功能”,而不伤害任何人的感情。但“套壳”描述的是症状,而非根本问题。几乎所有产品都会套壳一个模型,无论是封闭的前沿模型、开源模型,还是你自己的。问题在于,一旦模型本身成为商品,在套壳之下是否还存在任何可防御的东西。这迫使我们在新的 AI 时代,简单地将事物分为三类:智能、上下文和行动权。
在这三者中,智能是成本越来越低的那一个。生成看似合理的文本、代码和计划的原始能力在不断提高和普及。它会默认出现在任何地方:办公套件、IDE、浏览器、支持工具。如果一个产品的核心价值是“我们能提供聪明的答案”,那么这个产品的价格将难以维持。
上下文才是真正的难点所在。它更多指的是运营现实,而非抽象的“知识”。它是系统状态、策略、权限、工作流实际运行的实体和历史。是分布在六七个彼此不完全一致的系统中混乱的现实。风险很少在于 Agent 无法生成代码。真正的风险在于,它生成了看似合理但违反了未明示的业务规则和系统契约的变更。演示感觉很神奇,而生产环境部署停滞不前,原因相同:在演示中,上下文是人工喂给的;在生产环境中,它缺失、不一致,或者被锁定在无人能假设拥有的权限之后。
行动权被限制得最久。从“建议”转向“执行”的那一刻起,对话就不再关乎能力,而是关乎信任。**现在的问题是权限和问责制:谁可以写回数据以及根据什么策略,是否有审计跟踪,系统在边缘情况下会做什么,以及当它崩溃时谁会收到告警。
剥离“套壳”这个标签,下面的问题是:谁能在客户的系统内采取行动。
新基线:通用 Agent
如今,“AI 软件”的基线不再是一个聊天机器人界面。它是一个连接到技术栈其余部分的能力强大的 Agent。它连接到底层系统,由护栏加以限制,并以一项真实任务为目标。这个基线已经可以完成很多事情,并且在许多工作流程中,足以让一个独立的应用程序显得多余。
关键在于这个基线止步于何处。如果一个通用 Agent 能处理 70–80% 的工作,那么剩下的 20% 才是业务真正所在。而那 20% 与提示工程或编排技巧几乎没有关系。它涵盖了所有能让软件在被允许行动后值得信赖的东西:治理、异常处理以及在实际条件下的可靠性。你无法事先完全定义好需求,而客户会因为你的失误而惩罚你。
市场已经在根据那 20% 进行筛选,你可以看到它划出的界线。价格下跌最狠的软件,是那些只出售了那 80% 的软件,即通用 Agent 现在默认就能生成的聪明输出。价格坚挺的软件,出售的是 Agent 要做任何事情都必须调用的那 20%:治理它的运行时以及它据此计费的消费接口。分析和创意类 SaaS 下跌,因为客户可以重建输出。基础设施和网络安全类 SaaS 持平甚至上涨,因为野外每多一个 Agent,就意味着他们需要监管更多端点,计量更多调用。记录系统介于两者之间。它们拥有那 20% 所运行的工作流逻辑,但前提是它们以 Agent 原生方式将其暴露出来。任何季度的财报都能显示出类别层面的赢家和输家。更难的问题是,哪些护城河能在转型中幸存下来,我们数出了三个。
Agent 软件中的三道关卡护城河
在一个可以一键切换 LLM 的多模型世界中,模型本身很少是护城河。护城河是在生产环境中运营而不至于搞砸事情的权利。
一旦你接受了通用 Agent 基线,我们认为可防御性会分解为三道关卡护城河,而且是依次通过的。第一道关基本已成定局:每个严肃的厂商都已经通过或即将通过的安全与合规入场门槛。第二道关是当下企业预算和转换成本集中的地方。第三道关是我们认为最有趣的机遇正在形成,而几乎还没有人到达的地方。每一道关都是必要的,但并非充分条件:通过第一道关让你得以进入大楼,但不会让你留在那里。如果你正在创业或投资,想要实用版本,那么每道关下面都会以一个现场测试结束,一个你可以针对特定公司提出的问题。但必须先讲清楚这些关卡。
关隘 1. 企业气闸(可信执行环境)
企业不会“部署 Agent”。他们会批准受监管的环境。问问那些看到 OpenClaw 病毒式传播的人,如果他们没有这样做会发生什么。
第一个护城河是拥有允许 Agent 运行的执行环境。这意味着最小权限原则和审计跟踪,再加上确定性的回退机制,能在 Agent 偏离脚本时抓住它。这些是风险委员会实际会签署的控制措施。这能将试点项目转化为生产环境。没有它,你就只能停留在演示和实验阶段。
你出售的是一个经过授权的运行时,它使自动化足够安全,以至于风险委员会可以签字放行,而不是出售原始的智能。
不要将气闸与编排器混淆。“编排器就是一切” 是当下流行的说法:你真正的优势在于你的内部编排,你如何链接 Agent、路由任务以及管理模型输出。编排器是真正的工程,具有可衡量的性能影响。但它不是护城河。每个严肃的团队都会趋同于相同的设计,而趋同的工程就是基础设施。观察趋势方向:随着模型越来越好,编排器需要更多的胶水代码来跟上,而护城河本身却在变得更简单。气闸决定了你是否被允许进入客户的系统。编排器只决定了你进入后如何运行。这是有用的工作,但它发生在关卡之后,而不是关卡本身。
对于任何特定公司,要问的问题是这样的:如果某家实验室明天推出一个与你直接竞争的产品,客户是否仍然需要你?如果答案是肯定的,那么你已经清理了风险委员会实际签署的内容(权限、审计、Agent 在其中运行的受控环境),而推出该功能的实验室要么还没有,要么懒得去做。花在学习一个客户的升级路径上的工程时间,对实验室来说,价值低于适用于所有客户的功能。如果答案是否定的,那么你只是寄生于别人系统上的一个功能,而功能最终会被打包整合。
关隘 2. 工作流权威(写回 + 异常处理)
第二个护城河是处于真实工作流的执行路径中,具备受管控的写回能力,即 Agent 实际上更新客户的记录系统,而不仅仅是读取它们,并且能强有力地处理边缘情况。你不仅仅是给出建议。你写入字段并触发操作,你路由案例,然后当顺利路径中断时,你解决冲突并处理长尾异常。
这就是当公司从“辅助”转向“执行”时预算最终落脚的地方。转换成本在于运营依赖:深度集成、被替换的流程以及业务现在赖以运行的异常处理剧本。权限、数据映射、业务规则、相互冲突的真实数据来源:这就是“工具调用”这个说法轻描淡写地跳过的执行现实。
第二道关是目标市场成倍增长的地方,原因在于大多数定价讨论都忽略了一个预算转移。每家公司都有工具预算(软件许可)和工作预算(完成工作的人或公司)。对于大多数企业职能而言,工作预算是工具预算的 3 到 6 倍。一个仅辅助员工的产品争夺的是工具预算——一个席位许可,或许还有一些使用费。一个具有真正工作流权威的产品争夺的是工作预算,即它所替代任务的全部成本。在医疗收入周期中,这就是向计费团队出售编码副驾驶与直接处理理赔的区别:客户不再为员工购买工具,而是开始购买员工的产出。预算项目从软件支出转向服务支出。
对于第二道关,测试是不同的:工作需要多少个步骤,以及失败模式的容错性如何?一个回答常见问题的聊天机器人是单步操作,针对一个工具,且失败影响较小。一个解决账单纠纷的客户体验 Agent 会拉取账户历史、对照退款政策进行检查、发出退款、更新案例,并在金额超出其权限时进行升级。这需要跨多个系统进行数十个步骤,每一步都会影响客户的分类账。两者看起来都像“一个正在工作的 Agent”。但只有一个需要一个专注的团队花费数年时间来工程实现,也只有这一个对横向实验室平台来说是安全的。
关隘 3. 工程化确定性(作为产品销售的有限故障)
第三个护城河是获取一个概率性系统,并将其故障分布限制得足够紧密,从而能够针对最终结果进行销售的能力。保险、保修、准确性保证、SLA 和结果定价是这种能力在商业上的体现方式。护城河本身是使其中任何一项得以生存的工程和运营纪律。
其架构现在已经足够清晰,可以描述。纯粹的 Agent 每次调用都从头推理,无法承受成本或错误率;僵化的工作流在现实变得混乱时就会崩溃。第三道关的架构介于两者之间。工作流提供了可重复性,并将成本和审计置于控制之下。Agent 吸收了可变性,并在顺利路径中断时进行恢复,同时,在判断性决策承担真正责任的地方,保留人在回路中。在底层,生产环境中的一个反馈循环将每一次升级和异常转化为收紧系统的信号。随着时间的推移,工作流不再是一个脚本,而成为客户的运营记忆,编码在你的产品中。这个循环是实验室在结构上无法触及的:他们不会足够深入地停留在任何一个客户的生产环境中,去了解为什么一个风险会被拒绝。
一旦能力存在,保障和定价就会随之而来。目前最清晰的外部证明是 ElevenLabs:其语音 Agent 操作在 AIUC-1 认证下是可保的,该认证通过针对系统运行超过 5,000 次对抗性模拟获得。这是构建第三道关所依赖的损失表的经验性风险分析,并由第三方而非公司本身证明。但证书本身不是护城河,而且这个门槛已经在向竞争对手扩散。底层的循环才是随时间推移而持久的;证书只是它的可见标记。
定价从内部揭示了同样的事情。公司愿意根据什么来收费,告诉了你它相信自己能控制什么。没有人会针对自己无法控制的结果收费。Sierra 是已知最完整的从第一天起就为第三道关进行工程设计的公司,默认针对结果收费,并逐季度压低其故障曲线。Sierra 能够承保这种定价,是因为它已经根据生产流量衡量了自己的故障分布,并为此预留了准备金。
来自结果定价怀疑论者的反对意见是,任何人都可以编写一个结果合同。没错,但任何一个没有 Sierra 那种循环的人这样做,都无法在长尾案例中幸存,在这些案例中,Token 消耗会超过赔付额。区分幸存者的关键因素是:能够让你正确定价合同的生产环境暴露,以及能使你的错误率保持在价格内的架构。
失败发生的频率远不如其形态重要。一个概率性系统以人类劳动力不会有的相关方式失败:一个糟糕的变更会在任何人发现之前影响数千个案例。这个肥尾就是使天真的结果定价变得不可保险的原因。要幸存下来,需要不断缩小的错误率,加上能够限制任何单一故障影响范围的控制措施:分阶段推出、可逆的变更,以及在行为异常时触发的断路器。如果做得当,一个糟糕的变更永远不会变成投资组合损失。为平均情况定价很容易;防御护城河的是为尾部风险定价并经受住它。
第三道关之所以作为可防御的护城河和投资主题而有趣,是因为现在可以在保证存在之前诊断出这种能力。你无需等待保修期来确定一个第三道关公司。你可以从其架构中解读出来:是否存在一个真正的生产循环,异常作为训练信号反馈其中;故障分布是否实际上在随时间收窄;以及客户是否根据 CFO 会在预算审查中捍卫的预算项目来付费。所有这些都可以从外部观察到。这里的空方论点不是第三道关错了,而是第三道关来得太早。假设工程化确定性姗姗来迟:可靠性停滞不前,企业仍然不愿让软件在承担实际成本的决策上不受监督地自主行动,并且未来五年内几乎不会制定出保障措施。那么,第二道关将在本十年余下的时间里持有每一分钱的回报,而一个超配第三道关的基金则预先支付了一个期权,而这个期权在兑现之前就已到期。
第三道关和之前的关卡一样,有自己的现场测试:ROI 是否可衡量、是否归因于你、并且是否与 CFO 可以捍卫的预算项目挂钩?一个生产力副驾驶承诺“提高 30% 效率”,这是一个在季度末没人会去核实的数字,也是一个更便宜的竞争对手下周就能匹敌的说法。一个每份干净理赔计费的理赔 Agent、一个每个已解决工单计费的客户体验 Agent、一个每份已执行保密协议计费的合同 Agent:这些落入 CFO 已经追踪的预算项目中,供应商将为这个数字负责。一个实验室会在其发布产品的那一周匹敌你的产出,但不会用现金为客户的数字承担后果。吸收这种责任是它最没有动力采取的一步,也是为什么一个通关第三道关的公司无法被整合掉的原因。
谁真正在第三道关?
我们用 Claude Code 对排名前 200 的上市软件公司进行了检验。如果第三道关是 Agent 时代最持久的护城河,那么有多少现有公司实际上拥有它?绝大多数(142 家公司,市值超过 4 万亿美元)拥有真正的工作流权威,但止步于为结果承担责任;称之为第二道关。另外 11 家主要是编排类公司,随着模型改进,它们的实力会减弱:即“脚手架”风险。还有 43 家已经通过了安全和合规门槛(第一道关),但尚未显示出真正的工作流权威。只有两家公司(Intuit 和 ADP)用现金为其自身软件决策的后果负责,而且它们是通过数十年的行业特定损失数据达到这一点的,而非通过工程化确定性。更广泛的网络安全厂商也提供有限保修,但这些是为未能阻止外部攻击者而赔付,而不是为软件自身得出的结论而赔付。关卡是存在的,但通关的那两家公司是偶然撞进去的,而不是有意去构建的。
这两家公司有一个共同的举措。Intuit 为 TurboTax 计算错误时它需要支付的 IRS 罚款预留准备金,其规模根据五十年申报数据让其能精确到美元的错误率来确定。ADP 在薪资处理领域也这样做。IRS 仍然最终要求雇主承担责任,因此 ADP 兜底的是它自己的错误,而不是你的税务义务。两者都根据自身数据解读出的故障分布来定价,针对其软件实际做出的决策,并将保证作为一种信心信号免费提供,而不是作为一项政策来销售。网络安全公司则完全反过来了:CrowdStrike、SentinelOne 等公司销售的是有上限、有条件、通常有附加费用的保单,在产品未能阻止攻击者时赔付。这是一个真正的保修,但针对的是入侵,而不是软件代表客户做出的决策。
两家公司是一个很小的数字,但我们并不惊讶。这样的护城河只有在存在十年的损失数据和已赔付的保修时才能得到确认,所以当它变得显而易见时,也已经过时了。新的情况是,你现在可以尽早地解读出这个模式:从一个不断收紧的故障率、一个将异常转化为训练数据的反馈循环,以及一个仅针对已衡量的结果设定的价格中,早于任何保修使其正式化之前。
机会在于有目的地进行工程设计,而这正是现有公司偶然撞入的领域。下一波公司从第一天起就构建有限故障,将现有公司花费三十年时间才走完的历程压缩到几年内。它们不会来自现有公司的领域,那里数十年的损失数据提供了任何初创公司都无法复制的优势——它们将来自这些领域之外的两个缺口,在这些地方,现有公司没有损失数据,因为以前根本没有任何数据可收集。
第一个缺口是完全没有前 Agent 时代对应的工作流程,例如 Agent 间协商、自主采购和算法合同生成。这些品类在 Agent 创造它们之前根本不存在,因此精算时钟对每个人都是从零开始。
第二个缺口是被放弃的工作:那些因为从未具有经济性而从未有人承担的任务。一家企业与其前 20 大供应商进行艰苦谈判,却忽视了长尾供应商,而那里的合同漏洞占采购支出的 2%–5%,却无人问津。一个捕捉到这个缺口的 Agent 进入了一个没有现有公司、也没有现有预算线可以取代的空间,因此这个楔子就像是意外之财。这些公司从第一天起就是第二道关公司,但它们跳过了企业销售中最难的部分:取代一个根深蒂固的供应商。它们同时创造了工作流和预算,在这张白纸上,初创公司的结构性敏捷性更为重要。
跨越期:利润率、无界面化与谁将幸存
真正的护城河随着运营时间的推移而复合增强。一个已经通过气闸(第一道关)并正在工作流内执行(第二道关)的产品,会成为所有相邻用例的默认选择,因为企业会标准化使用已经获得信任和批准的产品,而不是重新审批一个新的供应商。嵌入到日常执行中,产品会积累运营反馈(覆盖、异常处理、下游结果),从而随着时间的推移提高可靠性并减少返工。这不是一个泛泛的“数据护城河”。这是一种只有通过站在火线前线才能获得的优势。
今天,这些护城河在第一道关和第二道关处建立得最快。如果第三道关成为现实,它将创造所有护城河中最持久的锁定,因为承担责任是通用 Agent 平台最没有动力去做的事情。
但是,如果在这一切发生之前你用光了现金,那一切都无济于事,而转型的经济性正在危及这笔现金。 Agent 不像员工那样占据席位。当一个 Agent 取代了十个人的工作时,席位模型就失去了意义,行业会重新定价,转向消费和结果经济,利润率接近 35–50%,而不是支撑 SaaS 估值的 75–85%。在第三道关,定价证明了护城河的存在。在转型期,同样的定价是您必须跨越才能到达那里的风险。同一个标志着第三道关护城河的结果定价,从整体上看,是整个行业都必须承受的利润率重置。
第一道关公司面临最深的低谷:平台捆绑同时摧毁了差异化和定价权,它们从 SaaS 利润率向下重新定价,进入一个将其视为基础设施的市场。第二道关和第三道关公司则以相反的方向跨越,因为转换成本和原生结果定价给了它们重新定价的空间,因此它们以服务经济的利润率进入,并随着自动化规模化向软件经济利润率改善。你位于第二道关的哪一侧,很大程度上决定了这个转型是你可以幸存的威胁还是可以利用的机会。
生存更多地取决于架构,而不是公司属于哪个类别。公开市场的表现说明了这一点。基础设施和安全类公司保持坚挺(Datadog、Cloudflare、CrowdStrike、Palo Alto),而分析和创意类公司自年初至今下跌约 50%(Atlassian、Figma、GitLab)。幸存者已经在销售消费模式,并且已经实现了无界面化运行,这意味着他们的产品是通过 API 由其他软件驱动,而不是由登录屏幕的人来驱动。野外每多一个 Agent,就会给他们带来更多的端点、遥测数据和 API 调用。每个第二道关的现有公司都必须完成同样的跨越:将系统暴露出来,以便 Agent 可以直接驱动它,使 UI 变成可选的,并从席位重新定价为 API 调用和 Agent 操作。
无治理的无界面化是一个陷阱,因为一个纯粹的数据存储会引诱任何一个 Agent 供应商捆绑一个你的免费版本。能够持久的定位是将数据引力与只有工作流拥有者才能提供的东西结合起来:意图和结果的审计跟踪、决定每个 Agent 可以读取或写入什么的治理层,以及为同时存在的数千个非人类参与者构建的权限系统。这就是为 Agent 时代重生的第二道关,也是 Datadog 和 CrowdStrike 保持坚挺的原因。现有公司从传统 SaaS 一侧通过无界面化达到这一点;初创公司从 Agent 一侧通过构建工作流运行所通过的行动系统达到这一点。两者都到达了同一个位置:写回他们拥有的记录系统、他们拥有的治理层、底层的消费经济模式。这种趋同就是为什么“杀伤区”比“SaaS 末日前恐慌”所暗示的要狭窄得多,并且大多数具有真正工作流权威的软件都可以跨越。支撑其跨越的是现金:转换成本和定价权为跨越提供资金,以及一个一旦跨越就作为基础设施收费的架构。
这对创始人及投资人意味着什么
SaaS 正同时遭受两记重击,而市场正在为错误的那一个定价。无界面化、Agent 和结果定价正在重塑软件价值的构成。对于创始人:第
如果你正在构建一款 AI 应用,战略问题已经不再是“输出质量有多好?”,而是:客户会信任你拥有工作流中的哪一部分,而当某个 Agent 平台试图吸收其余部分时,会发生什么? 以上三项实地测试给出了答案:你扫清的气闸(关卡一)、实验室不花数年时间深耕就无法复制的流程深度(关卡二)、以及客户不愿重新论证来把你换掉的有账可查的预算行(关卡三)。而贯穿这三项的背后,有一个决定任何关卡能否不断积累的测试:可重复部署。 如果每个客户都是定制化的集成项目,那你根本不是在建造护城河。你只是在运营一家碰巧交付软件的服务公司,在你改变这种模式之前,你攻下的任何关卡都不会产生复利。
但通过这些测试并不等于能安全跨越。利润率重置是创始人常常低估的部分:当按席位收费让位于按用量和结果定价,毛利率会压缩到 35–50%,直到流程深度再把它们赚回来。这个低谷是真实存在的,而流程深度并不能在你现金流枯竭时救你。跨越的方法是:用来自关卡二的现金流来资助跨越——也就是那些已经占据工作预算行项的转换成本和回写授权,而不是依赖你尚未赚到手的关卡三承诺。关卡三是一项期权,只有通过持续在生产环境中运行才能积累,而不是你能靠一轮融资来开始的东西。如果创始人颠倒这个顺序,在失败分布尚未能承受长尾之前就按结果定价,他们就会把本该带他们到达护城河的跑道烧掉。
对于运用同一框架进行评估的投资者来说,尽职调查的问题则是另一方向。大多数 VC 仍在谈论数据护城河或网络效应。在 Agent 时代,我们认为关键问题是:AI 应用愿意在责任链上攀登多高。 我们首先询问这家公司除了通用 Agent 基线之外还拥有什么,并且寻找每个关卡的实际证据而非声明:可复用的治理构件、以核心系统结果(而非“助手参与度”)衡量的回写操作,以及足以让公司承担结果承诺的生产环境曝光度。而贯穿这三项的是可重复部署——因为如果每个客户都是定制集成项目,无论它通过了哪些关卡,产品都无法建立护城河。
一个 AI 应用是持久存在还是被平台吞没,取决于三件事:谁拥有上下文、谁被信任基于它采取行动、以及当行动出错时谁来承担责任。 只做界面、不掌握其中任何一项的软件,最终会被并入任何出现的平台。客户信任其行动的软件,才是能留下来的软件。





