这篇题为《2025年AI智能体指数》的学术论文由来自麻省理工学院、哈佛大学、斯坦福大学、剑桥大学等机构的学者共同撰写。其主要研究内容是对当前已部署的自主型AI系统进行系统性的记录、分类和分析。研究核心在于构建一个详细的指数以揭示该领域的现状、趋势以及关键的透明度问题。以下是该研究的全面总结与概括1. 核心研究问题与动机背景AI智能体能够自主执行任务、进行规划和与环境交互的系统正在迅速发展并在经济和社会中产生重要影响。问题该领域发展极快、定义模糊、生态系统复杂且各开发者在信息公开方面极不一致给研究人员、政策制定者和用户理解和监管这些系统带来了巨大困难。目标通过创建《2025年AI智能体指数》系统性地记录30个最先进、最具影响力的AI智能体的关键信息并分析整个生态系统的趋势和透明度现状。2. 研究对象与方法纳入标准研究设定了严格的筛选标准确保被收录的智能体具备高度能动性必须同时具备自主性、目标复杂性、环境交互能力和通用性。实际影响力满足公众高关注度、开发者市值超过10亿美元、或开发者是重要行业组织成员中的至少一项。实用性与可评估性必须是公开可用、可轻松部署且能执行通用任务的系统。分类方法将筛选出的30个智能体分为三大类以便比较分析带自主工具的聊天应用12个如Manus AI, ChatGPT Agent, Claude Code。基于浏览器的智能体5个如Perplexity Comet, ChatGPT Atlas。企业工作流智能体13个如Microsoft Copilot Studio。数据来源与标注所有信息均来自公开渠道官方文档、网站、论文等。7位专家按照统一的协议对每个智能体在6大类共45个字段上进行了详细标注并由开发者进行了核实。3. 主要研究发现与趋势研究发现揭示了AI智能体生态系统的几个关键特征和令人担忧的透明度差距发展迅猛类型分化大多数智能体在2024-2025年间涌现。不同类型的智能体在自主性水平、技术架构和行动空间上存在系统性差异。浏览器智能体自主性最高L4-L5而聊天助手自主性较低L1-L3。开发者高度集中21/30个智能体的开发者注册在美国5个在中国。几乎所有系统都依赖于少数几个闭源的基础模型如GPT、Claude、Gemini形成了潜在的单点故障和权力集中风险。显著的透明度差距这是研究的核心发现。开发者倾向于选择性披露信息尤其缺乏安全相关细节。安全评估缺失大部分开发者不公开针对智能体而非底层模型的安全评估结果。只有少数前沿实验室如OpenAI、Anthropic发布了专门的智能体系统卡。防护栏信息不明消费级智能体有内置防护栏但企业构建器平台常将安全责任推给用户自身缺乏透明度。安全事件记录不足仅有少数5/30智能体有公开记录的安全事件主要集中在浏览器智能体的提示注入漏洞。安全洗白倾向研究指出这种选择性披露可能是一种较弱的安全洗白行为即强调高层安全框架却不提供实证证据来评估实际风险。自主性与控制失衡自主性最高的浏览器智能体在运行过程中几乎不允许用户干预而企业平台在设计阶段由用户配置但部署后可高度自主运行。许多系统缺乏精细的停止控制。生态系统互动规则未定智能体如何与网络互动仍存争议。许多基于浏览器的智能体为了功能而绕过robots.txt伪装成人类流量引发与内容所有者的法律冲突如亚马逊起诉Perplexity。仅有极少数如ChatGPT Agent采用了加密签名使得验证和审计变得困难。责任分散智能体的运行依赖于从模型提供商、编排平台到部署环境的完整链条导致责任分散任何单一实体都难以对最终行为负全责。4. 案例研究文章通过三个典型案例生动展示了不同类别智能体的特点与挑战ChatGPT Agent聊天类代表垂直整合模式从模型到部署统一控制有专门的系统卡和加密签名安全实践较为透明。Perplexity Comet浏览器类代表高自主性、低透明度的模式运行缺乏干预手段安全性备受质疑且因网络抓取行为面临法律诉讼。HubSpot Breeze企业类代表设计/部署自主性分离的模式强调合规性而非智能体层面的安全披露将安全责任部分转移给用户。5. 结论与展望核心贡献该指数首次对30个顶级AI智能体进行了深入、结构化的记录和比较为理解这一复杂领域提供了宝贵的数据基础。核心警告生态系统存在严重的透明度缺口尤其是在安全评估、风险管理和生态系统互动方面。这种状况使得对智能体进行有效监督、评估其风险变得异常困难。未来方向研究呼吁开发者改进文档政策制定者关注透明度差距并建议未来的评估应更侧重于具体部署环境中的工具使用和风险。指数提供了一个基准用于衡量未来透明度的变化。这里是自己的论文阅读记录感兴趣的话可以参考一下如果需要阅读原文的话可以看这里如下所示自主型AI系统在执行专业和个人任务方面能力日益增强且所需人类参与有限。然而追踪这些发展动态十分困难因为AI智能体生态系统复杂、快速演变且文档记录不一致这给研究人员和政策制定者都带来了障碍。为应对这些挑战本文提出了《2025年AI智能体指数》。该指数基于公开信息和与开发者的邮件沟通记录了30个最先进的AI智能体的来源、设计、能力、生态系统和安全特性相关信息。除了记录单个智能体的信息外该指数还揭示了智能体开发、其能力以及开发者透明度水平的更广泛趋势。值得注意的是我们发现智能体开发者之间的透明度水平存在差异并观察到大多数开发者很少分享关于安全性、评估和社会影响的信息。1. 智能体指数我们收录了30个高度自主且广泛使用的产品第3节。sup1/sup2. 生态系统范围趋势我们识别了与系统来源、角色、自主水平、能力、安全性和透明度相关的AI智能体生态系统趋势第4节。3. 案例研究我们展示了三个特定智能体的案例研究涵盖三种主导交互范式浏览器智能体、自主型聊天机器人和可定制的企业智能体构建器第5节。图 1. 对AI智能体的兴趣正在增长。2025年对AI智能体的兴趣急剧增加。这体现在与自主型AI产品相关的新的Google搜索词条的增加蓝色条形图以及Google Scholar上提及AI智能体或自主型AI的论文数量红色折线图。本指数收录的自主型AI产品的各次发布累积数量按类别显示带自主工具的聊天、企业智能体和浏览器智能体。有关发布的详细信息见图9有关公众兴趣的详细信息见C节。鉴于AI智能体生态系统的快速变化见图1本《2025年指数》制定并实施了大幅修订的纳入标准第3.1节和信息字段第3节。最关键的是它对较少数量的系统进行了更深入的收录——重点关注具有高影响力现实应用的高度自主系统。除了提供关于知名AI智能体的信息本指数还揭示了关于开发者公开分享哪些信息以及不分享哪些信息的生态系统范围趋势。这揭示了在自主型AI事件、政府近期关注[13, 73, 97, 125, 140]、行业自律努力[88]以及智能体开发者期望与现实之间的差距[14]的背景下智能体生态系统的透明度状况。我们做出三项贡献智能体指数我们收录了30个高度自主且广泛使用的产品第3节。sup1/sup生态系统范围趋势我们识别了与系统来源、角色、自主水平、能力、安全性和透明度相关的AI智能体生态系统趋势第4节。案例研究我们展示了三个特定智能体的案例研究涵盖三种主导交互范式浏览器智能体、自主型聊天机器人和可定制的企业智能体构建器第5节。2 背景与相关工作AI智能体的定义模糊不清且在不同领域存在差异。人工能动性的概念在包括控制论[10, 107, 132]、人工生命[80-82]、理性智能体[103]、软件工程[65, 134]、强化学习[119]和哲学[38, 41]在内的各个学科中有着漫长且不一致的历史。虽然定义各不相同但它们往往强调自主性、目标导向性以及完成复杂、长期任务的能力等相关概念。尽管有人试图定义智能体一词包括在计算系统的背景下[45, 68, 70, 109]但我们不打算在这些定义中做出选择或提供替代方案。相反我们旨在综合现有定义中与系统潜在的经济和科学影响相关的要素见第3.1节。AI智能体的兴起图1展示了近年来特别是在2025年专注于AI智能体的研究迅速增加提及AI智能体或自主型AI的论文数量是2020-2024年总和的两倍多。与此同时企业对智能体的使用也激增。例如麦肯锡公司在2025年6月和7月对1993家公司进行的一项调查发现62%的受访者报告其组织至少正在尝试使用AI智能体[113]。根据对各经济部门工作自动化可能性的估计麦肯锡还估计到2030年AI智能体可为美国自动化2.9万亿美元的经济价值。智能体也能够自动化越来越多的科学研究已在生命科学、化学、材料科学、物理学、天文学和计算机科学领域做出了有记录的进展[51, 56, 57, 131, 135]。截至今年AI智能体已开始撰写通过学术同行评审的论文[110]。这些估计和报告可能存在利益冲突和炒作[74]但它们反映了对AI智能体兴趣和重要性的明显上升。最后截至2026年最近的MoltBook和OpenClaw智能体可以说已将人们对AI智能体的关注和担忧推向了新的高度[3, 12, 32, 49, 83]。围绕AI智能体的社会风险与伦理关切正如AI智能体带来独特机遇一样它们在现实世界中开放式追求目标的能力也带来了新的风险[16, 26, 31, 48, 108]。例如聊天机器人通常在人类用户根据模型输出采取行动时造成伤害例如部署模型生成的恶意代码[75, 85, 102]而自主型AI系统可以直接造成伤害例如自主黑客攻击网站[42, 64, 85]。出于这些原因高能力和高自主性的系统常被认为是问责危机[33, 62, 71]和AI失控事件[15, 16, 61]的关键风险因素。先前的一些工作专注于对智能体特定有害行为的可能性进行基准测试[6, 76, 124, 127, 140]。与此同时其他人则认为高能力的AI智能体可能导致系统性破坏和风险包括对劳动力[17, 37, 111]、不平等[60, 130]或数字思想市场[7, 69, 90, 101]的影响。绘制AI智能体格局本工作遵循Casper等人[22]发布的首届AI智能体指数。与此同时普林斯顿整体智能体排行榜项目[67]整理了在9个基准测试中对自主型AI系统的评估AIAgentList.com[4]维护着一个包含600多个自主型AI系统和产品的列表。其他工作通过在经济价值任务上对智能体的能力进行基准测试[86, 99, 126]、努力提高其操作的可视性[24, 25, 28, 93, 136]以及研究其对经济和治理的影响[59, 68, 71, 72, 106]来研究智能体。文档框架旨在促进研究和监督[133]已经开发了许多框架来记录AI系统的特征、构建系统所用的资源以及系统部署的环境。这些包括数据表[50]、模型卡[91]、系统卡[58]、情况说明书[9]、AI营养标签[122]、奖励报告[53]、生态系统图[21]、数据来源卡[78]、评估卡[39]、审计卡[117]、使用卡[128]和安全案例[30]。此外还创建了几个数据库来收集关于当代AI系统及其现实世界影响的信息例如基础模型透明度指数[19, 20, 129]、AI事件数据库[87]、AI安全指数[47]和AI风险库[114]。然而除了本文和首届AI智能体指数[22]中介绍的智能体卡之外没有其他可比较的用于记录自主型AI系统的框架。3 构建《2025年AI智能体指数》我们通过系统性地筛选和标注已部署的自主型系统来构建《2025年AI智能体指数》。本节描述了我们的纳入标准强调能动性和现实世界影响、收录系统的范围以及我们的标注方法。3.1 智能体的纳入标准为了确定一个系统是否被纳入指数我们使用一套关于系统能动性、其影响以及收录实用性的标准。要被纳入系统必须满足所有能动性标准、至少一项影响力标准以及所有实用性标准。所有标准均根据指数截至2025年12月31日的截止日期进行评估。能动性标准纳入所需全部条件。我们并非提出新的能动性定义而是借鉴现有文献并遵循Chan等人[26]、Kasirzadeh和Gabriel[68]以及Feng等人[43]开发的方法这些方法将AI智能体描述为在相当程度上展现出以下属性组合的系统。为满足我们的能动性标准必须满足以下所有四个条件自主性被纳入的智能体必须能够在最少人工监督下运行并在无需持续用户输入的情况下做出 consequential 决策[26, 68]。Feng等人[43]将自主性概念化为一个由用户角色定义的谱系操作者、协作者、顾问、批准者或观察者。我们要求至少达到中等自主性AI系统能够独立执行大多数任务尽管在关键决策时仍依赖主体的输入[68]。这对应于Feng等人[43]的自主性级别2L2用户和智能体协同规划、委派和执行。目标复杂性被纳入的智能体必须能够通过长期规划追求高层次目标例如赚钱将复杂目标分解为子目标并做出时间上依赖的决策[27, 68]。在实践中我们将其操作化为智能体能够可靠地执行至少三次自主工具调用并能根据高级任务规范进行操作而无需逐步指令。环境交互被纳入的智能体必须能够通过工具和API直接与世界交互在其环境中产生实质性变化[27, 68]而不仅仅是与用户对话。在实践中这要求对计算机具有写入权限并能选择工具。通用性被纳入的智能体必须能够处理未明确指定的指令并适应新任务展示在相关任务中的多功能性而不仅仅是单一的狭窄功能[27, 68]。影响力标准满足任一即可纳入。为了聚焦于具有显著现实世界影响力的智能体必须满足以下至少一项公众兴趣搜索量显著至少达到10,000次搜索或者对于开源项目GitHub星标总数至少达到20,000。市场重要性开发者市值或估值≥ 10亿美元。为此我们收集了来自证券交易所、Crunchbase和Epoch AI的数据。开发者重要性开发者是2024年基础模型透明度指数[19]、前沿模型论坛[46]的成员或是《前沿AI安全承诺》[2]或《人工智能安全承诺》[29]的签署方。实用性标准纳入所需全部条件。为确保分析反映已部署且可评估的系统必须满足以下所有三个条件公开可用性被纳入的智能体必须是可公开访问的产品。这排除了公司内部产品或有限的预发布版本。我们仅根据公开信息如博客文章、文档或演示确定这一点。可部署性被纳入的智能体必须能够开箱即用地执行任务只需最少配置且无需软件工程专业知识。这区别于开发框架和即用型智能体。通用目的无论其宣传方式如何被纳入的智能体在实践中必须能够执行通用任务。这排除了特定领域的智能体例如仅限编码或法律分析的智能体。Claude Code及类似工具虽然被宣传为编码智能体但只要它们能通过代码执行通用任务则被纳入。包含此标准是为了将范围缩小到那些影响最广泛的智能体。3.2 指数包含什么我们识别出三种不同类型的智能体每种具有不同的界面。我们根据用户主要如何与之交互和操作来将智能体分为这三类。这些不同的模式呈现出独特的技术架构和治理挑战。具有自主工具的聊天应用12个系统此类别主要包括具有广泛工具访问权限的聊天界面。这包括通过终端界面运行且功能广泛的通用编码智能体如Claude Code但排除了狭窄的纯编码智能体如GitHub Copilot。示例Manus AI, ChatGPT Agent, Claude Code。基于浏览器的智能体5个系统这些是主要界面为浏览器或计算机使用的智能体具有广泛的浏览器/计算机交互工具。它们区别于具有网络搜索功能的聊天智能体ChatGPT网络搜索Claude网络搜索后者主要执行检索和总结。基于浏览器的智能体通过后台执行、事件触发和直接交易带来更高的风险。我们还将直接在移动或桌面设备上运行的基于系统的智能体归入此类。示例Perplexity Comet, ChatGPT Atlas, ByteDance Agent TARS。企业工作流智能体13个系统这些是具有自主功能、旨在可靠地自动化业务任务的业务管理平台。通常实现为在工作流节点内具有自主操作的工作流构建器。示例Microsoft Copilot Studio, ServiceNow Agent。3.3 智能体是如何被识别的基于LLM的研究查询初步筛选出95个候选智能体详情见B.5节。根据我们的纳入标准对这些候选者进行筛选。模棱两可的案例被纳入进行深入标注最终纳入决定在全面评估后做出。我们咨询了两位中国生态系统专家以减轻语言或生态系统相关的盲点。我们还交叉参考了候选智能体列表与2024年指数[22]、普林斯顿整体智能体排行榜[67]和AIAgentList.com[4]。最后认识到我们可能遗漏了符合纳入标准的智能体我们建立了一个结构化流程以促进对指数的进一步修正。可通过 https://aiagentindex.mit.edu/feedback 提交。对于同时提供开箱即用型智能体和针对可比较用例的自定义智能体构建器的公司我们将它们合并为一个条目并记录了用户可以通过任一产品创建或部署的最强大智能体。当产品针对不同受众例如面向消费者的聊天智能体与企业智能体构建器时我们不合并。3.4 智能体是如何被标注的我们根据六大类别对智能体进行信息标注产品概述发布日期、定价、描述、公司与问责开发者实体、治理文件、联系机制、技术能力模型、工具、架构、记忆、自主性与控制自主水平、批准要求、监控、紧急停止、生态系统交互识别协议、互操作性标准、网络行为、安全与评估防护栏、沙箱、评估、第三方测试、合规性。这导致每个系统总共45个信息字段。所有45个字段的完整列表见B.2节。我们进一步包含了纳入标准搜索量、市值。这些类别扩展了2024年指数[22]并经过与主题专家的讨论进行了修订。关于今年字段与2024年指数字段的完整对比见B.3节。我们仅标注来自文档、网站、演示、已发表论文和治理文件的公开信息。我们没有进行实验性测试例如探查智能体行为或运行基准测试。指数中链接的所有网络来源均已存档。在可能的情况下我们创建了账户并使用演示来直接探索智能体界面。七位主题专家本文作者根据类别对智能体进行标注。为确保一致性每位专家负责特定的字段而非特定的智能体。标注强调客观层面的发现而非解释并仅关注智能体特定特征而非底层模型属性。对于创建智能体的平台标注评估了可以轻松配置的每个智能体的最强大版本记录了其能力、限制和默认配置。未找到表示我们未找到任何公开信息无表示确认不存在不适用表示该字段与此智能体无关。标注遵循通过校准练习迭代制定的详细协议参见B.4节。通过协议修订和交叉验证保持标注者间的一致性。所有标注均由至少另一位标注者独立审查。1350个字段中有37处存在差异通过讨论解决。最后我们使用带有网络搜索功能的GPT-5.2筛选标注以发现潜在不准确之处参见B.6节。对于1350个字段中的198个我们无法找到任何信息灰色。这在生态系统交互和安全、评估与影响类别中最为常见。非空信息字段平均长度为14个单词。联系了相关公司并给予四周时间纠正标注。截至发布时23%的公司提供了某种形式的回复但只有4/30提供了实质性评论。他们的意见已纳入最终指数。可通过 https://aiagentindex.mit.edu/feedback 持续提交更正。4 发现我们从六个类别展示了《2025年AI智能体指数》的发现产品概述、公司与问责、技术能力与系统架构、自主性与控制、生态系统交互、以及安全、评估与影响。图3展示了包含所有30个智能体标注的完整指数。我们揭示了智能体部署、治理和文档记录的模式以及围绕安全、评估实践和生态系统交互的重大透明度差距。关于访问完整指数的详细信息参见A节。4.1 产品概述大多数智能体在2024-2025年发布表明近期智能体部署激增。在此期间30个智能体中有24个发布或获得了重大的自主功能更新而像ChatGPT2022年和Perplexity2022年这样的早期系统则在之后添加了自主功能。虽然底层模型如GPT-4较老但符合我们纳入标准的智能体正以越来越快的速度出现在2024年底和2025年发布量激增见图9和10。这区分了能力前沿模型与产品化自主性支撑架构。聊天界面最为丰富其次是企业工作流平台。30个智能体中有12个使用对话式聊天界面13个是企业自动化平台5个是专注于图形用户界面操作的基于浏览器的智能体。值得注意的是中国的图形用户界面智能体更常设计有手机使用和计算机使用功能3/5。宣传的用例集中在跨越智能体类别的三个主题上。研究和信息综合出现在12/30个智能体中涵盖消费者聊天助手和企业平台。跨业务职能的工作流自动化人力资源、销售、支持、IT由11/30个智能体宣传集中在企业产品中。用于表单填写、订购和预订等任务的图形用户界面/浏览器操作由7/30个智能体强调主要是基于浏览器的智能体但也出现在一些聊天产品中。图 4. 中国、美国及其他智能体开发者之间的比较。为减轻潜在盲点一位中国AI生态系统专家审阅了我们对安全框架的覆盖范围包括仅以中文发布的框架。4.2 公司与问责智能体开发者集中在美国和中国其他地区代表性有限。30个智能体中有13个由在特拉华州注册成立的公司开发涵盖大型现有企业和初创公司。5/30个智能体在中国注册成立。非美国、非中国的注册公司较少见4/30包括德国SAP, n8n、挪威Opera和开曼群岛Manus见图4a。中国智能体代表了一个具有不同治理模式的地理集群。中国注册成立的智能体通常缺乏其他智能体常见的安全框架1/5和合规标准1/5。然而它们的合规性可能只是没有公开记录。比较见图4b。只有一半的智能体开发者发布安全或信任框架尽管企业保证标准更为常见。15/30个智能体参考了AI安全框架如Anthropic的负责任的扩展政策、OpenAI的准备框架或微软的负责任AI标准[8, 89, 95]。10/30个智能体没有记录任何安全框架。企业保证标准SOC 2, ISO 27001, FedRAMP High, ISO/IEC 42001被更广泛地采用。5/30个智能体没有记录任何合规标准。4.3 技术能力与系统架构大多数智能体使用一小部分闭源前沿模型作为其后端。只有前沿实验室自身Anthropic, Google, OpenAI和中国开发者运行他们自己的专有模型大多数主要依赖GPT、Claude或Gemini模型系列。企业智能体通常是模型无关的有9/30个智能体明确支持用户跨提供商选择按智能体类别比较见图12。行动空间因智能体类别而系统性地不同模型上下文协议得到广泛支持但实现各异。企业工作流智能体通过客户关系管理连接器和记录更新行动8/30命令行界面智能体使用文件系统编辑和终端命令行动4/30浏览器智能体通过点击/键入/导航操作操纵网页5/30。20/30个智能体支持用于工具集成的模型上下文协议尽管专有连接器通常比开放的MCP服务器更受推崇。企业智能体在其行动空间方面往往更受约束并优先考虑围绕工具使用的防护栏。按智能体类别比较技术特性见图12。尽管开放智能体生态系统有所增长但大多数符合条件的智能体在产品层面是闭源的。23/30个智能体完全闭源。7/30个智能体开源了其智能体框架或支撑工具Alibaba MobileAgent, Browser Use, ByteDance Agent TARS, Google Gemini CLI, n8n Agents, OpenAI Codex, WRITER。基于画布的用户界面是智能体设计工作流的标准。13个企业平台中有8个使用可视化组合界面Glean, Google Gemini Enterprise, n8n, OpenAI AgentKit, Zapier来构建智能体而聊天界面主导最终用户操作14/30个智能体。4.4 自主性与控制聊天优先的助手保持较低的自主性L1-L3采用回合制交互。Anthropic Claude, Google Gemini和OpenAI ChatGPT在回合制范式下运行智能体执行一组操作并等待下一个用户提示3/30。在一个产品内部自主性可能有很大差异。例如普通聊天L1与深度研究L3-L5。每个智能体类别的自主性水平范围见图5。浏览器智能体以显著更高的自主性L4-L5运行在执行过程中提供有限的干预机会。Browser Use的智能体和Perplexity的Comet一旦收到提示就自主执行任务用户在运行过程中无法参与。一旦发送查询用户无法轻易干预或引导智能体直到它完成2/5个浏览器智能体5/30总体。企业平台显示出设计/部署自主性的分离。在设计阶段用户使用可视化画布手动配置触发器、操作和防护栏。13个平台中有8个为设计过程本身提供AI辅助L1-L2。一旦部署这些智能体通常在L3-L5自主性水平上运行由事件如新电子邮件或数据库更改触发在实际任务执行过程中没有任何人工参与6/30个智能体Glean, Google Gemini Enterprise, IBM watsonx, Microsoft Copilot Studio, n8n, OpenAI AgentKit。用户批准机制根据任务的风险水平有选择地实施一些智能体提供实时监督模式。开发者/命令行界面智能体要求对敏感操作如文件编辑和命令执行进行明确确认3/30而浏览器智能体仅对高风险步骤如身份验证和支付设置门槛4/30。一些智能体提供观察模式以实时监督关键操作5/30个智能体包括ChatGPT Agent/Atlas, Opera Neon。执行追踪和监控很常见但其范围和透明度水平差异很大。10/30个智能体提供详细的操作追踪并显示可见的思维链推理。6/30个智能体显示总结性推理没有详细的工具追踪。对于许多企业智能体从公开信息中不清楚是否存在对单个执行追踪的监控。12/30个智能体不提供使用监控或仅在用户达到速率限制时发出通知。大多数智能体允许用户启动停止但有些缺乏精细的停止控制。20/30个智能体记录了暂停/停止机制。4/30个智能体Alibaba MobileAgent, HubSpot Breeze, IBM watsonx, n8n尽管自主执行但缺乏记录在案的停止选项。对于企业平台有时只能选择停止所有智能体或撤销部署。4.5 生态系统交互模型上下文协议是整个生态系统中占主导地位的互操作性标准。20/30个智能体明确支持MCP。智能体间协议出现在6/30个智能体中完全集中在企业平台6/13。大多数智能体默认情况下不向最终用户或第三方透露其AI身份。21/30个智能体没有记录默认的披露行为。只有3/30个智能体支持生成媒体的水印例如通过SynthID和C2PA [1, 36]。企业平台通常将披露的责任转移给客户。技术识别差异很大许多智能体融入正常流量。只有7/30个智能体发布稳定的用户代理字符串和IP地址范围以供验证。6/30个智能体明确使用类似Chrome的用户代理字符串和住宅/本地IP上下文模仿人类网络流量请求。OpenAI ChatGPT Agent在提供用于验证的加密请求签名RFC 9421 [115]方面是独一无二的。机器人排除协议的遵守情况因智能体交互类型而异。6/30个智能体明确声明其爬虫机器人遵守robots.txt。然而旨在代表用户执行任务的智能体常常忽略标准的排除协议。例如BrowserUse的智能体明确宣传绕过反机器人系统并像人类一样浏览。大多数智能体的网络行为实践未记录在案。16/30个智能体未就robots.txt、验证码处理或网络访问方法提供明确声明尤其是对于通过第三方抓取工具或搜索API连接器进行网络访问的企业平台。4.6 安全、评估与影响针对潜在有害行为的技术防护栏因智能体类型而系统性地不同消费类智能体提供内置防护栏而构建器平台则将责任委托给用户。面向消费者的智能体通常限制工具的权限和行动空间8/30个智能体并提供针对提示注入攻击的防御7/30。智能体构建器平台Zapier, Salesforce, OpenAI AgentKit通常提供可选的防护栏模块并且很少提供关于内置保护的信息。沙箱或虚拟机隔离被9/30个智能体记录在案主要是开发者/命令行工具和浏览器智能体。9/30个智能体没有记录任何防护栏13个企业智能体中有7个描述了设置防护栏的选项但没有沙箱或隔离。图 6. 大多数与安全、评估和社会影响相关的字段133/240没有可用信息。浏览器智能体67/10464%和企业智能体25/4063%缺失字段最多其次是聊天智能体41/9643%。安全评估实践在前沿实验室和企业平台之间存在显著差异大多数智能体不提供任何评估信息。前沿实验室OpenAI, Anthropic, Google专注于存在和行为对齐风险发布涵盖灾难性风险、自主性和滥用的系统卡7/30个智能体。企业平台主要通过合规性和数据安全性来定义安全而非针对智能体的评估。很少有评估测试智能体设置而非基础模型组件只有ChatGPT Agent, OpenAI Codex, Claude Code和Gemini 2.5 Computer Use拥有特定于智能体的系统卡。25/30个智能体不披露任何内部安全结果23/30个智能体没有第三方测试信息。只有3/30个智能体Anthropic Claude, OpenAI ChatGPT, OpenAI Codex记录了第三方测试。18/30个智能体运营漏洞奖励计划或漏洞披露程序。记录在案的安全事件集中在浏览器智能体且与提示注入有关。5/30个智能体存在已知事件或已报告的安全问题Google Gemini Enterprise, Microsoft Copilot Studio, OpenAI ChatGPT, Opera Neon, Perplexity Comet。2/5个浏览器智能体记录了提示注入漏洞。能力基准测试与安全文档之间存在透明度差距。9/30个智能体报告了能力基准测试结果图形用户界面/计算机使用或编码但同样的智能体通常缺乏安全评估披露。5 示例性案例研究指数标注提供了跨智能体生态系统的结构化视图但深入研究单个智能体揭示了不同类别如何在实践中操作自主性、安全性和问责性。我们提出了三个案例研究代表不同的智能体类别ChatGPT Agent自主型聊天界面、Perplexity Comet基于浏览器的智能体和HubSpot Breeze Agents企业智能体构建器。5.1 带自主工具的聊天ChatGPT AgentChatGPT Agent在其聊天界面内运行但可以直接代表用户与网站交互。该系统展示了L2-L4的自主性遵循Feng等人[43]的分类。敏感操作如结账需要用户批准。该智能体在一个托管的虚拟计算机上运行操作在虚拟浏览器和具有有限网络访问权限的沙箱终端中执行。ChatGPT Agent是指数中与Gemini 2.5 Computer Use一起提供专用智能体特定系统卡的两个系统之一。这与大多数依赖基础模型文档的基于聊天的智能体形成对比。OpenAI在遵守使用政策、越狱、幻觉、公平性、化学/生物/放射/核风险、网络能力和自主性等方面使用既定基准评估ChatGPT Agent。该系统是唯一实现对HTTP请求进行加密签名的系统OpenAI [96]; RFC 9421 [115]解决了影响所有浏览器智能体包括Perplexity Comet和Opera Neon的身份识别和可审计性挑战。从GPT模型到部署的垂直整合使得能够跨技术栈实施协调一致的安全实践。5.2 基于浏览器的智能体Perplexity CometPerplexity Comet以L4-L5自主性运行是指数中最高的代表其他自主执行而非回合制交互的浏览器智能体。与ChatGPT Agent针对敏感操作的批准门槛不同Comet一旦启动便自主进行。我们没有找到针对该智能体的安全评估、第三方测试或基准性能披露。Perplexity已发表关于提示注入缓解的研究[138]但尚未记录Comet的安全评估方法或结果。除了提示注入缓解措施外未记录沙箱或隔离方法。安全研究人员在2025年发现了多个提示注入漏洞包括间接注入恶意网页内容可被执行为命令以及从连接服务中提取数据的基于URL的攻击[23, 54]。这些事件说明了处理不受信任网络内容的浏览器智能体所面临的基本挑战类似于在Opera Neon中发现的漏洞。Perplexity辩称AI助手在代表用户获取内容时就像人类助手一样工作以此证明用户驱动的智能体忽略robots.txt的合理性[100]。Perplexity为Perplexity Bot和Perplexity-User发布了用户代理字符串但Cloudflare记录了未申报的爬虫使用通用Chrome签名来规避封锁[35]。亚马逊因Comet未将其自身标识为智能体而威胁采取法律行动[116]。关于智能体继承用户权限的说法与网站运营商无法验证或控制智能体访问之间的这种紧张关系说明了浏览器智能体面临的问责挑战。5.3 企业智能体构建器HubSpot Breeze AgentsHubSpot Breeze使组织能够通过模板化配置创建工作流智能体。用户填写基础提示模板中的字段而不是编码这是指数中企业构建器共享的低代码方法。Breeze展示了此类别的常见分离自主性设计阶段为L1-L3当基于数据更改或事件自动触发部署时达到L5。用户在创建时配置操作是否需要批准默认需要尽管自动触发的智能体可以在后台工作流中无需批准运行。Breeze的行动空间集中在内部数据库、客户关系管理系统和组织工具上创建了一个限制外部影响的自然沙箱。行为约束通过工具权限和用户角色运作而非内容级防护栏。安全披露遵循企业平台典型的合规聚焦模式。Breeze使用PurpleLlama作为模型保护层并经历了PacketLabs的渗透测试但未提供方法、结果或测试实体的详细信息。该平台维护合规认证例如SOC 2, GDPR, HIPAA和信任中心文档反映了企业平台如何强调合规性而非针对智能体的安全透明度。模型选择自动进行仅支持OpenAI模型。6 讨论《2025年AI智能体指数》为30个知名AI智能体提供了经过核实的1350个字段的信息。除了上面详述的具体发现外我们还指出了关于自主型系统的生态系统和安全相关特性报告方面持续存在的局限性。本指数旨在帮助开发者设计更全面的文档框架帮助研究人员识别生态系统中的开放性问题并帮助政策制定者理解可能值得关注的透明度差距。6.1 重要发现该指数突显了不一致和选择性的报告特别是与安全相关的报告。开发者很少发布特定于智能体的评估。在指数中只有ChatGPT Agent, OpenAI Codex, Claude Code和Gemini 2.5 Computer Use提供了特定于智能体的系统卡尽管一些中国智能体有专注于计算机使用能力的研究论文。与此同时只有部分公司报告了能力基准测试的性能9/30。这种透明度不对称表明了一种较弱形式的安全洗白即安全和伦理框架停留在高层级而严格评估风险所需的经验证据被选择性披露[18, 44, 105]。这可能令人担忧因为安全关键行为源于规划、工具、记忆和策略而不仅仅是模型能力。智能体构建者经常将一些安全责任委托给用户而不是记录内置的防护栏。生态系统对少数基础模型的广泛依赖对平台权力集中具有影响。指数中几乎所有系统都依赖GPT、Claude或Gemini系列模型。只有位于美国和中国的基础模型开发者运营自己的专有模型。这种共享依赖性通过价格变化、服务中断和安全回归创造了潜在的单一故障点[66]。因此全面的风险管理和事件响应必须超越智能体部署者延伸到上游模型提供商。同时企业平台的模型无关设计可能会降低锁定风险但这因市场细分而异。AI智能体生态系统各个部分的控制是分散的使得可靠的智能体评估变得困难。个体开发者通常只控制一部分输入模型、工具和过程智能体设计、部署。例如OpenAI的ChatGPT Agent控制模型和支撑架构并能看到部署上下文。HubSpot的Breeze Agent控制编排和一些输入但可能将智能体设计和配置委托给用户并且由于许可限制可能对下游部署只有部分可见性和控制权。作为一个浏览器Perplexity的Comet可以直接访问部署环境。所有公司对外部工具的交互控制都有限。这种基础模型的集中也可能简化评估因为评估者可以将资源集中在理解少数几个模型的风险和能力上。跨智能体生态系统的各层评估实际的自主型风险很困难。大多数智能体依赖于来自前沿AI公司的基础模型并在其上构建了支撑架构和编排层。这种架构创建了一个从模型提供商到编排平台再到智能体构建者再到最终使用部署的依赖链。工具和集成连接跨越这些层见图7。自主型评估本质上依赖于特定的下游上下文包括哪些工具可用以及系统具有何种程度的自主性[112]。缺乏部署特定信息使得难以在模型层面构建有效的智能体评估。相反评估应针对实际使用的工具而不仅仅是对话安全。监管者和买家可能因仅依赖模型文档而获得虚假的保证感因为分散的架构造成了责任扩散没有单一实体承担明确责任[34]。这表明整个生态系统需要更多的信息和风险共享特别是在能力进步快于风险管理实践的情况下[123]。智能体在网络上的角色仍未确定并且可能与现有的网络抓取规范存在张力。基于浏览器的智能体为了正常运行常常忽略robots.txt并且似乎旨在绕过反机器人系统。这在智能体功能和网络标准合规之间造成了紧张。公司通过辩称智能体代表用户直接行动因此不应受到抓取限制的约束来证明这一点[100]。这种智能体绕过robots.txt的趋势将控制权从内容宿主转移表明既定的网络协议可能不再足以在自主型生态系统中调解同意[28, 139]。替代性治理机制如允许框架和加密身份验证提供了潜在的前进道路[84, 96]。这种紧张关系目前正在积极诉讼中平台起诉AI公司绕过技术控制例如[40, 104, 120]并挑战自主型交互的合法性例如[5]。ChatGPT Agent是指数中唯一使用加密请求签名的系统。缺乏签名使得证明智能体实际做了什么变得极其困难随着更多操作被委托给智能体这可能变得越来越重要。6.2 局限性与展望指数的范围和方法存在局限性。AI智能体生态系统本质上仍然难以记录。信息可用性和报告方式不一致。自首届AI智能体指数[22]以来这一困难持续存在并且在没有结构性报告要求或大规模协调的行业努力的情况下很可能会继续存在。我们的纳入标准偏向于最重要的智能体这可能影响普遍性。公众兴趣指标偏向于消费类产品而非企业部署。特定领域的智能体被排除在外。我们优先考虑高质量的人工标注而非广泛覆盖使用具有搜索功能的语言模型可能实现更广泛的覆盖[77, 79]。该指数仅依赖公开信息可能遗漏内部评估或风险管理实践。此外该指数依赖英文和中文文档可能遗漏其他语言的信息。最后指数可能遗漏符合条件的系统或尽管经过审查仍存在不准确之处并且呈现的是截至2025年12月31日的快照。我们致力于持续修复错误可通过 https://aiagentindex.mit.edu/feedback 分享。最后《2025年AI智能体指数》提出了关于当前AI智能体生态系统的开放性问题我们希望未来的工作能解决这些问题。我们的分析侧重于公开可用、可最小配置部署且通用的自主型系统。但其他系统特别是在前沿AI公司内部闭门部署的系统仍然更加不透明[118]。虽然指数中的一些智能体会演变或被取代但这里识别的结构性模式基础模型集中、责任分散、能力-安全透明度差距不太可能自行解决。同样这里记录的治理挑战生态系统碎片化、网络行为紧张、缺乏特定于智能体的评估将随着自主能力的增强而变得更加重要[123]。该指数为衡量未来透明度的改进或倒退提供了一个基线。未来的工作可以将覆盖范围扩展到内部和特定领域的智能体更批判性地审计和比较知名智能体开发者的技术实践、报告和风险管理并追踪随着治理框架成熟这些模式如何演变。生成式AI使用声明LLM输出未实质性贡献于本文的内容或撰写。它们的使用仅限于以下任务候选智能体发现使用ChatGPT 5.2带深度研究功能、Claude Sonnet 4.5带研究模式和Gemini 2.5带研究模式来初步列出潜在的AI智能体候选名单详细提示见B.5节。人类专家根据第3.1节的标准做出最终纳入决定。标注验证使用OpenAI GPT-5.2带网络搜索功能交叉检查人工标注的事实准确性通过搜索主要来源见B.6节。所有LLM生成的验证建议均由人工标注者手动审查并核实来源。文献搜索辅助使用LLMsClaude Sonnet 4.5, ChatGPT 5.2来初步筛选潜在的相关工作。所有引用均由作者独立验证和评估其相关性。可视化代码生成多位作者使用Claude Code, Claude Opus 4.5和Google Antigravity生成用于数据可视化和图表创建的Python代码。所有生成的代码均经作者审查和验证。仅限文案编辑所有内容由作者撰写使用Claude Sonnet 4.5, Claude Opus 4.5和ChatGPT 5.2仅用于纠正语法、修正拼写错误和提高现有句子的清晰度。伦理考量声明本工作记录了关于已部署AI智能体的公开信息。我们考虑了以下伦理关切及缓解方法隐私与数据处理。我们仅收集了公开信息。未分析任何敏感用户数据、专有信息或私人通信。所有网络来源均已存档以供验证。与公司的通信基于保密原则。负责任披露与开发者参与。在发布前给予开发者四周时间审查和纠正标注并在发布后提供持续的纠正机制。这降低了事实错误的风险同时保持了研究的独立性。安全洗白或虚假陈述的可能性。我们对透明度差距和安全实践的记录可能被选择性引用以虚假陈述智能体能力或不恰当地 legitimize 不足的安全措施。我们通过区分未找到无公开信息和无确认不存在、在标注中提供完整上下文以及公开完整指数以供验证来缓解此风险。资源和覆盖范围的偏差。我们的重要性标准搜索量、市值、开发者知名度倾向于资金充足的公司和成熟产品可能使新兴开发者和区域创新处于不利地位。我们通过咨询中国生态系统专家、使用多语言搜索词以及交叉参考多个智能体数据库来缓解此问题。公开安全漏洞可能带来的危害。记录安全性和透明度限制可能引导恶意行为者瞄准易受攻击的系统。然而我们仅报告主要商业系统的公开信息不进行新颖的安全研究也不披露以前未知的漏洞。指数中记录的已知事件已由安全研究人员或受影响方公开报告。我们认为透明度对治理和知情部署决策的好处超过了公开已有信息带来的潜在风险。