當 Agent 比員工多千倍，軟體要為誰而建？

本文整理自《AI + a16z》2026 年 4 月播出的單集，來賓為 Box 執行長 Aaron Levie，與談人為 a16z 董事合夥人 Steve Sinofsky 及一般合夥人 Martin Casado。

Box 最近推出了官方 CLI 工具，讓使用者可以透過 Claude Code 用自然語言操作整個企業檔案系統。執行長列維（Aaron Levie）在這集 podcast 裡描述了測試時的場景：你可以對它說「把桌面這整個資料夾上傳到 Box」，它就會執行；你也可以說「處理這個資料夾裡所有文件」，它也會照做。聽起來很美好，但列維馬上點出問題：如果你是一家五千人的公司，每個人都有 Claude Code 或 Codex 搭配這個 CLI 在跑，你突然就面對一個全新的協調問題。某個 Agent 可能一小時打你的系統一萬次，不是因為惡意，而是它就是被設計成高效率完成任務。這不是效能問題，而是當一個 Agent 把檔案從 A 資料夾搬到 B 資料夾、另一個 Agent 正在寫入、第三個想刪除的時候，整個系統的一致性該怎麼維護？

這個場景揭示了一個更大的命題：當 Agent 數量是員工的一百倍甚至一千倍，整個軟體產業的設計邏輯、安全模型、採用速度，都需要根本性的重新思考。

為 Agent 而建：從漂亮介面到堅實後端

列維在對談中提出的核心假設很直接：如果未來 Agent 與人類使用者的比例是 1000:1，那軟體的設計優先級就必須翻轉。現在大多數 SaaS 產品把資源花在打磨人類看得到的介面，漂亮的儀表板、直覺的操作流程、精心設計的通知系統。但 Agent 不在乎這些。Agent 在乎的是 API 是否穩定、成本參數是否透明、系統是否耐用可靠。

這意味著軟體公司必須把同等甚至更多的心力放在 Agent 介面上。所謂 Agent 介面，就是 API、CLI、以及 Model Context Protocol（MCP）這類讓 AI 模型能直接與資料來源和工具互動的開放標準。列維說 Box 現在花在思考 Agent 介面的時間，已經和人類介面一樣多。因為邏輯很簡單：如果你的軟體對 Agent 來說是封閉的、難以導航的，那 Agent 遲早會找到更好的替代品，然後建議企業換掉你。

a16z 合夥人卡薩多（Martin Casado）在這裡提出了一個出乎意料的觀點。他說業界很多人把「為 Agent 而建」理解成「做好 API 介面就行」，但他認為這個理解幾乎完全錯誤。真正重要的不是介面形式，而是後端的實質品質。Agent 在選擇使用哪個平台時，看的是成本結構、資料耐久性、系統可靠度這些有意義的技術指標，而不是介面是否友善。過去企業買軟體可能看 Gartner 報告或業務關係，但在 Agent 主導的未來，軟體的「好壞」會被以更接近技術實力的標準來評判。

列維補充了一個更具體的場景：未來某一天，Agent 在幫你自動化工作流程時，可能會一再撞牆，然後直接告訴你「你該把這套老舊的 HR 系統換掉了，不然我沒辦法幫你完成這個任務」。這不是人類 IT 顧問會輕易說出口的話，但 Agent 會。因為它只看功能性和效率，不看政治。

Computer Use 的崛起：Agent 變成「使用電腦的人」

在這場討論中浮現的另一個重要趨勢是「computer use」模式的興起。卡薩多指出，業界對 AI Agent 的想像經歷了幾個階段：一開始是把 AI 加進既有的 SaaS 軟體裡，然後是讓 Agent 寫程式碼來解決問題，再來是讓 Agent 用終端機和 CLI。而現在正在發生的是 Agent 直接像人一樣「使用電腦」，操作滑鼠、讀螢幕、在各種應用程式之間切換。

這個演變方向其實很合理。前微軟 Windows 總裁辛諾夫斯基（Steve Sinofsky）點出了關鍵：過去 25 年來，軟體累積了龐大的功能，但人類使用者一直是瓶頸。他說自己職業生涯中最常遇到的場景，就是在飛機上有人問他「PowerPoint 怎麼做到 X？」或者有人花半天搞不定 Excel 的雙軸圖表。這些功能其實都在，只是人類介面設計造成了巨大的使用阻力。

Agent 不受這個限制。一個 Agent 可以完美地導航 SAP 那些令人崩潰的選單層級，可以在 Excel 裡找到那個藏在第三層功能表底下的雙軸圖表選項。列維把這稱為「mezzanine step」（中介步驟）：在 Agent 完全取代軟體之前，它們會先成為既有軟體的超級使用者，釋放那些被複雜介面鎖住的生產力。

辛諾夫斯基則用歷史類比把這個觀點說得更清楚。他舉了表格計算的例子：他的表姐在 MBA 畢業後進入銀行工作，那時電子試算表剛出現，她自己不會用，所以雇了一整間的實習生幫她跑數字，就像現在的人雇一堆 Agent 跑任務。但兩年後，她和同期的人全部學會了試算表，那些實習生的工作就消失了，整個抽象層往上移動了一層。Agent 現在就在這個階段：你需要一個超級聰明的人來協調 42 個 Agent 完成複雜工作流程，但這個「火箭科學」的階段很快就會蒸發，最終變成每個領域專家都能輕鬆使用的標準工具。

Agent 沒有隱私權：安全模型為什麼不能照搬

討論到一半，卡薩多分享了一個有趣的做法：他給自己的 NanoClaw Agent 開了獨立的 Gmail 帳號、獨立的電話號碼、甚至獨立的信用卡。他的邏輯是，既然 Gmail 已經有完整的 RBAC（角色型存取控制）權限系統，為什麼不直接把 Agent 當作一個新員工來管理？

列維立刻拆解了這個想法的風險。他指出，Agent 和真人員工之間有一個根本差異：Agent 沒有隱私權。真人員工有自己的 Slack 頻道，你不能隨便登入他們的帳號偷看，他們對自己的行為負法律責任，被開除的威脅讓 95% 的人不會做壞事。但 Agent 不一樣，你擁有對它的完全監控權，你要為它的所有行為負責，你可以隨時「登入」查看它在做什麼。既然你能登入它的帳號，那它怎麼可能在與其他人的 Agent 協作時維持資訊保密？

更致命的問題是 prompt injection（提示注入攻擊）。列維說，如果你知道某人 Agent 的 email 地址，你要對它進行社交工程比對真人容易十倍。因為 Agent 的 context window 裡如果包含了敏感資訊，目前還沒有可靠的方法能保證這些資訊不會被誘導洩漏。你沒辦法對 Agent 說「不要透露 X」然後就安心，因為精心設計的 prompt injection 可以繞過這些指令。辛諾夫斯基補充說，Agent 一旦被注入，它就是「史上最快、最瘋狂的人類」，可以一小時打你的系統一萬次，把資訊洩漏得無影無蹤。

這就是為什麼目前 Agent 只能作為「你的延伸」來運作，而不是獨立的行為主體。列維坦承，Box 正在為此開發解決方案，也很喜歡 Agent 擁有獨立帳號的想法，但在 context window 的保密問題被根本性解決之前，讓 Agent 自主存取 M&A 資料室之類的高敏感環境，風險仍然太大。

新創飛奔，大企業凍結：AI 採用的巨大落差

三位對談者都同意一個判斷：AI Agent 在企業端的擴散速度，會比矽谷的人想像得慢很多。原因很簡單，新創公司從零開始，沒有遺留系統需要保護，沒有資訊邊界需要維護，可以直接把所有 context 餵給 Agent 讓它自由發揮。但大企業如 JP Morgan 呢？他們有海量的敏感資料、複雜的合規要求、數十年累積的系統整合邏輯，光是讓一個 Agent 讀取檔案的「唯讀版」就需要通過層層審核。

辛諾夫斯基認為這個落差會創造出最有趣的張力：大企業將被那些善用 Agent 的個人和新創公司遠遠甩開。這些個人會開始看起來像新創公司，新創公司會以遠超大企業的速度推進，因為他們根本不需要擔心那些安全和協調問題。在新創公司裡，Agent 失控頂多就是一集 Silicon Valley 影集的劇情，大不了重來。但在 JP Morgan，一次 Agent 失控可能意味著 M&A 資料外洩和數十億的訴訟。

不過，對於「SaaS 末日」的說法，三人都持保留態度。辛諾夫斯基特別強調，認為可以用 vibe coding（用自然語言隨手產生程式碼）取代 SAP 是「荒謬的」。SAP 裡面編碼的不只是資料層，還有深厚的領域知識、中介層的商業邏輯、UI 裡嵌入的特定作業流程。這些不是一個聰明的 Agent 加上隨手寫幾行程式就能重建的。Agent 會讓這些系統的「消費層」變得更流暢，但核心的記錄系統不會在短期內被取代。

列維提出了一個更務實的觀點：真正會發生的是，Agent 會不斷測試你的系統，如果某個後端無法滿足 Agent 的需求，它會建議企業更換。這不是一夜之間的革命，而是持續施壓的進化過程。未來企業的業務表現，將直接與「你的 Agent 能多有效率地取得它需要的資訊」掛鉤。

我的觀察

這場對談最有價值的地方在於三位講者的立場差異。列維是正在建造 agent-first 產品的人，每天面對真實的工程取捨；辛諾夫斯基是看過 PC、Windows、雲端三次典範轉移的歷史學者，習慣用長週期視角看事情；卡薩多則是投資了 240 家基礎設施公司的 VC，他看到的是資料層面所有公司都在急速成長。

把三個視角疊在一起，我看到的結論是：Agent 時代的軟體業不會是一場快速的淘汰賽，而是一場持續數年的雙軌演進。一條軌道上，新創公司和先進個人以全新架構飛速前進；另一條軌道上，大企業緩慢但確實地重建基礎設施。兩者之間的落差，就是未來三到五年最大的商業機會所在。

對台灣的企業軟體產業來說，訊息很明確：如果你的產品沒有高品質的 API、無法被 Agent 有效存取，你不只是錯過一個功能更新的機會，而是在 Agent 主導的評選機制中被淘汰。Agent 不會被你的業務請吃牛排，它只看你的系統是否穩定、快速、開放。