Agent 的真实成本不是算力,是“责任的边际成本”

很多团队在算 Agent 的 ROI 时,表格里只有三行:模型 token 费、向量库、人力省下来的工时。
这账算漏了。
《The Headless Firm》里有一句很硬的话:Agent 的真实边际成本不是算力,而是责任。 算力可以随规模下降,token 可以批发,推理可以蒸馏——但一次越权访问、一笔错付、一条被幻觉带偏的临床建议,背后跟着的是赔付、监管调查、声誉塌方,以及一串可能扯不清的谁该赔。
我在上一篇支付的文章里把这件事具象化到了“第三道关·追责”:授权和结算的工程答案已经跑通,错了谁担却悬在法律侧。在组织边界那篇里,它又被写进“四条再中心化暗流”的第 3、4 条——责任的边际成本会把小团队挤回大平台的合规保护伞,信任精品店(品牌、审计、担保)会重新成为中心。
这篇不重复支付协议的细节,也不再画组织沙漏。只做一件事:把“责任的边际成本”从一句警告,展开成一张可操作的地图——它为什么压不下去、市场怎么试图给它定价、以及你上线 Agent 之前该留多少“责任预算”。
一、为什么责任压不到零:Agent 不是确定性软件
过去二十年,企业软件的保险和合规体系建立在一个前提上:同样的输入,产生同样的输出。 专业责任险(E&O)可以审产品规格、用途和质量流程;网安险可以审访问控制和入侵面;通用责任险可以沿着“公司行为 → 损害结果”画一条相对清晰的因果链。
Agent 把这个前提拆掉了。
Pearl Health 首席法务官 Jon Goldin 在 2026 年 5 月那篇《The Missing Market》里讲得很直白:Agent 不只是把信息推给人看,它会推理、规划、执行多步任务——在医疗场景里,从“提醒医生有个护理缺口”到“主动联络患者、协调转诊、生成影响治疗决策的建议”,性质完全不同。前者是搜索引擎的升级版;后者是护理交付链里的行动者。而法律和金融架构,还没准备好给这种行动者分配风险。
三个结构性原因,决定了责任没法像算力一样被“优化掉”:
第一,输出非确定、难复现。 同一条 prompt,不同时间可能给出不同答案;微调、上下文、温度都会变。保险精算需要可统计的失败模式——Agent 的“幻觉”“漂移”恰恰是非平稳的。
第二,因果链变长、变糊。 开发者写了代码,部署者接进工作流,用户下了指令,模型从哪些数据里学来,医生有没有复核——当 Agent 的推荐参与了一次延误诊断,谁该担责在现有产品责任、专业过失框架里都没有标准答案。Goldin 称之为 quasi-principal(准主体):比工具多一分自主,比人少一分可追责,法律两边都不挨着。
第三,多 Agent 让链条在运行时拼装。 这不是单点故障,是组合故障。Berkeley Technology Law Journal 2026 年 6 月一篇分析指出:协调 Agent 把子任务委托给别的厂商的专用 Agent,这种组合是运行时涌现的——没有人预先选定“A 厂商 + B 厂商 + C 厂商”这一组。伤害来自交互,而不是某一个 Agent 的输出。产品责任的“零部件原则”假设零件是静态、预定的;Agent 不是。
所以:你可以把单次推理成本压到接近零,却无法把“可能出错且说不清谁错”的尾部风险压到零。 这就是“责任的边际成本”——每多放出一个自主边界更宽的 Agent,组织就多背一层尾部负债,而不是多烧几毛钱算力。
二、定价失灵:接不住,就转移不出去
责任压不下去,下一步是转移——通过保险、合同、担保把风险甩给愿意定价的人。
问题是:现在几乎没人能正确标价。
传统保单各管一段,中间全是洞:
| 险种 | 擅长什么 | 接不住 Agent 什么 |
|---|---|---|
| E&O 专业责任险 | 有瑕疵的交付物、专业服务过失 | 自主决策、非确定性输出、运行时漂移 |
| 网安险 | 数据泄露、入侵 | Agent 推理错误导致的业务/人身损害 |
| 通用责任险 | 相对清晰的因果链 | 多主体、多 Agent 交接后的归因 |
Goldin 的归纳很残酷:如果保险公司定不了谁该担责,就定不了价;定不了价,就没有市场。
市场不是完全空白——而是碎片化的早期信号:
- 2025 年,Armilla 在 Lloyd's 推出面向 AI 的显式承保条款,明确覆盖幻觉、模型漂移、偏离预期行为等 AI 特有风险;
- 2026 年 3 月,Munich Re 旗下 HSB 推出面向中小企业的 AI 责任险,覆盖人身伤害、财产损害、广告损害等通用责任险常排除的 AI 使用场景;
- Munich Re 另设 Insure AI 专门条线,用风险容忍度、模型稳定性、损害严重度三维框架做 AI 核保;
- 同时,多家承保方开始从标准企业保单里排除 AI 责任——和 2019–2021 年网络攻击/勒索软件排除条款扩散的路径惊人地相似:排除一出现,企业就成了风险的第一持有人,反而倒逼 AI 治理预算从 2024 年的“可有可无”变成“不买就裸奔”。
研究机构 FactMR 估 2025 年全球 AI Agent 责任保险服务市场约 3 亿美元,2026 年向 5 亿 走——听起来不少,相对 Agent 部署速度和潜在尾部风险,仍是婴儿市场。
更关键的是:有保单 ≠ 能规模化。 精算需要事件分类体系、自愿/强制事件报告、可对比的治理成熟度基准。这些基础设施今天几乎不存在。Agent 部署的速度,仍然快过风险转移机制成熟的速度。
三、三条路在给它“定价”:保险、审计、背书
在完整保险市场到来之前,行业正在用三套替代性机制,把“责任的边际成本”显性化、商品化——也无意中重塑了中心。

1. 保险:把尾部风险变成保费
保险做的是把不确定的巨额赔付,换成可预算的保费。对 Agent 来说,前提是保险公司能判断:你治理好不好、出事概率多大、出事后能追到哪一步。
所以保险和治理成熟度绑在一起卖:
- AIUC 一类初创做 Agent 认证标准(隐私、安全、可靠性、问责),认证 + 保险打包——过审的 Agent 才买得到保障;
- ISO/IEC 42001 成为 AI 管理体系的国际标准,承保方开始把它当核保时“合理治理”的证据;
- NIST 2026 年 4 月发布关键基础设施场景下可信 AI 的概念说明,AI RMF 正变成保险公司心里的“合理安全”基线。
逻辑很清楚:不能证明你管得住,就不给你便宜的风险转移。 责任成本并没有消失,只是从“出事后再扯皮”前移到“上线前先交治理税 + 保费”。
2. 审计与认证:把“可验证”卖成服务
保险需要证据,证据来自审计链——谁授权、谁执行、输入输出是什么、有没有人在回路复核。
这和支付篇里的 Mandate 审计链、MCP 篇里的身份传播是同一套思想在不同场景的重用:验证不了的行为,不应该自主执行;要自主,就得先可被第三方验证。
多 Agent 场景下,BTLJ 那篇分析把要求说具体了——每一次 Agent 之间的交接都要留痕:哪个 Agent 行动、收到什么指令、产出什么、开发者是谁。OpenTelemetry 已在推 gen-ai agent spans 语义约定;NIST 2026 年 2 月的 AI Agent Standards Initiative 把 Agent 身份标识列为核心优先项;新加坡 2026 年 1 月发布首个面向 Agentic AI 的 Model AI Governance Framework。
但日志和身份标识只是原材料。审计是把它们变成保险公司、监管、客户都能读的合规格式——SOC2 式的 AI 版、行业认证、第三方渗透测试。这会催生一门生意:专门证明“这个 Agent 出事时你能追到、赔得起”的审计与认证服务。
3. 背书与担保:“信任精品店”回来
当能力散在市场上、组合在运行时发生,买家问的问题会从“谁最便宜”变成**“出了事谁兜底”**。
这就是《The Headless Firm》预测的 信任精品店:品牌、审计报告、平台担保、大厂合规保护伞——信任能力重新聚集,形成新中心。客户买的往往不是最便宜的 Agent 组合,而是“这个组合背后有人负责”。
几个现实形态:
- 平台合规保护伞:承担不起自建治理 + 买保险的小团队,把 Agent 嵌进大平台的沙箱——用平台的身份、限额、审计换自己的生存空间(组织边界篇第 3 条再中心化);
- 担保与赔偿条款:Agent 开发者向企业客户承诺“因我方模型在授权范围内出错导致的直接损失,我们赔到 X”——本质是自保险 + 资本背书;
- “认证 Agent 市场”:只有过 AIUC/ISO42001/行业审计的 Agent 能上架,市场本身对买家做策展式背书。
注意这里的反讽:协调成本塌了、Agent 可以解绑变小,但责任的边际成本会把人重新推向“有背书的中心”。 去中心化开场,信任重新中心化——和平台经济预演过的路径一样。
四、多 Agent 把问题放大:委托链上的“归因税”
单 Agent 的责任已经够难,多 Agent 是指数级更难。
BTLJ 2026 年 6 月的分析归纳了三类教义失灵:
- 产品责任零部件原则——零件在运行时动态挑选,没有预定物料清单;
- 代理法 respondeat superior(雇主代位责任)——跨厂商委托时,“谁授权了这一串组合”断链;
- 共同侵权人分摊——没有交接级可追溯性,原告几乎无法证明“哪一环造成了涌现性损害”。
加州 AB 316(2026 年 1 月生效)禁止 AI 开发者/部署者/使用者以“AI 自主导致”抗辩——方向对,但三个公司的 Agent 交互时,到底谁不能抗辩,法条还没说清。欧盟 AI Act 的提供者-部署者框架在运行时调用第三方工具时同样责任弥散。
所以多 Agent 时代多出一项固定成本:归因税——每一次交接可记录、可验证、可连接到开发者身份的基础设施成本。这不是可选项,是责任边际成本的一部分。Flash Crash、DeFi 级联、算法交易的事后重建已经一再证明:没有内置可追溯性,就只能即兴归责。
五、落地:给 Agent 留“责任预算”
把“责任的边际成本”从论文拉到会议室,可以压成一张上线前自查表——不是法律意见,是工程与治理的预算思维:
1. 划清自主边界(授权预算)
这次 Agent 能做什么、不能做什么、多少额度内不用人批——和支付里的 Mandate、数据库里的 OBO 一样,边界越宽,责任预算越高。
2. 建交接级审计链(归因预算)
单 Agent 也要留痕;多 Agent 必须在每一次委托时记录身份标识、输入输出、开发者归属。OpenTelemetry agent spans 是起点,不是终点。
3. 假设传统保单接不住(保险预算)
查现有 E&O/GL/cyber 有没有 AI 责任排除条款;评估 Armilla/HSB 等专项 AI 责任险是否覆盖你的场景;把“无保险承保时”的自留风险写进董事会能看懂的数。
4. 买“可验证”而不是只买“能跑”(审计预算)
ISO 42001、行业认证、第三方红队演练——这些不是合规装饰,是降低保费和获客摩擦的投资。AIUC 式“认证 + 保险”打包会越来越常见。
5. 明确人在回路的“最后责任锚点”
FCA 2025–2026 的口径是:现有高级管理人员问责框架继续适用,高管要能证明已采取合理措施。医疗、金融、关键基础设施里,“Agent 建议 + 人签字”的责任锚不能省略——不是保守,是责任成本最低的默认架构。
6. 算总账:责任预算 + 算力预算
一个 Agent 项目的总拥有成本 = 推理成本 + 集成成本 + 治理/审计/保险/预留赔付。只批前两项的立项,多半会在第三项上爆雷。
六、ICE 观察
技术层面:责任的边际成本,正在把 身份标识、审计轨迹、授权令(Mandate) 从“安全加分项”变成商业必需品——和支付授权、数据库 OBO、多 Agent 交接留痕是同一根柱子。OpenTelemetry for agents、NIST Agent 身份标识倡议、W3C AI Agent Protocol 社区组,都是在给“归因税”造轨道。
落地层面:保险市场不成熟 ≠ 可以裸奔。 承保方排除 AI 责任的趋势,反而把企业推成第一风险持有人——治理、审计、人在回路不是拖延上线的成本,是唯一能降低自留风险的杠杆。多 Agent 编排越激进,交接日志的预算越不能砍。
本土视角:国内 Agent 落地常强调“先试起来”,但责任定价机制更缺——专项 AI 责任险几乎空白,判例和分摊规则都不清晰,平台“合规沙箱”因此格外有吸引力。这与智能体国标、Agent 身份登记、按时间点可重放审计(你如果在做治理产品,这条是差异化)天然耦合:谁能提供“出事可追到、可举证、可对接监管”的审计链,谁就在卖“信任精品店”的核心组件。 “用途边界 + 行为留痕 + 可重放举证”这套逻辑,在 Agent 责任场景里同样适用。
结尾
《The Headless Firm》说 Agent 的边际成本是责任,不是算力——这句话的真正含义是:你可以把执行变得极其便宜,却无法把“出事”变得极其便宜,除非有人愿意用保险、审计、背书把它定价、转移、或聚到一个你信得过的中心。
在完整市场到来之前,每家企业其实都在做一笔隐式交易:用更宽的自主边界换更高的自留风险;用更激进的多 Agent 编排换更糊的归因链;用跳过治理换出事时说不清。
Agent 时代最贵的,不是 token。
是还没被定价、却已经被你签进架构里的那部分责任。