上一篇我们分析了 CLI vs MCP 的争论本质上是在讨论"管道",而真正缺的是"水龙头"。这篇继续往下挖:就算水龙头开了,你也大概率接不上。Agent 在现实中寸步难行的原因,比大多数人想的更结构化。
一个常见的许诺
“让 Agent 帮你自动写周报——它去翻你的 Git commit、飞书文档编辑记录、Jira 状态变更、日历会议,生成一份你老板能看的周报。”
这是 Agent 产品最爱讲的故事。听起来很合理——数据都是你自己的,工具也都在用,只是把手动汇总的过程自动化了而已。
但如果你真的动手试一下,会发现 5 个数据源里只有 1 个能用:
SSH key 在本机,直接可用"] Agent --> Feishu["飞书文档 ❌
需要创建企业应用 → 管理员审批"] Agent --> Jira_t["Jira 工单 ❌
IT 部门禁用了 Personal Access Token"] Agent --> Cal["日历 ❌
飞书日历 API 同样需要企业应用审批"] Agent --> Email["邮箱 ❌
企业邮箱的 IMAP 被安全策略禁用"] Git --> OK["✅ 能拿到"] Feishu --> Blocked["❌ 拿不到"] Jira_t --> Blocked Cal --> Blocked Email --> Blocked style Agent fill:#6366f1,color:#fff style OK fill:#22c55e,color:#fff style Blocked fill:#ef4444,color:#fff
不是 Agent 不够聪明,不是 CLI 不够高效——是数据根本拿不到。
当然,市面上有一些"投机方案"试图绕过这个限制:用浏览器扩展借用登录态抓取飞书文档、用 RPA 模拟点击导出 Jira 数据、用逆向工程封装企业邮箱接口。这些方案确实能跑通 demo,但它们本质上是爬虫——UI 改版即失效、安全策略升级即封杀、法律层面始终存在风险。把工作流建立在这类方案上,等于在流沙上盖楼。
我们在第三篇会详细讨论这些"翻墙"方案的现状和局限。这里先聚焦于一个更根本的问题:为什么正规途径走不通?
Agent 的实际能力取决于三个变量
✅ 2026 年已经足够"] B["工具调用效率
✅ CLI + Skills 基本解决"] C["可访问的数据范围
❌ 严重不足"] end style A fill:#22c55e,color:#fff style B fill:#22c55e,color:#fff style C fill:#ef4444,color:#fff
整个行业在卷 LLM 能力和工具协议,但真正的短板是数据访问。就像拥有一辆性能顶级的赛车和一条完美的赛道,但油箱是空的。
两层壁垒:为什么数据拿不到
数据拿不到不是一个笼统的问题。它有两层真正的壁垒,性质完全不同:
没有开放 API
商业模式决定不会开放"] end subgraph "第二层:组织管控" W2["飞书、Jira、Google Workspace
平台有 API,但企业 IT 不批准
你看得到数据,但程序读不到"] end W1 --> W2 W2 --> After["数据到手之后
格式不统一?LLM 能处理
↑ 这不是壁垒,是工程摩擦"] style W1 fill:#ef4444,color:#fff style W2 fill:#f97316,color:#fff style After fill:#22c55e20,stroke:#22c55e
第一层被讨论得最多,但实际工作中,第二层才是更多人会撞上的墙。
第一层:平台封锁
微信不会做 wx auth login,淘宝不会开放比价 API,抖音不会给你推荐数据。上一篇从技术角度论证了 CLI 完全能实现 OAuth(gh auth login 就是先例),所以这不是技术障碍1。
那为什么不做?因为数据封锁是这些平台商业模式的根基。
Agent 一旦能替用户做最优决策——比价、比评分、跨平台搜索——平台就失去了通过推荐算法引导用户消费的能力。这直接威胁广告和流量变现的核心营收。
一个简单的判断标准:平台会不会对 Agent 开放,取决于开放是否符合其商业利益。
| 平台类型 | 代表 | 对 Agent 开放? | 逻辑 |
|---|---|---|---|
| 卖订阅/服务的 | GitHub, Notion, Vercel | ✅ 主动开放 | 越多 Agent 接入 → 用户越依赖 → 更多付费 |
| 卖流量/广告的 | 微信, 淘宝, 抖音 | ❌ 封锁 | Agent 帮用户跳过推荐 → 广告价值下降 |
| 卖企业服务的 | 飞书, 钉钉 | ⚠️ 有限开放 | Bot 生态丰富 → 企业更依赖平台 |
第二层:组织管控——看得到不代表拿得到
举个具体的例子:你在公司用浏览器打开飞书,能看到所有群聊记录和共享文档。现在你想写一个脚本,让 Agent 读取同样的消息内容。你会发现需要在飞书开放平台创建一个"企业自建应用",申请 im:message 权限,然后提交给公司管理员审批发布。管理员可能会问你"要这个权限做什么",然后拒绝你。
你在浏览器里看得到的数据,你的程序不一定读得到。 因为两者走的是完全不同的认证链路:
能在浏览器里看到"] -->|"✅ 你有"| OK1["每天都在用"] L2["API 权限
能通过程序化接口提取"] -->|"❓ 不一定"| Maybe["需要 API Token"] L3["组织授权
公司 IT 允许你调 API"] -->|"❌ 大概率没有"| Nope["安全策略阻止"] style L1 fill:#22c55e,color:#fff style L2 fill:#eab308,color:#fff style L3 fill:#ef4444,color:#fff
你每天打开飞书看文档、在 Jira 看工单、在邮箱收邮件——这些是可视化权限。浏览器持有登录态,Cookie 自动携带,一切无感。
但 Agent 走的是完全不同的认证链路:
自动携带"] Cookie --> Server["服务器返回数据"] end subgraph "Agent / API 访问" AgentAPI["Agent / 脚本"] AgentAPI -->|"需要"| Token["API Token / OAuth Credential"] Token -->|"需要"| IT["IT 部门审批"] IT -->|"需要"| Policy["安全策略允许"] Policy --> API["API 服务器"] end Browser -.->|"两条完全不同的路径"| AgentAPI style Browser fill:#22c55e,color:#fff style AgentAPI fill:#ef4444,color:#fff style IT fill:#f97316,color:#fff
你有前者不代表你有后者。Agent 只能走后者。
以一个普通程序员(非管理员)的视角,各工具的实际 API 可访问性:
| 工具 | 浏览器可看 | API 可调 | 卡在哪里 |
|---|---|---|---|
| Git(本地) | ✅ | ✅ | SSH key 在本机,无需任何审批 |
| 飞书文档 | ✅ | ❌ | 创建企业自建应用需要管理员审批2 |
| 钉钉 | ✅ | ❌ | 同上,企业内部应用需要组织管理员授权 |
| Jira Cloud | ✅ | ⚠️ | 取决于公司是否禁用 Personal Access Token |
| 企业邮箱 | ✅ | ❌ | IMAP/SMTP 通常被安全策略禁用 |
| Google Workspace | ✅ | ❌ | OAuth 应用需要管理员设置白名单 |
| Notion(个人) | ✅ | ✅ | 个人 Integration 不需要管理员参与3 |
结论很清晰:能自由通过 API 访问的,基本只有本地文件、个人 Git 仓库和 Notion 个人空间。 其余全部卡在组织管理员审批环节。
这也解释了一个现象:为什么 Agent 目前最成功的应用场景是编程辅助?因为代码在你的本地文件系统里,不需要任何人的许可。
补充:数据拿到之后呢?
有人可能会问:就算前两层都打通了,数据散落在 Git、飞书、Jira、邮箱等不同系统里,格式各不相同——这算不算第三层壁垒?
坦率地说,以 2026 年 LLM 的能力,这不构成真正的壁垒。 Git log 是文本,Jira API 返回 JSON,飞书文档可以导出 Markdown——只要是能转为文本的数据,当前的模型都能读懂并综合处理。身份映射(Git 邮箱 ≠ 飞书 user_id)告诉模型一次就够了。时间对齐、语义提取、去重归类,这些本来就是 LLM 最擅长的事情。
数据格式不统一是工程层面的摩擦,不是架构层面的壁垒。跟前两层(平台直接封锁、组织不给权限)完全不在一个量级上。
真正卡住 Agent 的只有两面墙:平台不开放,和组织不允许。 只要数据能拿到手,LLM 有能力处理剩下的事情。
Agent 实际能力的边界
综合两层壁垒,以下是 Agent 在 2026 年的真实能力边界:
| 场景 | 技术可行 | 实际可用 | 受阻于 |
|---|---|---|---|
| 编程辅助(写代码、调试) | ✅ | ✅ | 无壁垒——代码在本地 |
| 搜索公开信息并整理 | ✅ | ✅ | 无壁垒——互联网公开数据 |
| 自动写周报 | ✅ | ❌ | 第二层:飞书/Jira API 权限 |
| 跨平台比价(机票、酒店) | ✅ | ❌ | 第一层:携程/12306 不开放 |
| 客户关系管理 | ✅ | ❌ | 第二层:CRM API 需 IT 审批 |
| 自动处理邮件 | ✅ | ❌ | 第二层:IMAP 被禁用 |
| 跨平台内容发布 | ✅ | ❌ | 第一层:各平台不互通 |
| 个人健康数据分析 | ✅ | ❌ | 第一层:健康 App 不开放 |
技术上全部可行。实际上大部分做不到。
结论
Agent 帮不了你,不是因为它不够聪明。是因为两面墙:
- 平台封锁:商业模式建立在数据围墙上,不会主动开放 API。这是商业博弈问题。
- 组织管控:就算平台有 API,企业 IT 的安全策略可能不允许你使用。这是组织管理问题。
至于数据格式不统一、多系统信息需要整合——以当前 LLM 的能力,这只是工程摩擦,不是真正的障碍。只要数据到手,模型能搞定。问题是数据到不了手。
而大部分 Agent 产品的营销只字不提这些,直接假设"你有 API 权限"。
下次有人向你推销"用 Agent 自动化工作流"时,不妨先问两个问题:
- 这些数据,平台提供了 API 吗?
- 这些 API,我所在的组织允许个人使用吗?
两个都是 Yes 才能真正落地。在 2026 年的现实中,两个都是 Yes 的场景仍然不多。
这是 “Agent 生态思考” 系列第二篇。下一篇聊:既然数据拿不到,那谁在用什么方式绕路?阿里的闭环生态、豆包手机的屏幕爬虫、以及什么力量可能最终推动开放。
参考资料
-
关于平台数据封锁与商业模式的关系,参见 MCP vs. CLI for AI Agents: The Answer Is Both 以及 The MCP vs CLI Debate Is Missing the Point。本系列第一篇从技术角度论证了 CLI 完全能做 OAuth,因此平台不开放的原因是商业选择而非技术限制。 ↩︎
-
飞书企业自建应用创建流程需要企业管理员审批,参见飞书开放平台文档。普通员工无法自行创建具有
im:message等权限的应用。 ↩︎ -
Notion 的 Internal Integration 允许个人用户直接创建,无需工作区管理员参与,参见 Notion API 文档。这是目前少数支持个人级别 OAuth 的协作工具之一。 ↩︎