每个 Agent 都需要一个 Box:Aaron Levie 谈 AI 时代的新基础设施
标题:每个 Agent 都需要一个 Box —— Aaron Levie,Box
摘要: 我们最近关于 Code Reviews 的文章反响很热烈。还没看过的话,快去补课!
内容: 我们最近关于 Code Reviews 的文章 反响 非常热烈。还没看过的话,快去补课!
在“AI 是否正在杀死 SaaS”这场讨论风暴中,全球顶级上市 SaaS 公司之一刚刚公布了创纪录营收,ARR 首次突破 11 亿美元,利润率达到 28%。正如我们在播客里所说,Aaron Levie 是少见的那类上市公司 CEO:既能游刃有余地穿梭在硅谷,也能驾驭华尔街/主街语境。白天,他带领团队为 70% 的《财富》500 强提供 Enterprise Advanced Suite;夜里,你又常常会在早期创业公司的地下室,或者在 X 上,看到他发布关于 Agent 未来的“爆款洞见”。
如今,Cursor、Cloudflare、Perplexity、Anthropic 等公司都让 Filesystem、Sandbox 以及各种“Just Give the Agent a Box(给 Agent 一个盒子)”理念变得很酷(不只是“酷”,它已经成为 AI 基础设施里最火的赛道之一,环比增速可达 100%)。在这个时间点,和这位“OG CEO”做这期节目再合适不过:早在他大学辍学、在 Michael Arrington 的家宴上向 VC 路演时,他就一直在给人类和计算机提供“Box”。
欢迎收听我们的特别节目,本期还有人气返场嘉宾/联合主持 Jeff Huber!
注:我们没有直接展开讨论 AI vs SaaS 的争论——Aaron 在很多很多很多其他播客里已经讲过这个话题,你也可以阅读他这篇定调文章。很多评论者并不真正理解 SaaS 业务,因为他们从未亲自把 SaaS 规模化,也没有深入思考 SaaS 真正的价值主张。
[
我们还讨论了 Your Company is a Filesystem:
[
我们也特别提到 CTO Ben Kus 和 AI 团队,他们分享了技术架构,并将回归 AIE WF 2026。
-
00:00 让工作方式适配 Agent
-
01:29 为什么每个 Agent 都需要一个 Box
-
04:38 Agent 治理与身份
-
11:28 为什么 Coding Agent 最先爆发
-
21:42 Context Engineering 与搜索边界
-
31:29 Agent Evals 内部机制
-
33:23 行业与数据集
-
35:22 如何搭建 Agent 团队
-
38:50 Read/Write Agent 工作流
-
41:54 Docs Graph、Founder Mode
-
55:38 Token FOMO 文化
-
56:31 生产函数的秘密
-
01:01:08 从电影背景到创办 Box
-
01:03:38 AI 对电影行业的未来影响
-
01:06:47 媒体 DevRel 与工程
Aaron Levie: 比如你不再亲自写代码,而是和一个 Agent 沟通,它替你去执行,你顶多做一下 review。甚至很可能,连这一步都不是你主要在做的事。真正发生的是:我们在改变自己的工作方式,以便让 Agent 更有效。在这个模型里,并不是 Agent 去适配我们的工作方式。
而是我们在适配 Agent 的工作方式。整个经济体系都会经历同样的演进。现在,率先这么做、并且组织“布线”已经适配这种模式的团队,会获得巨大的资产和优势,因为你会看到复利式回报。但对大多数公司来说,把这套东西真正部署起来还需要时间。
swyx: 欢迎来到 Lane Space Pod。我们回到 chroma studio,和——呃——chroma CEO Jeff Hoover 一起。欢迎返场嘉宾,现在也是联合主持。
Aaron Levie: 很荣幸。哇,你怎么升级到这个角色了?
swyx: 因为他就是做你这期嘉宾主持的完美人选。
Aaron Levie: 这确实说得通。我们都热爱 context。我们俩都非常非常在意 context。
确实如此。
swyx: 呃,我们也请到了 Aaron Levy。欢迎。
Aaron Levie: 谢谢,很高兴来到这里。
swyx: 对,我们线下都见过,也聊过一点,但当面做这种长对话总是更好。你一开场就能量拉满,你对 Agent 特别兴奋。
我很喜欢。
Aaron Levie: Agent。
swyx: 对。Open claw 刚被 OpenAI……呃,不是收购,但你懂我意思吧?
Aaron Levie: 某种……你知道,acquihire。高管级。
swyx: 高管引进。
Aaron Levie: 高管引进。好,高管引进。可以这么说。
swyx: 哈,这是我造的词。好。那你现在最强烈押注 Agent 的点是什么?你发了很多很有洞察的推文。
Aaron Levie: 我们最兴奋、而且我觉得也应该相对直观的一点是:我们一直在搭建一个平台,帮助企业管理文件、企业文件权限,以及这些文件的共享协作。
这些文件包含了企业最关键的信息。可能是合同、研究资料、市场信息、备忘录。过去这些数据当然主要是被人类使用。但有个非常有意思的问题是:人类通常只在“正在处理某件事”的时候与文件交互,之后它们就被搁置很久。
而现在,借助 AI 和 AI Agent 的能力,这些数据突然变得极其关键——它们变成了一个持续回答新问题的来源,变成了会被转化、并进一步创造组织价值的数据。
比如,新员工入职、需要快速了解项目时,答案就在里面;和客户沟通时该卖什么,答案也在里面;下一项功能该怎么做,路线图信息也在里面。
也就是说,以前我们只是存着、偶尔甚至会忘记的那些信息(因为我们总在处理新的“活跃任务”),现在都会变成企业资产;对终端用户也会非常有价值,因为他们可以让 Agent 去查找所需信息,基于它生成新的价值和新数据;对 Agent 自身也同样关键,因为 Agent 会四处执行大量任务,它们同样需要访问这些数据。
有时候,这个 Agent 是“代表你工作”的,本质上就像你的延伸——它访问你能访问的一切,并在系统里以你的身份操作。另一些时候,Agent 则是相对自主运行的,你会像协作同事一样与它协同。Open Claw 是最近、也可能是第一个真正让大家刷新对这类形态认知的案例:你有一个 Agent,它运行在自己的系统、自己的电脑上,有自己的工具访问权限。你大概率不会把整个人生都交给它,你会像和助理或同事那样与它沟通,它在自己的 sandbox 环境中运行。
这些变化对“管理企业数据的平台”都意味着巨大的影响。我们认为,这将彻底改变我们与企业内容互动的方式。我们必须确保平台能力能正确支撑这种变化。
swyx: 我对它的简化说法是:当大家开始构建 Agent,所有人都意识到——每个 Agent 都需要一个 box。是的。你们公司刚好就叫 Box,相当于给每个 Agent 发一个 box。
Aaron Levie: 如果这个说法能火起来,我非常乐意。我觉得这个术语——
swyx: 这就是 slogan:Every agent
Aaron Levie: needs a box. Every agent needs a box. 如果这能成为这期内容的标题,我完全没意见。这就是我想挂上广告牌的那句话。没错。
Every agent needs a box。喜欢。我们能现在就发吗?
swyx: 好,发。就这么定。
Aaron Levie: 那我今天来这儿的使命就完成了,这期播客我已经拿到想要的价值了。喝一杯。
swyx: 哈哈。
Aaron Levie: 不过说正经的,我们在思考的是:不管你认为是 10 倍、100 倍还是别的数量级,未来 Agent 的数量都会比人多一个数量级,这几乎是必然。
问题就变成:在企业里,要让这些 Agent 有效工作,需要什么基础设施?如何确保治理到位?如何确保它们只会在你的信息上做安全的事?如何确保它们不会接触到不该接触的数据?
未来一定会出现一些“极其离谱”的 Agent 安全事故:比如你通过 prompt injection 攻破某个 Agent,然后一路钻进 CRM 系统,拉走你本不该访问的数据。
Jeff Huber: 天啊,我们已经——
Aaron Levie: 对吧?这一定会到处发生。
所以关键是:你如何确保安全机制、权限系统、访问控制、数据治理都到位?我们甚至还不完全清楚该如何监管某些 Agent。比如在金融服务里,Agent 是否要满足和人类完全相同的合规要求?还是风险责任应完全落在创建或使用 Agent 的人类身上?这些都还是开放问题。
但无论如何,都必须有一个层来管理:它们能访问哪些数据、参与哪些工作流、如何从多个系统提取数据。这就是 Agent 时代的新基础设施机会。
swyx: 你今天还写了 Agent identity 的文章。我觉得这算是突发热点,很多安全圈的人都在讨论。我的理解一直是:有“人类的你”,还要有“Agent 的你”。
Aaron Levie: 是的。
swyx: 呃,我也不知道是不是这么简单。Box 会在这件事上给出明确立场吗?还是你们只做底层 source layer,把这事交给 Okta 之类的 identity 厂商?
Aaron Levie: 我认为我们会有自己的观点,同时也会与市场最终形成的边界协同。之所以我们在这件事上会比其他话题更“有主张”,是因为 Agent 为什么需要身份这件事里,最大的 use case 之一就是文件系统访问。
所以我们必须深入思考这个问题。除非你像我们一样天天盯着这个问题,否则可能会觉得:这有那么重要吗?
它之所以重要,是因为很多人会说:“给 Agent 在系统里开个账号就好了,把它当普通用户。”
问题在于:我(Aaron)对组织里其他人的 Box 账号其实没有责任。我看不到同事账号里的内容,我也不对他们的行为负责,而且他们处理的信息受到严格隐私保护。
但 Agent 不具备这些属性。至少在可预见的未来,创建 Agent 的人很可能要承担它的大量责任。Agent 本身也不享有“隐私权”这种概念,因为它还不能完全自主运营,也没有法律责任主体资格。
所以你不能简单地说“我创建一堆账号,然后偶尔跟 Agent 聊聊”。你需要监督机制。接着问题又来了:如果你在监督它,但它又开始和其他人协作怎么办?那边的人正在和 Agent 协同处理某件事,你却不该访问他们在做什么。
这就是我们要面对的新边界问题。
到目前为止,我们其实一直都在“简单模式”里玩 AI:Agent 就是你本人。你在 quad code、Cursor、Codex 里时,Agent 就是你。你登录自己的服务,它能做你能做的一切。这是 easy mode。
hard mode 是:Agent 有一定独立运行能力,人类偶尔检查,它会自主执行任务。那你如何给它企业资源访问权,同时又不显著提升安全风险、不把错误信息暴露给错误对象?这些都是我们必须解决的新问题。
我认为 identity layer 和 identity 厂商会是方案的一部分。但我们自己也必须有观点,因为太多 use case 都发生在协作型文件系统场景里:比如我如何只给 Agent 一部分我的数据,同时还给它一个独立 workspace,因为它也需要存储自己生成、后续仍有价值的信息。
[……后续内容截断……]
