本周真正的信号不是 Agent 开始落地,而是"看管 Agent"这门生意,先于 Agent 本身被资本定价。
SVTR 认为,本批融资里最值得注意的,不是又有多少 Agent 公司拿到钱,而是冒出了一整组专门"管 Agent"的公司,且它们的定价时点明显超前于企业侧的真实部署。市场还在争论 Agent 能替代多少岗位,资本已经开始为另一个问题付费:当 Agent 真的上岗,谁来监控它、约束它的权限、在它出错时把它叫停。
也就是说,Agent 的"能力"仍在被怀疑,它的"失控风险"却已经先被标了价。这层负责观测、安全、编排和留痕的中间管理层,正在长成一个独立的、可收费的基础设施类别。它最关键的特征是:比执行层更接近纯软件,因而更容易拿到软件式的估值倍数。本批里,通用生产力 Agent 大多还停在种子轮小额徘徊,而看管它们的公司,已经有人在 A 轮就摸到接近 2 亿美元的投后估值。垂直 Agent 那条线我们上期已经拆过(Sierra 用软件倍数定价服务型生意),这里不再展开,只提示一点:上期讲的是 Agent 替代谁,这期讲的是谁来管 Agent。
信号一|一个批次里冒出一整组"治理层"公司,执行层却还没真正铺开
先看这组公司的密度。Gray Swan(测试与防护模型及 Agent 的对抗性安全,$40M A 轮,团队出自 CMU,创始人是 AI 安全领域被反复引用的 Zico Kolter)、Geordie AI(监控企业系统里 Agent 的行为与可访问权限,$30M A 轮,投后约 1.8 亿美元,团队来自 Darktrace)、Canyon Code(编排 Agent 之间的交互与依赖,$5M)、Modiqo(把跑通的 Agent 执行沉淀成可复用工作流,$3M)、Trajectory(基于真实用户交互持续再训练模型,$15M 种子轮,投后 1.15 亿美元,Jeff Dean 与 Fei-Fei Li 参投)。再加上做"流程智能"的 Tekst 和降推理成本的 Tensormesh,一个批次里,围绕"怎么让 Agent 可观测、可约束、可复用"的公司接近十家。
值得停下来的是它的反直觉之处。这些公司服务的对象,也就是大规模上岗的企业级 Agent,本身还没铺开。市场在为一个尚未普及的东西配齐"管理工具",顺序是反的。通常一项技术先放量,事故先发生,治理需求才被动浮现;这一次,治理层和执行层几乎同时拿钱,某些环节甚至更早。
这里有一个离开 SVTR AI创投库不太容易看到的细节:这组治理层公司高度集中在美国和英国,而本批中国的 Agent 公司(如做金融多智能体的序熵科技)仍主要被定义为"解决方案提供方",也就是执行层。同一时间窗内,美国资本在给"谁来看管 Agent"发钱,中国资本仍在给"Agent 替谁干活"发钱。这不是谁快谁慢,而是两边对 Agent 成熟度的隐含假设不同:你只有相信 Agent 很快会大量自主行动,才会提前给"监工"估值。
那么问题来了:如果执行层还没起量,这些钱到底买的是什么?
信号二|企业先掏钱买的是"可控性",不是"能力"
答案藏在客户的预算结构里。企业愿意为 Agent 付费的第一笔预算,正在从"它能多干活"转向"它会不会乱来"。
最能说明问题的是 Geordie AI 的估值。一家做 Agent 行为监控、权限审计和风险拦截的公司,在 A 轮就拿到约 1.8 亿美元投后,而它监控的对象在多数企业里还没真正跑起来。资本给这个价,定价的不是 Agent 创造的价值,而是 Agent 失控的成本。一个能在 Agent 调错数据、越权操作、把敏感信息传出去之前就拦下来的系统,对企业的意义不是"提效",是"敢不敢用"。安全和可观测,正在成为企业从 PoC 走向生产部署的那个开关,而不是上线之后的补丁。
Gray Swan 是另一个角度的同一件事。它做的是上线前的对抗性测试与红队,把"这个 Agent 会不会被诱导做坏事"变成一项可以外采的服务。请注意这个动作的含义:企业默认自己管不住 Agent,于是把"管不住的风险"外包出去。这恰恰说明,可控性已经从工程团队的内部职责,变成了一个独立的采购科目。
一旦"可控性"成为独立付费项,一个更底层的问题就浮上来了:既然它能被单独定价,它的估值逻辑,还和执行层是同一套吗?
信号三|治理层正在和执行层分叉,而它更像那个该拿软件估值的人
这是本期最不安全、也最值得下注的判断。治理层和执行层的估值逻辑,正在分开走。
执行层(尤其垂直 Agent)的经济模型,上期已经指出过它的尴尬:它替代的是专业服务,带着服务型生意的毛利结构和交付成本,却常被按软件估值。治理层不一样。监控、安全、编排、再训练这几件事,天然是横向的、可标准化的、随 Agent 数量增长而复用的。一套监控系统接入第一百个 Agent 的边际成本,远低于第一个。这正是软件该有的样子。
所以会出现一个反转:大家以为软件倍数属于那些"会干活"的 Agent,实际上,真正配得上软件倍数的,可能是那些"看着 Agent 干活"的公司。Trajectory 种子轮就拿到 1.15 亿美元投后,靠的不是它执行了什么任务,而是它卡在了"模型持续改进"这个横向位置上,每多一个客户的真实交互,都在加厚同一套反馈飞轮。Tensormesh 也类似,它不生产 Agent,它让所有 Agent 变便宜。
这条分叉线,是本期最该被跟踪的东西。如果它成立,接下来一段时间,资本会更愿意为"管 Agent 的横向层"付软件溢价,而对"干活的垂直 Agent"用越来越接近服务业的尺子去量。换句话说,Agent 这门生意里,最像软件的部分,可能根本不是 Agent。
成因|为什么是现在
为什么这个信号此刻出现,而不是更早或更晚?三件事在同一时间窗内交汇。
其一,Agent 从"会聊天"跨到"会动手",边界发生了质变:能调用工具、能改数据、能自主连续决策的 Agent,失控的后果第一次变得具体且昂贵,治理需求从锦上添花变成"不装不敢上"。
其二,几家头部 Agent 公司的真实越权与事故案例开始在企业内部流传,采购方的心理顺序变了,先问"出事怎么办",再问"能干什么"。
其三,资本端在垂直 Agent 的估值上已经吃过一轮亏(服务型经济被按软件定价),正在主动寻找 Agent 链条里更像软件的位置,治理层恰好接住了这笔重新配置的钱。
时点的本质是:这一波买的不是 Agent 的现在,是 Agent 的明天。
影响|谁会受波及
对创业者,这里有一个清晰的卡位窗口。如果你在做执行层 Agent,要警惕一件事:你最值钱的部分,可能不是你替客户干了什么活,而是你能不能拿出一套让客户敢把你放进生产环境的可观测与可控机制。把可控性内建成产品的一部分,而不是合规附件,会直接影响你下一轮按什么倍数定价。如果你在做治理层,真正的护城河不在单点功能(监控、测试、编排都会被快速复制),而在你能不能成为那个"接入越多 Agent、数据越厚、越难被替换"的横向标准层,Trajectory 和 Geordie 抢的正是这个位置。
对投资人,这意味着估值框架要分两套尺子。给治理层和反馈层公司,可以容忍较高的软件倍数,因为它们的复用性和网络效应是真的;给执行层垂直 Agent,要老老实实算交付成本和毛利,别被"AI 替代专业服务"的叙事带着用软件倍数下注。一个具体的尽调动作:看一家 Agent 公司的收入里,有多少来自"它干的活",有多少来自"它保证不出错",后者的占比,可能比增速更能预测它最终该拿什么估值。
对大平台,基础模型厂商大概率会把基础的监控、留痕、权限能力下沉进平台,独立治理公司的生存空间在于做得比平台更深、更横、更中立。对企业买方,评估 Agent 的第一道门会从"能力演示"前移到"安全与可观测",PoC 阶段就要把这条加进采购清单。
验证:三个值得追踪的关键指标
未来 90 天,用三个可量化的指标检验这个判断。
第一,治理层与执行层的估值倍数差。跟踪新一轮治理层公司(监控、安全、编排、再训练)的融资倍数,与同期通用/垂直执行层 Agent 的倍数差值;若差值持续走阔,分叉成立。
第二,企业 Agent 采购清单里"安全与可观测"的位置。在公开的企业 AI 采购案例与 RFP 中,统计"可观测性/安全合规"作为硬性前置条件(而非可选项)出现的比例,90 天内若明显上升,信号二被验证。
第三,中美治理层融资的数量差。对比这 90 天里,美国/英国与中国在"Agent 治理层"(而非执行层)的新增融资笔数;若美国侧继续领先且差距不收窄,信号一里那条中美错位的观察成立。
CTA
SVTR AI创投库已对本期这组公司打上"Agent 治理层"专题标签,可按监控/权限、安全/对抗、编排/协同、持续再训练四个子方向交叉筛选,并附每家的轮次、投后估值与执行层暴露度评分,方便你判断手里的 Agent 标的,到底站在分叉的哪一边。