谁在争夺 Agent 生产环境的控制平面?
不是谁最会做 Agent,而是谁会成为企业不得不买的基础设施
截至 2026 年 3 月,Agent 基础设施早就不再是一个抽象命题。OpenAI 已经把 Agent 的“开发—部署—监控—优化”纳入官方工具链:Agents 文档明确写到 dashboard features for monitoring and optimizing agents,Agents SDK 内建 tracing,优化侧又挂上了 agent evals、trace grading 和 prompt optimizer;甚至在官方 cookbook 里,OpenAI 已经把“full observability”“centralized policy enforcement”“eval-driven design”一起当成生产级 agent 的默认配置来讲。另一边,Datadog 已把 AI agents 的 inputs、outputs、latency、token usage、errors 纳入端到端 tracing;Okta 明确把 AI agent lifecycle management 定义为从部署到退役的全生命周期治理;CrowdStrike 则把 AI agents 直接放进 human、non-human、AI identities 的统一身份安全框架里,并在 2026 年 1 月 8 日宣布收购 SGNL,补上 continuous identity 与动态授权。
所以,这一轮真正值得投研的问题,已经不是“谁最会做 Agent 应用”,而是:谁会成为 Agent 进入生产环境之后,企业不得不买、不得不接、不得不用的基础设施层。 OXYZ资本认为,Agent 时代真正值钱的,不只是“会干活的智能体”,而是谁掌握了它的运行记录、身份权限和安全响应。前台的 Agent App 可以很多,但后台的控制平面通常只会有极少数赢家。
先把类比讲清楚:这不是公司对公司,而是控制点对控制点
如果用最简洁的话概括,Datadog 代表的是“谁来看到一切”,Okta 代表的是“谁来证明它是谁、能做什么”,CrowdStrike 代表的是“当它做错事、被劫持或被利用时,谁来发现、阻断并响应”。这篇文章真正讨论的,不是下一个 Agent 独角兽是谁,而是 Agent 生产栈里三个最关键的控制点:观测层、身份层、安全层。谁卡住其中任何一层,谁就有机会拿走企业级 Agent 的默认入口。Datadog 当前主打的是 end-to-end tracing、评估与生产优化;Okta 当前主打的是 AI agent lifecycle management 和 identity-first governance;CrowdStrike 当前主打的是 secure every identity、AI Detection and Response,以及 continuous, risk-based access。
第一战场:谁会成为“Agent 时代的 Datadog”?
OXYZ资本观点是,这一层最可能最先爆发。原因很简单:Agent 一旦上线,开发团队第一个遇到的往往不是“权限治理”,而是“为什么它刚才会这么做”。传统软件的执行路径相对确定,Agent 的执行路径却是动态的:它会分步规划、调用工具、切换上下文、分发任务、再把中间结果拼回来。OpenAI 之所以把 tracing 做成 Agents SDK 的内建能力,本质上已经说明了这个问题不是可选增强项,而是 Agent 进入生产的基础要求。
这也是为什么 Datadog 这类玩家的切入非常自然。Datadog 官方现在对 LLM Observability 的表述已经非常完整:它不只是看日志,而是对 AI agents 做 end-to-end tracing,直接看 inputs、outputs、latency、token usage 和 errors,并把这些 trace 和 APM 相关联;评估端又把 custom LLM-as-a-judge、managed evaluations 和 external evaluations 集成到同一个平台里。换句话说,它在抢的不是一个“AI 调试工具”位,而是一个 Agent 行为总账本的位置。谁掌握这个账本,谁就最先成为团队排障、复盘、优化、控制成本时默认要打开的系统。
创业生态的演化方向也很一致。Langfuse 已经把自己的定位直接写成 “trace, monitor, evaluate, and test AI agents in production”;Phoenix 则把 tracing、evaluation、debugging、experiments 串成同一套工作流,并明确强调自己 built on OpenTelemetry、vendor/framework/language agnostic。这里一个很重要的信号是:这一层正在从“框架内调试”走向“跨模型、跨 runtime、跨云的统一遥测层”。OXYZ资本内部讨论时,会把这类公司看成 Agent 生产环境的“遥测与记账系统”,而不是简单的 AI 开发者工具。
这一层真正的胜负手,不是谁能画出最好看的 trace 图,而是谁能把 trace 变成 eval,再把 eval 变成优化动作。OpenAI 官方已经把 trace grading、datasets、evals 放进优化链路;Datadog 也在把 observability、experiments、runtime protection 越绑越紧。它内部的 AI Guard 已经在用 LLM Observability 分析每一次 prompt、model output 和 tool call,并对不安全行为做 inline blocking。也就是说,“Agent Datadog”最终未必只是看见问题,它很可能会从可观测性继续向治理和保护上浮。
第二战场:谁会成为“Agent 时代的 Okta”?
如果说 observability 解决的是“它刚才做了什么”,那 identity 解决的就是“它到底是谁、代表谁、凭什么这么做”。这一层今天最被低估,但中长期可能最值钱。因为 Agent 一旦不再只是回答问题,而是开始访问 CRM、ERP、邮箱、数据库、SaaS 和云资源,它就不再是一个“模型调用”,而是一个真实的非人类身份。Okta 对这个判断已经说得很直白:AI agent lifecycle management 是从 deployment through retirement 的 end-to-end governance;identity-first architecture 要把 AI agent 当作 accountable digital entities,甚至 first-class digital citizens 来治理。
这背后真正棘手的问题,不是登录,而是授权。Okta 最新关于 agentic frontier 的官方表述已经非常明确:AI agents must be treated as first-class identities;它们需要 delegated authority、fine-grained authorization、continuous access evaluation、provisioning/deprovisioning,以及完整的 audit trail。为什么这件事重要?因为 Agent 和传统 service account 不一样,它不是只跑固定脚本,而是在上下文里自主决策、跨系统行动。权限如果还是按静态 RBAC 发放,迟早会撞上过度授权、凭证滥用、影子 Agent 和审计失真。OXYZ资本内部认为,Agent 时代最大的身份变化,不是企业里多了一个 bot,而是企业第一次要大规模管理“会自主决策的非人类身份”。
因此,“Agent Okta”真正要抢的,不只是 IAM 的延长线,而是 agent 的发证中心、授权中心和生命周期中心。它必须能接进现有 IAM/IdP/Cloud 权限体系,能做最小权限、短时凭证、动态授权、人工审批、密钥轮换和退役回收,还要让审计、风控、合规团队都认。Okta 自己已经把 identity is the control plane 写得很明确:一旦 Agent 进入生产,身份就是唯一可扩展的控制平面。OXYZ资本在看一些相关项目时,最先问的通常不是“你支持多少框架”,而是“没有你,企业怎么知道这个 Agent 是否有资格去读、去写、去执行”。
第三战场:谁会成为“Agent 时代的 CrowdStrike”?
如果说身份层回答的是“它本来能做什么”,安全层回答的就是“它现在是不是已经在做不该做的事”。这一层最容易被真实事故逼出来,因为 Agent 把攻击面直接拉到了 prompt、tool、identity、endpoint、cloud 和 SaaS 的交界处。CrowdStrike 的官方路线已经非常鲜明:2025 年 12 月,Falcon AIDR 正式 GA,口径就是 secure the AI prompt and agent interaction layer,并把 data、models、agents、identities、infrastructure、interactions 一起纳入统一防护面;Falcon Next-Gen Identity Security 则进一步把 human、non-human、AI、SaaS identities 做成一个统一平台,强调 real-time visibility、dynamic enforcement 和 autonomous response。
更关键的是,CrowdStrike 对 AI agents 的定义已经不再是“潜在风险应用”,而是“privileged identity”。在 2026 年 1 月 8 日宣布收购 SGNL 时,George Kurtz 直接说 every agent is a privileged identity that must be protected;而 SGNL 在这套架构里的位置,不是可视化层,而是 runtime access enforcement layer——也就是站在身份提供方和 SaaS/云资源之间,基于实时风险去 grant、deny、revoke access。换句话说,CrowdStrike 抢的不是“给 Agent 做安全测评”的位置,而是当 Agent 真在生产环境里跨系统跑起来时,谁有权踩刹车、断会话、撤权限、阻断横向移动。
这一层的产品定义也因此非常明确:它不能只是报错,而要能真正阻断;不能只看模型输出,而要关联 identity、endpoint、cloud、SaaS;不能只做事后分析,而要覆盖事前限制、事中检测、事后响应三段闭环。值得注意的是,Datadog 也已经在用 AI Guard 对 prompt injection、data leaks、unsafe code execution 做实时检测和拦截,这说明 observability 与 security 的边界正在上移、正在融合。可一旦买单方从 AI 工程团队切换到 CISO 和 SOC,谁能成为企业默认的“最后一道主动防线”,仍然会是一个独立而厚重的市场。
为什么大概率不会只有一个赢家
OXYZ资本观点是,这三层很难被一家通吃。原因不是技术不能做,而是控制点、预算池和买单人群本来就不同:observability 更靠近开发、平台和 AI 工程团队;identity 更靠近 IAM、IT 和治理团队;runtime security 与 response 更靠近 CISO、SOC 与安全运营。基于 Datadog 当前的可观测性定位、Okta 当前的身份治理定位、以及 CrowdStrike 当前的实时检测与动态授权定位,更可能出现的结构不是“一家统治一切”,而是一个 Agent Datadog、一个 Agent Okta、一个 Agent CrowdStrike。谁先赢,取决于企业当前最痛的控制点在哪里。
真正有机会的创业公司,长什么样?
从 OXYZ 视角看,这条赛道真正值得看的公司,往往不是做 Demo 层,而是做生产控制点;不是只绑一个框架,而是跨 runtime、跨模型、跨工具链;不是只有 dashboard,而是能形成 policy、workflow 和 response;不是只帮工程师省几小时排障时间,而是能绑定企业预算、审计责任和合规要求;不是“外挂工具”,而是逐渐变成 system of record 或 enforcement point。说得更直白一点:出了事之后,企业先看谁、先关谁、先买谁,谁就更接近这一轮真正的大机会。
最后的判断:先爆发的是观测,最厚的是身份与安全
短期最先跑出来的,大概率是“Agent 时代的 Datadog”;中长期利润最厚的,更可能是“Agent 时代的 Okta + CrowdStrike”。 前者更早,因为开发团队最先撞上 trace、eval、latency、token、cost 和 debugging 的生产问题,而 OpenAI、Datadog、Langfuse、Phoenix 的工具链已经明显往这个方向收敛;后者更厚,因为一旦 Agent 真正进入核心业务流程,身份、授权、审计、动态撤权和安全响应就会从“最佳实践”变成“必须配置”。
所以,Agent 时代真正的大公司,不一定最像聊天机器人,而更可能最像企业的 AI 控制平面。谁掌握运行记录,谁就掌握优化权;谁掌握身份权限,谁就掌握授权权;谁掌握安全响应,谁就掌握最终控制权。OXYZ资本认为,下一阶段最值得下注的,不是谁把 Agent 做得最炫,而是谁正在抢占 Agent 基础设施里的默认入口、默认审计点和默认刹车权。