Marico's space

最近折腾移动端 AI Agent（人工智能代理），踩了几个坑，这篇把问题说清楚。

很多人把"移动 AI 助手"和"移动 AI Agent"混着用，其实不是一回事——如果你在上面做开发，区别就大了。

一句话概括：移动 AI 助手响应命令，移动 AI Agent 跨应用、跨上下文、跨工具规划和执行多步骤工作流。执行层是问题最多的地方，也是最难解决的。

核心区别

移动 AI 助手：
用户："今天日程是什么？"
AI："下午3点有个会议。" 移动 AI Agent：
用户："把我的3点会议改到明天，然后通知参会者。"
AI：查看日历 → 检查空闲时间 → 确认参会人 → 起草消息 → 请求确认 → 发送更新 → 验证日历变更 → 汇总结果

Agent 是干活的，助手只是描述事情。

这种额外能力需要完全不同的架构——而在移动端，会碰到桌面端或云端根本不存在的墙壁。

移动 Agent 架构

完整的移动 AI Agent 栈有 8 层：

用户界面层 → 语音、文本、摄像头、屏幕点击、快捷方式 感知层 → 语音转文本、OCR、视觉、屏幕理解 推理层 → LLM（大语言模型）或 multimodel 模型、规划器 编排层 → 工具路由、任务分解、重试逻辑 工具与应用层 → App Intents（iOS）、Android Intents、API、浏览器、快捷指令 记忆层 → 会话记忆、用户偏好、个人上下文 安全层 → 权限、同意确认、确认弹窗、审计日志 设备层 → OS 权限、传感器、安全硬件、NPU（神经网络处理单元）

Demo 看起来很好、生产环境却出问题，中间差的几乎都在工具与应用层和安全层。

执行层问题

这是大多数移动 AI Agent 在生产环境失败的地方。

iOS 端：

• 应用沙盒化——Agent 不能自由控制其他应用
• 可靠的自动化需要 App Intents（苹果官方框架）
• 基于屏幕的控制很脆弱——UI 改动就会打断工作流
• 认证（Face ID、双因素认证、验证码）不能被安全绕过

Android 端：

• Android Intents 和辅助功能 API 更灵活
• 但辅助功能 API 滥用被严格限制，防止恶意软件
• 后台执行限制影响长时运行的 Agent 任务
• 不同 OEM 实现造成碎片化

# 2026年移动端 Agent 能可靠执行的操作
reliable_actions = [ "read_calendar", "draft_message", # 只起草，不发送
 "summarize_notifications", "extract_text_from_image", "create_reminder", "compare_options", "fill_form_draft", # 只起草，不提交
] # 需要明确人工确认的操作
confirm_required = [ "send_message", "book_appointment", "make_purchase", "reschedule_meeting", "update_customer_record", "submit_form",
] # 负责任的 Agent 绝不应该自主执行的操作
never_autonomous = [ "financial_transfer", "medical_recommendation", "legal_document_signing", "disable_security_features", "delete_data_permanently",
]

推理路由问题

模型到底跑在哪？

| 模式 | 最佳场景 | 权衡 |
---
---
---
云端运行
复杂推理、大上下文
需要网络
私有云
敏感+复杂场景
需要信任平台
专用硬件
低延迟、持续感知
需要集成

2026年大多数生产级移动 Agent 用混合路由——快速/敏感任务跑在端侧，复杂推理路由到云端。

苹果的 Private Cloud Compute 和谷歌的 Gemini Nano + AICore 是这个模式的标准实现。

硬件层问题

这是大多数人完全跳过的问题。

端侧 AI 需要：

• NPU（神经网络处理单元） — 高效推理
• 安全 enclave — 敏感数据的受保护处理
• 持续感知 — 不耗电的语音检测
• 低延迟 I/O — 快到感觉是实时的

现在的智能手机有部分这些能力。但有一类正在增长的专用 AI Agent 硬件——专门设计作为用户和连接设备之间 AI 层接口的物理设备。

Aiden 团队在做的方案和新出一款 AI 手机不一样。Aiden Hardware 通过 USB HID（和键盘鼠标一样的协议）连接到任意现有手机或电脑。它通过 HDMI 监控屏幕，用端侧 VAD（Silero）处理全双工音频，再把键盘/鼠标/触控输入发回主机。

主机看到一个键盘和一个鼠标。AI 运行在 Aiden 设备内部。

传统方案：
需要新的 AI 手机 → 安装到设备 → 需要权限 → 系统相关 Aiden 方案：
插到任意现有设备 → 主机看到键盘+鼠标 → 无需安装 → 兼容任意系统

目前实际能用 vs 仍然困难

✅ 目前可靠可用：
- 文档摘要和提取
- 起草生成（邮件、消息、报告）
- 日历读取和建议
- 通知分类
- 图片转文字提取
- 研究和对比任务 ⚠️ 可用但需要谨慎实现：
- 日历修改（变更发送前需确认）
- 通过官方 API 的多应用工作流
- 语音驱动工作流（全双工帮助很大）
- 现场服务自动化 ❌ 2026年仍然困难：
- 无限制的跨应用屏幕控制
- 安全绕过认证
- 后台长时运行任务（iOS 尤其）
- 完全自主的金融或法律操作

风险层级

部署任何移动 AI Agent 之前，把每个操作映射到风险级别：

action_risk_map = { # 低风险——可自主执行
 "summarize_content": "auto", "read_calendar": "auto", "set_reminder": "auto", # 中等风险——记录并监控
 "draft_email": "log", "suggest_calendar_change": "log", "extract_form_data": "log", # 高风险——需要明确确认
 "send_email": "confirm", "reschedule_meeting": "confirm", "make_purchase": "confirm", "update_record": "confirm", # 绝不能自主执行
 "financial_transfer": "block", "medical_advice": "block", "legal_document": "block",
}

能获得信任的 Agent，都是在执行任何重要操作之前先来问你的。

2026年格局

目前影响移动 AI Agent 的关键趋势：

• OpenAI AI Agent 手机 — 与高通和联发科合作宣布，目标年出货量 3-4 亿台。预计 2028 年左右上市。
• Apple Intelligence — App Intents 框架是正确的基础，但真正的多应用 Agent 工作流仍然早期
• Gemini Nano + AICore — Android 端侧 AI 基础，快速改进中
• Holo3.1 — 本地计算机使用 Agent，H 公司的纯软件方案
• Physical AI 硬件 — Agent 推理和设备控制的专用设备，新兴品类

Physical AI 市场预计 2030 年达到 4300 亿欧元。执行层问题——Agent 如何可靠控制真实设备——是核心未解难题。

延伸阅读

• 为什么大多数 AI Agent 在生产环境失败
• 2026年如何不写代码构建企业 AI Agent
• Aiden Hardware 架构文档