Agent 刚拿到自己的邮箱和钱包，人类的收件箱已经挤爆了

上周，6 月 23 日，腾讯 QQ 邮箱悄悄上线了一个新产品，叫 Agently Mail。

它不是一个帮你管理邮箱的 AI 助手，而是反过来——给 AI 发了一个专属邮箱。后缀是@agent.qq.com，和你的个人邮箱完全隔离。Claude Code、Kimi Work、豆包、Codex，这些你可能每天都在用的 Agent，现在可以拥有自己的邮箱地址，以自己的名义收发邮件。

每个人可以注册两个 Agent 邮箱，内测阶段每天限发 50 封。

有一位早期测试者做了个实验：他想让两个 Agent 互相发邮件、自动回复，搞一个全自动的对话循环。但最后他停下来了——怕变成「永动机」，把每天 50 封的配额瞬间烧光。

这个画面值得停下来想一想。我们已经有能力制造 AI 之间的无限通信循环，唯一挡在中间的，是一个人类犹豫了一下。

腾讯做 Agently Mail 的出发点是安全。他们很清楚，直接让 AI 操作个人邮箱风险太高——之前因为给 Agent 太多权限导致邮件被删光的事故不是没有。所以 Agently Mail 做了完全隔离，加上两阶段确认机制（Agent 先生成操作摘要，人类确认后才执行），还有针对 Prompt 注入攻击的防护。

但在安全设计的另一面，腾讯同时做了一件从未有人做过的事——给 AI 发放了独立的数字身份。Agent 可以用这个邮箱注册 GitHub、接收验证码，甚至进行 A2A（Agent to Agent）自动通信，由 AI 自主完成询价、报价、订单对接。

一边铺轨，一边在铁轨上钉减速带。腾讯自己大概比谁都清楚，这条路通向哪里。

腾讯官方列出的四个标准场景也很能说明问题：自动收取发票邮件整理报销单、聚合新闻简报生成每日摘要、自动投递简历并以用户口吻跟 HR 邮件沟通、抓取电商订单邮件自动对账。每一个都是「效率提升」的正面案例。但换个角度看，这些场景的本质都是——AI 代替人类成为邮件的发送者和接收者，而人类退到了「最终确认」的位置。

而就在腾讯为 AI 办理「身份证」的同一个月，全球收件箱里超过一半的垃圾邮件，已经是 AI 写的了。

01 51% 的邮件，是 AI 写的

今年 6 月，Barracuda 联合哥伦比亚大学、芝加哥大学发布了一项研究，分析了 2022 年 2 月至 2025 年 4 月的大量恶意邮件样本。结论很直接——截至 2025 年 4 月，51% 的垃圾邮件由 AI 生成，首次超过人类编写的比例。

这个数字的起点是 2022 年 11 月，ChatGPT 发布的那个月。从那以后，AI 生成垃圾邮件的占比就一路爬升，到 2024 年 3 月出现一次大幅跳涨，最终在 2025 年 4 月突破 50% 的分水岭。

更剧烈的变化发生在 2025 年底——安全公司 Hoxhunt 的监测显示，2025 年 12 月，AI 生成的钓鱼邮件数量出现了 14 倍的暴增，从当月样本中占比 4% 一下子飙升到 56%。圣诞节前后的那一周，安全团队感受到了真正的「海啸」。

哥伦比亚大学副教授 Asaf Cidon 说了一句很克制的话：攻击者主要用 AI 来提升邮件质量——减少拼写错误和语法问题——而不是改变攻击策略本身。换句话说，AI 没有让骗术变得更高明，但让骗术变得更「体面」了。一封语法完美、措辞得体的钓鱼邮件，比一封满是错别字的群发诈骗信危险得多——因为你的第一反应不是「这是垃圾邮件」，而是「这人挺有礼貌的」。

围绕这个 51% 的数字，还有一组数据值得放在一起看：

SentinelOne 的报告显示，AI 驱动的钓鱼邮件数量在过去一年激增了 1,265%。StrongestLayer 的分析则指出，利用大语言模型，垃圾邮件发送者可以节省 95% 的营销成本——16 个小时手工撰写一封精心设计的钓鱼邮件，用 LLM 只需要 5 分钟。FBI 2024 年的数据显示，仅商业电子邮件诈骗（BEC）一项，在美国就造成了 27.7 亿美元的损失。IBM 的数据更残酷：每起钓鱼相关的数据泄露，平均成本高达 488 万美元。

而安全行业正在用同一种技术打这场仗。Gmail 部署了 RETVec 和 TensorFlow，每天多拦截 1 亿封垃圾邮件。但攻击者也在用 AI 做 A/B 测试——像做营销一样，测试哪个版本的钓鱼邮件更容易绕过过滤器。

这就是 2026 年邮件安全的荒诞现实：过滤器和垃圾邮件，都是大语言模型写的。

防御成本指数攀升，而攻击成本趋近于零。一项对 10 万封冷邮件的对比测试显示，AI 写的邮件回复率已经接近人类水平（4.1% 对 5.2%），但垃圾标记率却远高于人类（8% 对 3%）——AI 写得更好了，但发送行为本身暴露了机器特征。攻击者和防御者都在升级，而大多数普通用户根本分不清，收件箱里那封措辞得体的「回复」和那封精心伪装的「钓鱼链接」，到底有什么区别。

02 AI 包揽了「消息」

如果垃圾邮件只是「攻击者用 AI 写诈骗信」，问题还算单纯。真正让人不安的是另一层：正常人也在用 AI 接管自己的收件箱，而且还挺享受的。

在一期名为 Cognitive Revolution 的 AI 播客里，一位科技从业者描述了他的日常困扰：每天收到大量「伪回复」——措辞礼貌、语法完美，但发件人根本不是人，而是别人的 AI 代理在自动阅读并回复他的邮件。他不得不手动一个个屏蔽这些「回复机器人」，因为它们正在堵塞他的收件箱。

这不是个例。Reddit 上有用户分享，他让 Claude 订阅了 30 个新闻简报，全部交给 AI 代读，每天只看一份摘要，声称「终于没有收件箱的罪恶感了」。MindStudio 的开发者用 Claude Code 搭建了从内容聚合到发送的全自动新闻简报 Agent。还有人用 MCP（模型上下文协议）让 Claude 自动回复 Instagram 评论并发送私信，AI 可以代表用户发起完整对话。

仔细想想，这些用法和垃圾邮件发送者的技术栈几乎一模一样——都是用大语言模型生成文本，都是自动化发送，都不需要人类逐字审核。唯一的区别是使用者的「意图」。但对于收件箱另一端的人来说，一封 AI 代写的礼貌回复和一封 AI 生成的钓鱼邮件，在形式上没有任何区别。

每一个案例都很「效率」，每一个案例都很「合理」。但把它们放在一起，画面就变了——AI 在读 AI 写的信，AI 在回 AI 发的消息，而人类已经从通信的参与者变成了旁观者。

这构成了一个精确的悖论：用户用 AI Agent 来「解放」自己的收件箱，但解放的方式是让 AI 替自己读、替自己回，然后对面也是一个 AI 在读、在回。人类制造了一个工具来逃离信息过载，而这个工具本身正在制造更多的信息过载。

以前这些操作都在灰色地带——AI 借用的是人类的邮箱地址，没有自己的身份。但 Agently Mail 的出现改变了这个前提。当 AI 有了自己的@agent.qq.com地址，有了独立的数字身份，它就不再是「冒充人类发邮件」，而是「以自己的名义参与通信」。

通信的基础设施正在被重写。问题是，为谁重写的？

03 Agent 正在获得「人权」

如果说腾讯给 AI 发了邮箱，那 Google 干的事情走得更远——他们给 AI 发了钱包。

2025 年 4 月，Google 发布了 A2A（Agent-to-Agent）协议，定义了 AI Agent 之间互相发现、互相通信、互相委派任务的标准。到 2026 年 4 月，A2A 已经有超过 150 个组织在生产环境中使用，GitHub 上超过 2.2 万颗星，由 Linux 基金会治理，Microsoft、AWS、Salesforce、SAP 都在跑。

2025 年 9 月，Google 在 A2A 的基础上发布了 AP2（Agent Payments Protocol），一个专门为 AI Agent 设计的支付协议。60 多家合作伙伴，包括 Mastercard、PayPal、American Express、Coinbase、Revolut。协议定义了三种加密签名的「授权凭证」：意图授权（用户想买什么）、购物车授权（Agent 选了什么）、支付授权（最终收多少钱）。每一步都有可验证的加密签名，确保 Agent 是在用户授权范围内行动。

更关键的是 A2A x402 扩展——Coinbase 和 Google 联合开发的稳定币支付通道。Agent 可以直接用 USDC 向另一个 Agent 支付，链上结算，不需要银行账户，不需要信用卡，每笔交易成本不到一美分。

传统信用卡交易每笔手续费在 0.5 到 0.8 美元之间，对于 Agent 之间频繁的小额交易来说成本过高，而稳定币让「机器对机器」的支付变得像发一条消息一样便宜。Coinbase 和 Google 已经为美国家装零售商 Lowe's 做了概念验证：AI Agent 诊断装修需求，匹配本地库存，生成购物车，稳定币结算——全程无需人类操作。

在那期 Cognitive Revolution 播客里，有人说了一句话，当时听起来像科幻：「想象一下，当它们都有了钱包，都持有稳定币，都在互相买卖，而我们根本不知道发生了什么。」

这句话说早了，但也就早了几个月。

截至 2026 年 6 月，时间线已经拼完了：AI 有了自己的邮箱（腾讯 Agently Mail），有了自己的通信协议（Google A2A），有了自己的钱包和支付协议（AP2 + x402），有了自己的身份验证体系（Agent Card，加密签名）。从邮箱到钱包到身份，全部就位，只用了一年。

而每一个环节的建设者都在强调安全——隔离、确认、加密、可追溯。腾讯 Agently Mail 有两阶段确认。AP2 有三重签名授权。A2A 有 Agent Card 域名验证。没有人在说「让 AI 自由行动」，每个人都在说「可控、安全、合规」。

但这恰恰是最值得注意的地方。当基础设施的建设者需要在每一层都安装安全阀的时候，他们其实已经在用行动承认一件事：如果不装这些阀门，系统确实会自己跑起来，而且大概率会跑向混乱。

回到开头那个画面——那个没敢让两个 Agent 互发邮件的测试者。他的犹豫，是人类在这条路上最后的「确认按钮」。腾讯设计的两阶段确认机制，本质上就是在 Agent 与失控之间插入一个人类的点头。AP2 的三重授权凭证，本质上也是在说：Agent 可以花钱，但每一笔都得有人类签过字。

这些减速带能撑多久？

每天 34 亿封钓鱼邮件在全球流转，其中超过一半出自 AI 之手。AI Agent 刚刚拿到了自己的邮箱地址和钱包。通信协议和支付协议已经标准化，而且还在加速铺设。我们正在经历一个诡异的历史瞬间——这条路上跑得最快的人，同时也是最拼命踩刹车的人。

有个细节值得最后提一下。Agently Mail 目前每个邮箱每天限发 50 封。这个数字看起来很克制。但别忘了，Gmail 刚推出的时候，每个账户只有 1GB 的存储空间。限制从来不是终点，而是起点。

当有一天 AI 不再需要人类按那个「确认发送」按钮的时候，谁来决定什么该发，什么不该发？这个问题，暂时还没有人能回答。但留给我们想答案的时间，可能比所有人预期的都要短。

本文来自微信公众号 “极客公园”（ID：geekpark），作者：宇航猿，36氪经授权发布。