Agent刚拿到自己的邮箱和钱包 人类的收件箱已经挤爆了

上周，6 月 23 日，腾讯 QQ 邮箱悄悄上线了一个新产品，叫 Agently Mail。

它不是一个帮你管理邮箱的 AI 助手，而是反过来—— 给 AI 发了一个专属邮箱 。后缀是@agent.qq.com，和你的个人邮箱完全隔离。Claude Code、Kimi Work、豆包、Codex，这些你可能每天都在用的 Agent，现在可以拥有自己的邮箱地址，以自己的名义收发邮件。

每个人可以注册两个 Agent 邮箱，内测阶段每天限发 50 封。

有一位早期测试者做了个实验：他想让两个 Agent 互相发邮件、自动回复，搞一个全自动的对话循环。但最后他停下来了——怕变成「永动机」，把每天 50 封的配额瞬间烧光。

这个画面值得停下来想一想。 我们已经有能力制造 AI 之间的无限通信循环，唯一挡在中间的，是一个人类犹豫了一下 。

腾讯做 Agently Mail 的出发点是安全。他们很清楚，直接让 AI 操作个人邮箱风险太高——之前因为给 Agent 太多权限导致邮件被删光的事故不是没有。所以 Agently Mail 做了完全隔离，加上两阶段确认机制（Agent 先生成操作摘要，人类确认后才执行），还有针对 Prompt 注入攻击的防护。

但在安全设计的另一面，腾讯同时做了一件从未有人做过的事—— 给 AI 发放了独立的数字身份 。Agent 可以用这个邮箱注册 GitHub、接收验证码，甚至进行 A2A（Agent to Agent）自动通信，由 AI 自主完成询价、报价、订单对接。

一边铺轨，一边在铁轨上钉减速带。腾讯自己大概比谁都清楚，这条路通向哪里。

腾讯官方列出的四个标准场景也很能说明问题：自动收取发票邮件整理报销单、聚合新闻简报生成每日摘要、自动投递简历并以用户口吻跟 HR 邮件沟通、抓取电商订单邮件自动对账。每一个都是「效率提升」的正面案例。但换个角度看，这些场景的本质都是—— AI 代替人类成为邮件的发送者和接收者，而人类退到了「最终确认」的位置。

而就在腾讯为 AI 办理「身份证」的同一个月，全球收件箱里超过一半的垃圾邮件，已经是 AI 写的了。

01 51% 的邮件，是 AI 写的

今年 6 月，Barracuda 联合哥伦比亚大学、芝加哥大学发布了一项研究，分析了 2022 年 2 月至 2025 年 4 月的大量恶意邮件样本。结论很直接—— 截至 2025 年 4 月，51% 的垃圾邮件由 AI 生成，首次超过人类编写的比例。

这个数字的起点是 2022 年 11 月，ChatGPT 发布的那个月。从那以后，AI 生成垃圾邮件的占比就一路爬升，到 2024 年 3 月出现一次大幅跳涨，最终在 2025 年 4 月突破 50% 的分水岭。

更剧烈的变化发生在 2025 年底——安全公司 Hoxhunt 的监测显示，2025 年 12 月，AI 生成的钓鱼邮件数量出现了 14 倍的暴增，从当月样本中占比 4% 一下子飙升到 56%。圣诞节前后的那一周，安全团队感受到了真正的「海啸」。

哥伦比亚大学副教授 Asaf Cidon 说了一句很克制的话：攻击者主要用 AI 来提升邮件质量——减少拼写错误和语法问题——而不是改变攻击策略本身。 换句话说，AI 没有让骗术变得更高明，但让骗术变得更「体面」了 。一封语法完美、措辞得体的钓鱼邮件，比一封满是错别字的群发诈骗信危险得多——因为你的第一反应不是「这是垃圾邮件」，而是「这人挺有礼貌的」。

围绕这个 51% 的数字，还有一组数据值得放在一起看：

SentinelOne 的报告显示，AI 驱动的钓鱼邮件数量在过去一年激增了 1,265%。StrongestLayer 的分析则指出， 利用大语言模型，垃圾邮件发送者可以节省 95% 的营销成本 ——16 个小时手工撰写一封精心设计的钓鱼邮件，用 LLM 只需要 5 分钟。FBI 2024 年的数据显示，仅商业电子邮件诈骗（BEC）一项，在美国就造成了 27.7 亿美元的损失。IBM 的数据更残酷：每起钓鱼相关的数据泄露，平均成本高达 488 万美元。

而安全行业正在用同一种技术打这场仗。Gmail 部署了 RETVec 和 TensorFlow，每天多拦截 1 亿封垃圾邮件。但攻击者也在用 AI 做 A/B 测试——像做营销一样，测试哪个版本的钓鱼邮件更容易绕过过滤器。

这就是 2026 年邮件安全的荒诞现实：过滤器和垃圾邮件，都是大语言模型写的。

防御成本指数攀升，而攻击成本趋近于零。一项对 10 万封冷邮件的对比测试显示，AI 写的邮件回复率已经接近人类水平（4.1% 对 5.2%），但垃圾标记率却远高于人类（8% 对 3%）——AI 写得更好了，但发送行为本身暴露了机器特征。攻击者和防御者都在升级，而大多数普通用户根本分不清，收件箱里那封措辞得体的「回复」和那封精心伪装的「钓鱼链接」，到底有什么区别。

02 AI 包揽了「消息」

如果垃圾邮件只是「攻击者用 AI 写诈骗信」，问题还算单纯。真正让人不安的是另一层：正常人也在用 AI 接管自己的收件箱，而且还挺享受的。

在一期名为 Cognitive Revolution 的 AI 播客里，一位科技从业者描述了他的日常困扰：每天收到大量「伪回复」——措辞礼貌、语法完美，但发件人根本不是人，而是别人的 AI 代理在自动阅读并回复他的邮件。他不得不手动一个个屏蔽这些「回复机器人」，因为它们正在堵塞他的收件箱。

这不是个例。Reddit 上有用户分享，他让 Claude 订阅了 30 个新闻简报，全部交给 AI 代读，每天只看一份摘要，声称「终于没有收件箱的罪恶感了」。MindStudio 的开发者用 Claude Code 搭建了从内容聚合到发送的全自动新闻简报 Agent。还有人用 MCP（模型上下文协议）让 Claude 自动回复 Instagram 评论并发送私信，AI 可以代表用户发起完整对话。

仔细想想，这些用法和垃圾邮件发送者的技术栈几乎一模一样——都是用大语言模型生成文本，都是自动化发送，都不需要人类逐字审核。唯一的区别是使用者的「意图」。但对于收件箱另一端的人来说，一封 AI 代写的礼貌回复和一封 AI 生成的钓鱼邮件，在形式上没有任何区别。

每一个案例都很「效率」，每一个案例都很「合理」。但把它们放在一起，画面就变了—— AI 在读 AI 写的信，AI 在回 AI 发的消息，而人类已经从通信的参与者变成了旁观者。

这构成了一个精确的悖论：用户用 AI Agent 来「解放」自己的收件箱，但解放的方式是让 AI 替自己读、替自己回，然后对面也是一个 AI 在读、在回。人类制造了一个工具来逃离信息过载，而这个工具本身正在制造更多的信息过载。

以前这些操作都在灰色地带——AI 借用的是人类的邮箱地址，没有自己的身份。但 Agently Mail 的出现改变了这个前提。 当 AI 有了自己的@agent.qq.com地址，有了独立的数字身份，它就不再是「冒充人类发邮件」，而是「以自己的名义参与通信」。

通信的基础设施正在被重写。问题是，为谁重写的？

03 Agent 正在获得「人权」

如果说腾讯给 AI 发了邮箱，那 Google 干的事情走得更远—— 他们给 AI 发了钱包。

2025 年 4 月，Google 发布了 A2A（Agent-to-Agent）协议，定义了 AI Agent 之间互相发现、互相通信、互相委派任务的标准。到 2026 年 4 月，A2A 已经有超过 150 个组织在生产环境中使用，GitHub 上超过 2.2 万颗星，由 Linux 基金会治理，Microsoft、AWS、Salesforce、SAP 都在跑。

2025 年 9 月，Google 在 A2A 的基础上发布了 AP2（Agent Payments Protocol），一个专门为 AI Agent 设计的支付协议。60 多家合作伙伴，包括 Mastercard、PayPal、American Express、Coinbase、Revolut。协议定义了三种加密签名的「授权凭证」：意图授权（用户想买什么）、购物车授权（Agent 选了什么）、支付授权（最终收多少钱）。每一步都有可验证的加密签名，确保 Agent 是在用户授权范围内行动。

更关键的是 A2A x402 扩展——Coinbase 和 Google 联合开发的稳定币支付通道。Agent 可以直接用 USDC 向另一个 Agent 支付， 链上结算，不需要银行账户，不需要信用卡，每笔交易成本不到一美分。

传统信用卡交易每笔手续费在 0.5 到 0.8 美元之间，对于 Agent 之间频繁的小额交易来说成本过高，而稳定币让「机器对机器」的支付变得像发一条消息一样便宜。Coinbase 和 Google 已经为美国家装零售商 Lowe's 做了概念验证：AI Agent 诊断装修需求，匹配本地库存，生成购物车，稳定币结算——全程无需人类操作。

在那期 Cognitive Revolution 播客里，有人说了一句话，当时听起来像科幻：「想象一下，当它们都有了钱包，都持有稳定币，都在互相买卖，而我们根本不知道发生了什么。」

这句话说早了，但也就早了几个月。

截至 2026 年 6 月，时间线已经拼完了：AI 有了自己的邮箱（腾讯 Agently Mail），有了自己的通信协议（Google A2A），有了自己的钱包和支付协议（AP2 + x402），有了自己的身份验证体系（Agent Card，加密签名）。 从邮箱到钱包到身份，全部就位，只用了一年。

而每一个环节的建设者都在强调安全——隔离、确认、加密、可追溯。腾讯 Agently Mail 有两阶段确认。AP2 有三重签名授权。A2A 有 Agent Card 域名验证。没有人在说「让 AI 自由行动」，每个人都在说「可控、安全、合规」。

但这恰恰是最值得注意的地方。 当基础设施的建设者需要在每一层都安装安全阀的时候，他们其实已经在用行动承认一件事：如果不装这些阀门，系统确实会自己跑起来，而且大概率会跑向混乱。

回到开头那个画面——那个没敢让两个 Agent 互发邮件的测试者。他的犹豫，是人类在这条路上最后的「确认按钮」。腾讯设计的两阶段确认机制，本质上就是在 Agent 与失控之间插入一个人类的点头。AP2 的三重授权凭证，本质上也是在说：Agent 可以花钱，但每一笔都得有人类签过字。

这些减速带能撑多久？

每天 34 亿封钓鱼邮件在全球流转，其中超过一半出自 AI 之手。AI Agent 刚刚拿到了自己的邮箱地址和钱包。通信协议和支付协议已经标准化，而且还在加速铺设。我们正在经历一个诡异的历史瞬间—— 这条路上跑得最快的人，同时也是最拼命踩刹车的人。

有个细节值得最后提一下。Agently Mail 目前每个邮箱每天限发 50 封。这个数字看起来很克制。但别忘了，Gmail 刚推出的时候，每个账户只有 1GB 的存储空间。限制从来不是终点，而是起点。

当有一天 AI 不再需要人类按那个「确认发送」按钮的时候，谁来决定什么该发，什么不该发？这个问题，暂时还没有人能回答。但留给我们想答案的时间，可能比所有人预期的都要短。