2026 年 6 月 19 日,Cloudflare 发布了一项看似不起眼、实则指向深远的功能:Temporary Cloudflare Accounts for AI Agents。一个 --temporary 标志,让 AI Agent 无需人类注册、无需邮箱验证、无需信用卡,就能在 Cloudflare 上部署一个 Worker 并将其跑起来。
这听起来像是一个开发者体验(DX)的小改进。但如果你把它和过去半年里陆续发生的一系列事件放在一起看——Morgan Stanley 通过 MCP 协议向外部 AI Agent 开放万亿美元财富管理平台、Stripe 与 Cloudflare 联合设计让 Agent 自主购买域名和开通账户的协议、WorkOS 推出面向 Agent 的开放注册标准 auth.md——你会发现,互联网基础设施的「身份层」正在经历一场静默的范式迁移:从「为人设计」转向「为 Agent 设计」。
一面为人建造的墙
Cloudflare 在公告中开门见山地描述了问题所在:
"Everyone's writing code with AI agents today. But the moment an agent needs to deploy something — and needs to sign up and create an account — it slams face-first into a wall built for humans."
这句话精准地概括了当前 AI Agent 面临的核心困境。今天的编码 Agent 已经能够端到端地编写软件,但当它需要「交付」——也就是部署——时,它会撞上一面专门为人类建造的墙:基于浏览器的 OAuth 流程、需要点击的仪表盘、需要复制粘贴的 API Token、需要 60 秒内响应的多因素认证。对于坐在人类开发者旁边的交互式 Copilot,这只是一个烦恼;对于在后台独立运行的 Agent,这是一个硬性停止。
这正是 Cloudflare 试图解决的问题。临时账户机制的核心逻辑异常简洁:Agent 运行 wrangler deploy --temporary,Cloudflare 在后台自动创建一个临时账户、签发 API Token 并完成部署,同时生成一个认领链接(claim URL)供 Agent 交还给人类。整个流程不需要任何人类在环。
机制:部署、迭代、认领——60 分钟的窗口
临时账户的工作流程分为三个阶段:
部署阶段:Agent 在没有任何凭证的情况下运行 wrangler deploy --temporary。Cloudflare 在后台完成三件事:创建一个临时账户、向 Wrangler 签发一个 API Token、生成一个认领 URL。Worker 立即在 workers.dev 子域上上线。
迭代阶段:在 60 分钟的认领窗口内,Agent 可以反复修改代码并重新部署。临时账户支持 Workers、Workers KV、D1(1 个数据库,100 MB 上限)、Durable Objects、Queues(最多 10 个队列)等产品,足以让 Agent 完成一个完整的「写代码 → 部署 → 验证」闭环。
认领阶段:人类用户可以在 60 分钟内打开认领 URL,将临时账户转为永久账户。如果未认领,账户和部署自动销毁。
最值得注意的设计细节不是临时账户本身,而是 CLI 的自我描述机制。当 Agent 首次尝试部署但因为没有凭证而失败时,Wrangler 不会简单地报错退出,而是会打印一条提示信息,告诉调用者存在 --temporary 标志,并说明它会使用临时账户并输出认领 URL。这意味着 Agent 不需要事先知道这个标志的存在——CLI 工具本身会向任何读取其输出的实体(无论是人类还是语言模型)「自我文档化」。
Simon Willison 在发布后第一时间进行了测试。他用 GPT-5.5 xhigh 在 Codex Desktop 中构建了一个 HTTP 重定向解析工具,通过 npx wrangler deploy --temporary 命令成功部署,并验证了临时部署「如广告所言完全正常工作」。
不止是一个功能:三层 Agent 身份体系
孤立地看临时账户,它只是一个聪明的 DX 改进。但把它放在 Cloudflare 2026 年的整体布局中,你会发现它是一套三层 Agent 身份体系的第一个台阶:
| 机制 | 应用场景 | 人类审批 | 支付 | 持久性 | 发布时间 |
|---|---|---|---|---|---|
| Temporary Accounts | 无摩擦首次部署 | 仅认领时 | 无 | 60 分钟过期 | 2026.06.19 |
| Stripe Projects | Agent 代用户开通账户/购买域名 | 认证、条款、账单 | 有(默认 $100/月) | 永久,人类委托 | 2026.05.18 |
| auth.md(WorkOS) | 开放的 Agent 注册协议 | 依服务商策略 | 不在范围内 | 平台无关标准 | 2026.05.25 |
第一层(Temporary Accounts)解决的是「零摩擦启动」——Agent 不需要任何前置条件就能部署。第二层(Stripe Projects)解决的是「委托支付」——Agent 可以在人类授权的预算范围内自主购买域名、开通付费服务。第三层(auth.md)解决的是「标准化握手」——一个基于 Markdown 文件、组合现有 OAuth 标准的开放协议,让任何服务都能以 Agent 可理解的方式声明自己的注册流程。
三层叠加,正在构成 Agent 经济的「身份栈」:临时身份 → 委托身份 → 标准化身份发现。
协议层:MCP 和 A2A 的分工
Cloudflare 的临时账户解决的是 Agent 与基础设施之间的认证问题,但 Agent 经济的「身份层」远不止于此。在协议层面,2025–2026 年出现了两个关键的开放标准,各自负责 Agent 通信的不同层面:
MCP(Model Context Protocol),由 Anthropic 提出,解决的是 Agent 与工具/数据源之间的连接问题。它定义了一个标准化的方式,让 AI 模型能够安全地接入外部系统——数据库、API、文件系统等。MCP 在 2024 年底发布后迅速成为行业标准,被 Block、Apollo、Replit 等公司广泛采用。
A2A(Agent-to-Agent),由 Google 提出并于 2025 年 6 月捐献给 Linux 基金会,解决的是 Agent 与 Agent 之间的协作问题。A2A 引入了 Agent Card(Agent 能力声明)、任务生命周期管理等概念,让不同厂商构建的 Agent 能够相互发现和协作。目前已有 50 多家合作伙伴,包括 AWS、Microsoft、Salesforce 和 SAP。
两者的关系不是竞争而是互补:MCP 是 Agent 的「手」(操作工具),A2A 是 Agent 的「嘴」(与其他 Agent 对话)。而 Cloudflare 的临时账户和 Stripe Projects 则在更底层回答:这个「手」和「嘴」背后的实体是谁?它拥有什么权限?它的身份凭证从何而来?
华尔街的信号:Morgan Stanley 打开大门
如果说 Cloudflare 的临时账户代表了基础设施层的 Agent 化,那么 Morgan Stanley 的动作则代表了业务应用层的同一趋势。
2026 年 6 月初,CNBC 独家报道:Morgan Stanley 将向外部 AI Agent 开放其股票管理平台 ShareWorks 和 Equity Edge。这是华尔街大型银行首次公开允许外部 AI 工具直接接入其核心系统。Morgan Stanley at Work 的首席产品官 Mark Mitchell 说得直白:
"The way we see it, in a future state, our corporate clients will not be logging into ShareWorks or Equity Edge."
取而代之的是,企业客户将「使用桌面上的 Agentic AI 工具,以纯 Agent 的方式与我们的平台交互」。
Morgan Stanley 的 workplace 财富管理策略掌管着 1.2 万亿美元资产,服务近半数 S&P 500 公司和 8 家前十大独角兽。该行已经向少数客户开放了早期 Agent 接入权限,并计划在明年向全部 3,400 家管理客户开放。
关键的技术细节是:Morgan Stanley 选择通过 MCP(Model Context Protocol) 来实现这一开放。这并非偶然——MCP 提供了一种标准化的方式,让 AI Agent 能够连接到数据源,而不需要为每个平台编写定制接口。Mitchell 的判断是,在这个 AI Agent 成为主要交互界面的世界里,「能够生存下来的公司是那些拥有专有数据和业务逻辑的公司」。至于用户不再登录网站这件事,「一点也不让我们害怕」。
Morgan Stanley 的案例揭示了 Agent 身份层的一个关键维度:企业 API 正在从「为人设计的 GUI」转向「为 Agent 设计的 MCP 接口」。这不是一个技术升级,而是一次架构范式的转换。
安全隐忧:当身份可以无中生有
任何降低门槛的技术都会带来安全问题,临时账户也不例外。Cloudflare 在设计中内置了三层防护:
- 工作量证明(Proof-of-Work):在创建临时账户前自动执行,增加滥用成本但不影响正常使用;
- 速率限制:限制临时账户的创建频率;
- 凭证检测:
--temporary标志仅在无现有凭证时生效,防止绕过企业已有的身份体系。
但安全社区仍然指出了两个核心风险点。第一,认领 URL 等同于账户所有权——任何人只要打开这个 URL 就能接管账户,因此必须像对待密钥一样对待它。第二,60 分钟窗口内的匿名 Worker 理论上可被用于托管钓鱼页面或恶意软件——尽管时效性和速率限制大大压缩了攻击面,但并非为零。
更广泛地看,Digital Applied 的分析指出,Agent 部署的风险主要集中在支付层(Stripe Projects)而非临时账户层:Agent 可能买错域名、在重试循环中耗尽预算、或做出不可逆的消费决策。Cloudflare 的应对措施包括运行时预算执行、审计日志、幂等键和快速终止开关。
但一个更深层的问题正在浮现:当 Agent 可以自主创建身份、自主部署服务、自主消费资源时,传统的「身份 = 人类 + 凭证」模型将彻底失效。 行业正在探索的新范式包括:动态身份管理(按任务粒度签发和撤销凭证)、持续授权(基于上下文实时评估权限)、以及 Agent 身份的可追溯性(将每个操作归因到具体的 Agent 身份及其委托链)。
产业趋势:Agent 可访问的 API 层正在成为标配
Cloudflare 和 Morgan Stanley 并非孤例。2026 年上半年,多个信号表明「Agent 原生的基础设施层」正在加速成型:
- Stripe Projects(2026 年 4 月 30 日)定义了 Agent 如何购买云基础设施的商务协议——Agent 可以在人类授权的预算范围内自主创建账户、购买域名、升级套餐;
- auth.md(2026 年 5 月)由 Cloudflare 与 WorkOS 联合推出,将 Agent 注册流程标准化为一个 Markdown 文件,任何服务都可以通过它声明自己的 Agent 接入方式;
- NIST AI Agent Standards Initiative 正在推动 Agent 互操作和安全标准的制定;
- PwC 报告显示,79% 的企业正在积极采用 AI Agent,88% 计划增加 AI 预算。
TGVP 的一份行业报告将 Agent 基础设施划分为四层架构:模型编排层、工具/协议层(MCP/A2A)、记忆层、治理层。在这个框架中,Cloudflare 的临时账户和 Stripe Projects 横跨了工具层和治理层——既提供了 Agent 操作基础设施的「手」,也提供了管理这些操作的「护栏」。
Simon Willison 在评论中提出了一个有趣的观察:这个功能虽然打着「为 AI Agent」的旗号,但实际上对普通开发者也同样有用——任何人都可以无需注册就快速部署一个 Worker 来测试想法。这恰恰说明了一个更广泛的趋势:Agent 友好的设计往往也是人类友好的设计,因为减少摩擦、自我文档化、标准化接口这些原则,对两类用户都成立。
一个 --temporary 标志背后的范式迁移
回到 Cloudflare 的临时账户。它的表面是一个 CLI 标志,它的实质是一个设计哲学的信号:当软件的主要消费者从人类变成 Agent,基础设施的每个接口都需要重新设计。
OAuth 在 2007 年发布时,解决的是「如何让一个网站安全地代表用户访问另一个网站的数据」——它的核心假设是用户是一个坐在浏览器前的人类,能够点击「授权」按钮。这个假设在 Agent 时代开始瓦解:Agent 没有浏览器,无法点击按钮,也无法在 60 秒内响应 MFA 挑战。
Cloudflare 的 Wrangler 在错误输出中向 Agent 广告自己的 --temporary 标志——这个细节之所以重要,是因为它代表了一种新的接口设计范式:CLI 工具不再假设自己的用户是人类,而是假设用户可能是任何能够读取文本输出的实体。正如 Digital Applied 的分析所指出的:「随着越来越多的云工具被 Agent 而非人类消费,自我描述的接口不再是一种锦上添花,而成为一种竞争壁垒。」
当 Morgan Stanley 说「客户不再登录我们的网站」时,当 Cloudflare 说「Agent 不需要注册账户」时,当 Stripe 说「Agent 可以在预算内自主购买」时,它们共同指向了同一个未来:互联网的身份层正在从「为人设计」转向「为 Agent 设计」。这不是一个功能更新,而是一个架构范式的迁移。而那个 --temporary 标志,可能是这个迁移中最简洁的宣言。
