从爆红到被穿透审查：Manus给AI Agent公司的法律课

今天和大家分享的是贝壳法务部的张朝律师的一篇好文。

引言

在 2025 年初的 AI浪潮中，Manus 曾被视为 AI Agent（智能体）领域的“iPhone 时刻”， 它不再只是回答问题，而是试图替用户拆解任务、调用工具、浏览网页、执行代码并交付结果。对于资本市场而言，这意味着 AI 产品从“生成内容”走向“执行行动”。它让市场和资本兴奋起来，因为AI不只能聊天，还能直接干活。。然而，短短一年时间，从“一码难求”、ARR （Annual Recurring Revenue，年度经常性收入）破亿，到跨境并购被叫停、闭源 Runtime 的稀缺叙事被开源社区削弱，Manus 的发展轨迹划出了一条令人深思的抛物线。Manus 的遭遇为所有 AI 创业者和投资人敲响了警钟：在 Agent 时代，技术创新绝不能脱离法律架构。产品可以在短时间内跑出市场爆点 ，收入可以迅速增长，估值可以被资本放大，但如果底层法律架构没有提前搭好，商业化速度越快，风险暴露也越快。

第一部分：Manus 发展历史关键事实回顾

从上述轨迹可以看出，Manus形成了“境内研发基因+海外设运营主体 + 新加坡设总部 + 拿美元资本”的离岸化结构，但未能切断中国法上的实质审查连接。

第二部分：三个矛盾，Manus 风险暴露的真正原因

Manus 的风险暴露，并非单一法律、技术或商业失误，而是三个事儿对不上：技术护城河与估值对不上故事，权限架构与法律责任对不上，离岸架构与实质监管对不上。

1. 技术护城河与估值的矛盾

Manus 的产品能力并不弱。相反，它的成功恰恰说明，即便不掌握底层大模型（大脑），只要把上下文工程（Context Engineering）、任务规划和浏览器自动化做到极致，也能交付震撼的 Agent 产品。但问题在于， Manus 的强大，不在于它发明了新的‘大脑’，而在于它发明了一套‘极速指令集’和‘虚拟操作台’。它像是一个住在云端服务器里的‘代练’，拿着用户的账号密码（Cookie/Token），根据它写好的剧本（Prompt/Context），在虚拟机里代理操作浏览器。

这使 Manus 的技术壁垒具有双重性：短期内，它能通过工程经验和产品体验形成领先；但长期看，尤其是在知识产权视角下，Manus 拥有的不是‘发明专利’式的底层突破，而是‘Know-how’式的工艺改进。在 AI 领域，一旦底层模型能力提升，或者开源社区快速复刻类似架构，Manus 的领先优势就会被削弱。因此，OpenManus 等开源项目对 Manus 的真正冲击，不是“瞬间摧毁商业价值”，而是压缩了它原本依赖闭源黑盒所形成的估值想象力。开发者开始意识到，许多 Agent 能力可以被拆解为：强基础模型、Prompt 编排、浏览器自动化工具、沙盒环境和任务状态管理。闭源不再天然等于护城河。

2. 权限架构与法律责任的矛盾

普通聊天机器人主要生成文本，而 AI Agent 会执行动作。它可以点击、提交、购买、导出、删除、转发、调用 API，甚至进入企业内部系统触发真实业务后果。Manus 的 Cloud Browser （云端浏览器）和 Browser Operator （浏览器操作器）正是这类高权限执行能力的代表。Manus 文档显示，Cloud Browser 支持用户登录账号，并使用已认证会话代用户执行操作；Browser Operator 则可以在用户本地浏览器中运行，使用现有登录状态、会话和本地 IP 地址执行任务。这提升了任务完成率，却也显著放大了法律风险。因为 Agent 此时处理的不只是用户输入内容，而是用户的数字身份、账号会话、Cookie、Token、OAuth 授权和第三方平台访问边界。这里的风险至少包括三层：

第一，数据安全风险。当用户的登录态（Session）、敏感文件和任务记录被托管在云端沙箱时，Manus就必须回答如何确保以上数据的最小必要、限期保存、删除机制、训练用途排除和企业审计的问题。

第二，平台授权风险。平台的服务协议通常约定“仅限人类用户本人使用”， 问题是Agent就是用户将身份凭证交给第三方的自动化工具，那么用户授权给 Agent 的代理权，能否对抗平台服务协议中对用户的限制性条款，还是说这种授权本身就是用户对平台的根本违约？Anthropic 禁用 OpenClaw 的理由就是 “非人类用户本人使用”，构成根本违约。如果授权的路走不通，平台为了维持“流量分发权”是否有动机开放“Agent 专用接口”。

第三，责任归属风险。当 Agent 拥有高权限执行力（代为点击、购买、签署）时，它在事实上履行了“代理人”（Agent，法律术语中的代理人）的职能。但，Manus 的风险在于其“代理权限”的模糊性。在民法典框架下，有效的代理需有明确的意图表示。然而，Agent 的执行链条往往存在“算法黑盒”，导致“表现代理”（与“实际授权”之间的断裂。当 Agent 执行错误操作时，比如Agent 在自动执行中删除了重要数据或触发了高额交易，谁来承担责任？如果没有完整审计日志、操作回放和权限边界记录，后续争议中的电子取证和责任认定会非常困难。

所以，高权限执行不只是一个产品功能，也是一个法律问题。Agent 公司真正要卖给企业的，不只是“能做事”，而是“知道自己能做什么、不能做什么，并且每一步都可解释、可追溯、可审计”。

3. 跨境架构和实质监管的矛盾

很多 AI 出海企业走“洗澡式出海”这条路径：境内研发、海外设主体、新加坡运营、美元融资、海外并购退出。即公司将注册地、运营地、核心人员或知识产权转移至境外，再又境外投资者收购境外主体，从而主张后续资本交易不属于中国外资安全审查管辖范围，这个路径在普通互联网产品时代或许具有商业便利性，但在 AI Agent 场景中，它会被显著放大为国家安全、技术出口、数据出境和控制权转移问题。Manus 案的监管信号正在于此，企业在评估自身技术是否触及相关监管制度时，不能仅从商业视角判断，还必须从国家安全视角判断。“血统”在中国，再复杂的海外架构、资本腾挪，在“穿透式审查”面前都难以切断中国法的实质性联系。

商务部 2026 年 1 月 8 日的表态并不只关注股权交易本身，而是同时提到对外投资、技术出口、数据出境、跨境并购等活动须符合中国法律法规并履行法定程序。国家发改委随后以外商投资安全审查机制作出禁止投资决定，要求撤销交易。这说明，监管看的不是注册地本身，而是技术源头、核心团队、研发资产、数据来源、控制权归属和交易后果。即使公司主体迁至新加坡，如果核心技术、创始团队、早期代码、训练经验、用户数据或知识产权链条与中国境内存在实质联系，离岸架构也未必能够隔离中国法上的审查。美国一侧同样存在监管压力。美国财政部 OISP 已将人工智能列为国家安全技术类别之一，并对美国主体投资特定“关注国家”相关技术企业设置禁止或申报要求。这意味着，AI Agent 出海企业不再面对单一法域，而是同时站在中国技术流转管制、美国投资安全审查、平台访问规则和全球数据合规的交叉点上。Day 0 的公司架构设计，已经直接决定 Day X 的融资、并购和退出可能性。

第三部分：AI 法律顾问视角下的出海企业启示录

Manus 的危机给AI 出海企业提供了三点启示：

一是跨境架构前置：离岸主体不是万能挡箭牌

思维转变：创业团队不能再幻想通过简单的“主体离岸化”来逃避属地监管。

合规前置：在项目早期（Day 0），就必须将算法备案、数据出境合规、技术进出口以及外商投资安全审查作为“网状门槛”通盘考虑。主体设在哪里，研发在哪里，数据在哪里，IP 归属在哪里，模型和工具链依赖谁，未来卖给谁，是否触发技术出口、数据出境、外资安全审查或美国 OISP，都不能等交易发生时再由律师补票。

二是权限治理前置：高权限执行必须先回答责任边界

• 通用执行代理（Agent）让用户操作简单了，但法律风险也放大了额。企业在设计技术组件时，必须做好合规映射。

• 对于高风险执行型 Agent，闭源不一定等于护城河，开源也不一定等于放弃商业化。更成熟的路径可能是：核心商业逻辑和企业服务闭源，工具链、审计模块、权限框架或本地执行组件适度开放，以换取开发者信任、企业可审计性和私有化部署能力。

三是公司法务的价值：把法律义务写进产品系统

律师应从项目已开始就参与进来参与开源协议选择、设置数据隔离方案，还要想要怎么面对平台的挑战，在特殊情况怎么退出。

总结：

Manus 的起伏是价值数亿美元的商业与法律课。它提醒所有 AI Agent 公司：真正的技术创新，不能盲目往前冲，技术架构、法律架构与商业架构得同步设计。在高权限 Agent 场景下，法律顾问不能只在融资、并购或争议发生时补位，而应在项目萌芽期就参与进来。

声明：本文来自网安寻路人，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。