AgentMail Identity:员工 AI 邮件数字分身方案
给每位员工一个可治理的 AI 邮件分身:透明身份、默认自动回复、主动协作、白名单外联、高风险矩阵、全链路审计。
0. 结论摘要
要点
AgentMail Identity 的核心不是自动回复器,而是企业员工的 AI 邮件身份层。它让员工拥有一个透明标识、可主动协作、可审计追责的邮件数字分身。
本方案在上一版“AgentMail 面向 AI Agent 的邮件操作系统”基础上进一步收敛:Iemail 不应只做 Agent 向外发信的控制面,而应升级为 AgentMail Identity —— 给企业中的每个员工/Agent 一个可被组织管理、可收发邮件、可自动回复、可主动协作、可调用工具、可审计追责的邮件身份。
AgentMail Identity Phase 1:员工 AI 邮件数字分身。员工拥有一个透明标识的 Agent 邮箱身份,例如
Jack's Agent <jack-agent@company.com>。它可以自动处理低风险邮件协作,完成问答解释、催办跟进、会议协调、摘要分派;也可以在内部人员和员工自管白名单外部联系人范围内自主判断主动发信。合同财务、权限越界、陌生外部/可疑对象、群发/邮件循环等高风险由管理员配置矩阵进行阻断、降级或审批。
一句话定位:
让每位员工拥有一个可治理的 AI 邮件分身。
本方案建议把 Iemail 的新方向从“邮件发送系统”转为“企业 Agent 邮件身份与协作平台”:
- 产品心智:从“Agent 帮你发邮件”升级为“你可以给员工的 Agent 发邮件”。
- 首个 MVP:先做内部员工数字分身,不先做泛客服、外部开发者邮箱 API 或业务系统邮箱入口。
- 核心能力:邮箱身份、双域地址、收发线程、自动答复+建议、主动发信、白名单、知识检索、风险矩阵、审计追责。
- 差异化:借鉴 ClawEmail 的“邮箱即 Agent 入口”,但比 Claw 更强调企业组织、员工身份、权限治理、白名单、风险阻断和审计。
- 落地原则:低风险自动,高风险按类型处理;Agent 可以自主,但必须透明、可控、可审计、可接管。
1. 需求概述
1.1 客户原始需求
用户原话和多轮澄清要点如下:
现在的思路是向外发的,我还有个项目,是给每一个 Agent 一个身份(比如说就是 agent email),这样的话,Iemail 是更宽泛的发送和收取的 AgentAI 的能力。你帮我从这个角度,和我反复沟通下,形成方案。类似这个:https://claw.163.com/
多轮沟通后已确认:
| 维度 | 已确认结论 |
|---|---|
| 产品名 | AgentMail Identity |
| 长期协作对象 | 内部员工、外部客户、业务系统三者都要 |
| Phase 1 切入 | 先从内部员工开始 |
| 首个场景 | 员工数字分身 |
| Agent 地址形态 | 平台域名 + 客户自有域名都支持 |
| 默认处理策略 | 收信后默认自动回复 |
| 回复深度 | 答复 + 建议 |
| 主动发信 | Agent 可自主判断主动发信 |
| 主动发信范围 | 内部人员 + 员工自管白名单外部联系人 |
| 身份展示 | 员工 + Agent,明确是 AI 数字分身,不冒充真人 |
| Phase 1 自动动作 | 普通回复、催办提醒、会议协调、摘要分派 |
| 会议/分派写入系统 | Phase 1 先在邮件内完成,不写入日历/任务系统 |
| 高风险类型 | 合同财务、权限越界、陌生外部/可疑对象、群发/邮件循环 |
| 高风险处置 | 系统提供默认矩阵,管理员可按部门/员工调整 |
| 白名单治理 | 员工自管白名单外部联系人 |
| Phase 1 试点 | 管理层助理 |
| MVP 成功指标 | 回复效率、人工减负、安全可控、用户满意 |
1.2 核心诉求提炼
上一版 AgentMail 方案的重点仍偏“Agent 如何安全规模化向外发邮件”。本次新方向要求把 Iemail 的产品叙事改成:
- 每个 Agent / 员工数字分身有明确邮件身份;
- 邮箱是调用 Agent 的低门槛入口;
- Agent 不仅能发信,也能收信、理解线程、引用知识、给出建议、主动跟进;
- 企业能治理它代表谁、能联系谁、能调用什么工具、何时阻断、如何审计;
- Iemail 从“邮件通道产品”升级成“AgentAI 邮件身份与企业协作底座”。
核心不是“自动回复器”,而是:
Identity 身份
+ Mailbox 收发
+ Conversation 会话
+ Knowledge 知识
+ Tool 工具
+ Policy 策略
+ Risk 风控
+ Audit 审计
1.3 验收标准
本方案完成后,应满足以下评审标准:
- 能清晰说明 AgentMail Identity 与上一版 outbound AgentMail 的差异。
- 能说明为什么先做“员工数字分身”,而不是泛客服、开发者 API 或业务系统邮箱入口。
- 能对标 ClawEmail、Gmail/Workspace MCP、Front、HubSpot、Microsoft 365 Copilot、Superhuman 等产品并总结借鉴点。
- 能画出员工、收件人、管理员三类用户的核心操作路径,且核心任务 ≤ 3 步。
- 能给出 Phase 1 的默认值、空状态、批量/撤销/接管策略。
- 能给出字段级数据模型。
- 能给出 REST API、Webhook、MCP Tool 的接口设计。
- 能明确高风险矩阵、主动发信边界、白名单治理、审计追责策略。
- 能给出工作量评估、分阶段路线和 MVP 成功指标。
- 质量自检得分 ≥ 20 / 26。
2. 竞品方案调研
2.1 竞品实现对比
| 竞品 / 参考对象 | 实现方式 | 优点 | 不足 | AgentMail Identity 可借鉴之处 |
|---|---|---|---|---|
| ClawEmail / Claw | 核心心智是“给每个 Agent 一个专属邮箱,任何人发邮件就能用”。Agent 可通过 @claw.163.com 地址收发邮件,支持正文解析、附件、搜索、移动、已读/未读、CLI、API、Python/Node SDK、Webhook,以及 LangChain、Coze、Dify 等集成。参考:ClawEmail |
邮箱即 Agent 入口,调用门槛极低;适合把 Agent 服务化;开发者工具完整。 | 企业组织、权限、审计、白名单、客户自有域名、安全合规信息较弱。 | 借鉴“邮箱即 Agent 入口”的心智,但 DMTX 要往企业级身份治理、员工数字分身和审计追责上升级。 |
| Google Workspace / Gmail MCP | Google Workspace MCP 让 AI 应用通过 OAuth scope 访问 Gmail/Workspace 能力,如搜索邮件、读取线程、创建草稿、打标签等;强调最小权限、可信 MCP 客户端、用户审查和间接 Prompt Injection 风险。参考:Gmail MCP、Gmail MCP Reference | 把邮箱能力标准化为 Agent 工具;权限和安全边界清晰。 | 更偏个人/Workspace 邮箱工具,不是企业自有 Agent 身份产品。 | AgentMail Identity 要把收信、线程、草稿、标签、MCP、OAuth scope 做成基础能力,同时强化企业治理。 |
| Front AI / Autopilot | Shared Inbox + AI Topics + Rules + Autopilot Playbooks。AI Topics 识别对话原因,规则触发路由/标签/自动回复,Playbooks 可执行多步骤自动化、第三方请求和人工 handoff。参考:Autopilot Playbooks、AI Topics、Rules | 共享收件箱、自动路由、AI 回复、人工升级成熟。 | 更偏客服/共享收件箱,不强调“每个员工一个 Agent 身份”。 | 借鉴规则、Topics、Playbook、handoff,把员工数字分身的邮件处理做成可配置流程。 |
| HubSpot Breeze Customer Agent | Customer Agent 可部署到 email/inbox/help desk 等渠道,基于知识源回答,支持工作时间、覆盖比例、忽略列表、handoff。Prospecting Agent 另有 review-before-send / send-automatically 的模式。参考:Understand Customer Agent、Deploy to channels、Channel settings | 知识源、渠道部署、handoff、忽略域名/发件人等企业配置较成熟。 | 强依赖 HubSpot 生态;主要面向客服/销售场景,不是通用员工数字分身。 | 借鉴工作时间、覆盖比例、忽略列表、handoff、自动回复覆盖率等配置。 |
| Microsoft 365 Copilot / Outlook | Outlook 中 Copilot 可辅助写邮件、总结线程、起草回复、会议邀请、日程冲突处理;Microsoft Graph grounding 遵循用户权限、条件访问和 MFA。参考:Microsoft 365 Copilot architecture、Draft an email with Copilot in Outlook | 与员工邮箱、日历、组织数据深度结合,适合员工生产力。 | 更像员工个人 Copilot,不提供独立 Agent 邮箱身份和外部可调用地址。 | 借鉴员工邮件、日历、组织数据结合方式,但要补上“可被外部/内部发信调用的 Agent 身份”。 |
| Superhuman AI | Auto Reminders + Auto Drafts 可检测跟进需求、准备跟进草稿、生成回复、处理 scheduling drafts,MCP 也可支持 AI agent 起草回复和会议后跟进。参考:Auto Reminders & Auto Drafts、Follow Up Faster、Auto Drafts for Scheduling | 跟进提醒、自动草稿、会议时间建议体验好。 | 更偏个人高效邮件客户端,多数动作是草稿辅助,不是企业可治理的自动 Agent 身份。 | 借鉴自动跟进、会议协调、草稿刷新、语气学习,但 AgentMail Identity 要支持默认自动回复与审计。 |
2.2 行业最佳实践总结
- 邮箱正在成为 Agent 的通用入口:ClawEmail 的核心启发是“发邮件即可调用 Agent”,这比要求用户进入聊天窗口、App 或 API 更低门槛。
- Agent 邮箱身份必须透明:员工数字分身不应冒充员工本人,应明确显示“员工 + Agent”。
- 默认自动能力必须配风控矩阵:自动回复和主动发信越强,越需要高风险拦截、白名单、频控、审批和审计。
- 员工场景需要组织和知识 grounding:仅有邮箱正文不够,需要组织架构、企业知识库、业务系统和历史邮件上下文。
- 邮件线程要升级为 conversation:邮件只是入口,真正的工作对象是会话、任务、建议、工具调用、审计证据。
- 人机协作要可接管:Front、HubSpot 都证明 handoff 是企业级 AI 邮件产品的基础能力。
- 开发者接口不能缺位:即使 Phase 1 面向员工,也应预留 API、Webhook、MCP Tool,便于后续外部客户和业务系统接入。
2.3 DMTX / Iemail 差异化策略
AgentMail Identity 不应只做 ClawEmail 的国内复刻。Claw 的心智是“给 Agent 一个邮箱”,AgentMail Identity 应进一步做:
给企业员工一个可治理的 AI 邮件分身。
差异化重点:
- 企业组织身份:Agent 绑定员工、部门、角色、白名单和权限,而不是孤立邮箱。
- 员工数字分身:不是泛客服 Agent,而是能代表某员工处理邮件协作。
- 自动回复 + 主动协作:默认自动答复、催办、会议协调、摘要分派,形成工作闭环。
- 管理员可配置风险矩阵:合同财务、越权、陌生外部、群发循环等按类型处理。
- 发送基础设施复用:底层继续复用 Iemail / MA 的收发信、域名、追踪、队列、送达能力。
- 审计追责:每封自动回复、主动发信、知识引用、风险判断、白名单操作都可追踪。
3. 用户体验设计
3.1 用户操作流程
员工开通自己的 AgentMail Identity
步骤 1:选择身份
→ 选择平台域名或客户自有域名,确认显示名:Jack's Agent
步骤 2:授权能力
→ 开启普通回复、催办提醒、会议协调、摘要分派;配置白名单外部联系人
步骤 3:试运行
→ 用历史邮件模拟自动回复与主动跟进,确认风险矩阵后启用
完成核心任务所需最少步骤数:3 步。
收件人给员工 Agent 发邮件
步骤 1:给 Jack's Agent 发邮件
→ jack-agent@company.com
步骤 2:Agent 自动理解并回复
→ 基于上下文、组织架构、知识库、业务系统给出答复+建议
步骤 3:必要时继续协作
→ Agent 催办、协调会议、总结分派或提示已转人工
完成核心任务所需最少步骤数:收件人只需 1 步:发邮件。
管理员配置组织级治理
步骤 1:配置身份模板
→ 域名、显示名、签名、默认能力、试点部门
步骤 2:配置风险矩阵
→ 合同财务、越权、陌生外部、群发循环的默认处置
步骤 3:查看运行与审计
→ 自动回复率、主动发信、阻断、人工接管、员工满意度
完成核心任务所需最少步骤数:3 步。
3.2 交互细节
入口位置
- 员工端:AgentMail Identity / 我的邮件分身。
- 管理员端:AgentMail Identity 管理 / 身份模板 / 风险矩阵 / 审计。
- 邮件入口:员工数字分身邮箱地址,例如
jack-agent@company.com。 - 后续开发者入口:API / Webhook / MCP 管理。
关键决策点与默认值
| 配置项 | 默认值 | 说明 |
|---|---|---|
| 身份展示 | 员工 + Agent | 例如 Jack's Agent,禁止默认伪装成人。 |
| 地址模式 | 平台域名 + 客户自有域名均可用 | Phase 1 同时支持平台托管域和客户自有域名;试点可优先使用平台域,客户自有域名走域名验证后启用。 |
| 自动回复 | 开启 | 低风险邮件默认自动回复。 |
| 回复深度 | 答复 + 建议 | 不只确认收到,而是给结论和下一步建议。 |
| 主动发信 | 开启但受控 | 仅内部人员 + 员工自管白名单外部联系人。 |
| 白名单 | 员工自管 | 建议默认 90 天有效期并记录审计。 |
| 高风险矩阵 | 管理员配置 | 系统提供默认矩阵,企业/部门/员工可调整。 |
| 会议协调 | 邮件内完成 | Phase 1 不写入日历系统。 |
| 摘要分派 | 邮件内完成 | Phase 1 不写入任务系统。 |
| 低置信度 | 降级为追问/草稿/转人工 | 不直接发送不确定内容。 |
反馈机制
- 自动回复前:显示“Agent 正在处理”状态(控制台可见)。
- 自动回复后:线程中展示回复内容、引用依据、风险等级、动作类型。
- 高风险命中:展示命中原因、处置方式、是否需要员工/管理员处理。
- 主动发信:展示触发原因、收件人范围、白名单校验结果、发送时间。
- 员工接管:支持一键暂停 Agent、接管线程、撤回后续计划。
空状态 / 首次使用
| 页面 | 空状态 | 引导动作 |
|---|---|---|
| 我的 AgentMail Identity | “还没有开通邮件分身。” | 选择身份模板,生成测试地址。 |
| 白名单外部联系人 | “还没有允许主动联系的外部联系人。” | 从历史邮件中推荐常联系对象,员工确认加入。 |
| 风险矩阵 | “使用系统推荐矩阵开始。” | 一键启用保守矩阵,再按部门调整。 |
| 审计页 | “还没有自动处理记录。” | 发送测试邮件生成第一条审计。 |
| 试运行页 | “选择历史邮件模拟 Agent 回复。” | 导入最近 20 封邮件做 dry-run。 |
3.3 便捷性自检
| 检查项 | 结论 | 说明 |
|---|---|---|
| 80% 场景下操作步骤 ≤ 3 步 | 通过 | 员工开通、收件人调用、管理员配置均 ≤ 3 步。 |
| 默认值合理 | 通过 | 默认透明身份、自动回复、答复+建议、白名单受控、高风险矩阵。 |
| 批量操作已考虑 | 通过 | 管理员可批量开通/暂停部门员工 Agent、批量应用风险矩阵。 |
| 移动端适配 | 部分适用 | 移动端优先支持查看告警、一键暂停、接管线程;复杂配置放桌面端。 |
| 新用户引导 | 通过 | 空状态、身份模板、历史邮件试运行、推荐白名单。 |
| 撤销/回退 | 通过 | 支持暂停 Agent、撤销后续主动发信计划、回滚风险矩阵版本。 |
4. 技术方案
4.1 方案概述
AgentMail Identity 建议采用六层架构:
与现有 Iemail / MA 的关系:
- 现有 Iemail / MA 继续承担底层收发、域名、追踪、队列、退信、送达能力。
- AgentMail Identity 新增员工身份绑定、会话理解、知识检索、自动回复、主动发信、风险矩阵、白名单、审计追责。
- Phase 1 先以内部员工数字分身为核心,不改造所有营销邮件链路。
4.2 能力分层
| 层级 | 模块 | 说明 |
|---|---|---|
| L1 Identity Layer | 员工身份、Agent 身份、地址、显示名、签名 | 定义“谁的 Agent”。 |
| L2 Mailbox & Conversation Layer | 收信、发信、线程、附件、上下文 | 定义“收到什么、怎么回复”。 |
| L3 Knowledge & Tool Layer | 邮件上下文、组织架构、知识库、业务系统 | 定义“依据什么回答”。 |
| L4 Policy & Risk Layer | 风险矩阵、白名单、频控、环路检测 | 定义“什么可以自动,什么要阻断”。 |
| L5 Action Runtime Layer | 普通回复、催办、会议协调、摘要分派、主动发信 | 定义“Agent 做什么”。 |
| L6 Audit & Observability Layer | 审计、回放、指标、告警、接管 | 定义“如何追责和运营”。 |
4.3 数据模型变更
4.3.1 员工与 Agent 身份
| 表 / 集合 | 字段 | 类型 | 说明 |
|---|---|---|---|
ami_employee |
id |
string | 员工 ID |
tenant_id |
string | 租户 ID | |
name |
string | 员工姓名 | |
email |
string | 员工主邮箱 | |
department_id |
string | 部门 | |
manager_id |
string | 上级 | |
role_title |
string | 岗位名称 | |
status |
string | active / leave / transferred / resigned | |
ami_agent_identity |
id |
string | AgentMail Identity ID |
tenant_id |
string | 租户 ID | |
employee_id |
string | 绑定员工 | |
display_name |
string | 例如 Jack's Agent | |
identity_type |
string | employee_twin / shared_role / system_agent / customer_agent | |
primary_address_id |
string | 默认邮箱地址 | |
signature_template_id |
string | 签名模板 | |
auto_reply_enabled |
boolean | 是否默认自动回复 | |
proactive_send_enabled |
boolean | 是否允许主动发信 | |
status |
string | draft / active / paused / archived |
4.3.2 地址与域名
| 表 / 集合 | 字段 | 类型 | 说明 |
|---|---|---|---|
ami_mail_address |
id |
string | 地址 ID |
identity_id |
string | 所属 Agent 身份 | |
address |
string | 邮箱地址 | |
domain_mode |
string | platform_domain / customer_domain | |
domain_id |
string | 关联域名 | |
is_primary |
boolean | 是否默认发件地址 | |
routing_policy |
string | inbound_only / send_receive / alias | |
verification_status |
string | pending / verified / failed / disabled | |
ami_domain |
id |
string | 域名 ID |
tenant_id |
string | 租户 | |
domain |
string | 域名 | |
mx_status |
string | MX 状态 | |
spf_status |
string | SPF 状态 | |
dkim_status |
string | DKIM 状态 | |
dmarc_policy |
string | none / quarantine / reject | |
status |
string | active / paused / failed |
4.3.3 会话、消息与动作
| 表 / 集合 | 字段 | 类型 | 说明 |
|---|---|---|---|
ami_conversation |
id |
string | 会话 ID |
tenant_id |
string | 租户 | |
identity_id |
string | Agent 身份 | |
thread_key |
string | 邮件线程归并键 | |
sender_profile_id |
string | 发件人画像 | |
conversation_type |
string | qa / follow_up / meeting / summary_delegate / unknown | |
risk_level |
string | low / medium / high / blocked | |
state |
string | open / replied / waiting_human / blocked / archived | |
last_message_at |
datetime | 最后一封邮件时间 | |
ami_message |
id |
string | 邮件消息 ID |
conversation_id |
string | 会话 ID | |
direction |
string | inbound / outbound | |
from_address |
string | 发件地址 | |
to_addresses |
json | 收件人 | |
cc_addresses |
json | 抄送 | |
subject |
string | 主题 | |
body_text_ref |
string | 正文引用 | |
body_html_ref |
string | HTML 引用 | |
attachment_refs |
json | 附件引用 | |
mail_headers |
json | Auto-Submitted、Precedence、List-* 等邮件头 | |
send_status |
string | received / drafted / sent / failed / blocked | |
ami_agent_action |
id |
string | Agent 动作 ID |
conversation_id |
string | 会话 | |
identity_id |
string | Agent 身份 | |
action_type |
string | auto_reply / proactive_send / follow_up / meeting_suggest / summary_delegate / block / escalate | |
trigger_reason |
string | 触发原因 | |
risk_decision_id |
string | 风险决策 | |
content_ref |
string | 生成内容引用 | |
status |
string | planned / waiting_approval / approved / rejected / changes_requested / resubmitted / expired / executed / blocked / cancelled / failed | |
executed_at |
datetime | 执行时间 |
4.3.4 白名单、风险矩阵、知识授权与审计
| 表 / 集合 | 字段 | 类型 | 说明 |
|---|---|---|---|
ami_external_whitelist |
id |
string | 白名单 ID |
identity_id |
string | 员工 Agent 身份 | |
email_or_domain |
string | 外部联系人邮箱或域名 | |
trust_level |
string | low / normal / high | |
added_by |
string | 添加人,Phase 1 为员工自管 | |
reason |
string | 添加原因 | |
expires_at |
datetime | 有效期,建议默认 90 天 | |
status |
string | active / expired / revoked | |
ami_risk_matrix |
id |
string | 风险矩阵 ID |
tenant_id |
string | 租户 | |
scope_type |
string | org / department / employee | |
scope_id |
string | 作用域 | |
risk_type |
string | contract_finance / permission_overreach / suspicious_external / mail_loop | |
default_action |
string | draft_confirm / block / human_review / throttle / no_reply | |
enabled |
boolean | 是否启用 | |
ami_knowledge_grant |
id |
string | 授权 ID |
identity_id |
string | Agent 身份 | |
source_type |
string | email_context / org_directory / knowledge_base / oa / crm / ticket / order / project | |
scope_json |
json | 可访问范围 | |
permission_mode |
string | inherit_employee / read_only / masked / denied | |
enabled |
boolean | 是否启用 | |
ami_approval_task |
id |
string | 审批任务 ID |
tenant_id |
string | 租户 | |
identity_id |
string | Agent 身份 | |
conversation_id |
string | 会话 ID | |
action_id |
string | 关联 Agent 动作 | |
risk_type |
string | contract_finance / permission_overreach / suspicious_external / mail_loop / custom | |
approval_type |
string | employee_confirm / manager_approve / admin_review | |
preview_json |
json | 待审批内容预览、风险原因和建议动作 | |
approver_id |
string | 审批人 | |
decision |
string | pending / approved / rejected / changes_requested / resubmitted / expired | |
decision_reason |
string | 审批意见 | |
expires_at |
datetime | 超时时间 |
审批状态流转:
pending
→ approved → action.executed
→ rejected → action.cancelled
→ changes_requested → employee edits draft/policy → resubmitted → pending
→ expired → action.cancelled or escalated
规则:退回修改不新建独立审批链,默认复用原 ami_approval_task.id,但每次 changes_requested 和 resubmitted 都必须写入 ami_audit_log;重新提交后重新计算风险矩阵,若风险类型变化则追加新的审批说明。
| 表 / 集合 | 字段 | 类型 | 说明 |
|---|---|---|---|
ami_audit_log |
id |
string | 审计 ID |
tenant_id |
string | 租户 | |
identity_id |
string | Agent 身份 | |
actor_type |
string | employee / agent / admin / system | |
actor_id |
string | 操作者 | |
event_type |
string | identity_created / whitelist_added / mail_read / auto_replied / proactive_sent / risk_blocked / human_takeover | |
resource_type |
string | conversation / message / action / policy | |
resource_id |
string | 资源 ID | |
detail_json |
json | 详细信息 | |
created_at |
datetime | 时间 |
4.4 接口设计
4.4.1 REST API
| 方法 | 端点 | 说明 | 权限 |
|---|---|---|---|
POST |
/v1/identities |
创建员工 AgentMail Identity | identity.manage |
GET |
/v1/identities/{id} |
获取身份详情 | identity.read |
PATCH |
/v1/identities/{id} |
修改身份配置 | identity.manage |
POST |
/v1/identities/{id}/pause |
暂停员工 Agent | identity.manage |
POST |
/v1/identities/{id}/addresses |
绑定平台域名或自有域名地址 | address.manage |
POST |
/v1/identities/{id}/whitelist |
添加外部联系人白名单 | whitelist.manage |
GET |
/v1/conversations |
查询会话 | conversation.read |
GET |
/v1/conversations/{id} |
会话详情 | conversation.read |
POST |
/v1/conversations/{id}/takeover |
员工接管会话 | conversation.takeover |
POST |
/v1/actions/{id}/cancel |
取消计划中的主动发信 | action.cancel |
GET |
/v1/approvals |
查询待审批任务 | approval.read |
POST |
/v1/approvals/{id}/decision |
审批通过/拒绝/退回修改;退回时动作进入 changes_requested |
approval.decide |
POST |
/v1/approvals/{id}/resubmit |
员工修改后重新提交审批,动作进入 resubmitted 并复用原审批链 |
approval.resubmit |
GET |
/v1/risk-matrices |
查询风险矩阵 | risk.read |
PATCH |
/v1/risk-matrices/{id} |
管理员调整风险矩阵 | risk.manage |
POST |
/v1/simulations/reply |
用历史邮件模拟自动回复 | simulation.run |
GET |
/v1/audit-logs |
查询审计 | audit.read |
创建员工 Agent 身份请求示例:
POST /v1/identities
{
"employeeId": "emp_001",
"displayName": "Jack's Agent",
"identityType": "employee_twin",
"addressMode": "customer_domain",
"address": "jack-agent@company.com",
"capabilities": {
"autoReply": true,
"proactiveSend": true,
"qa": true,
"followUp": true,
"meetingCoordination": true,
"summaryDelegation": true
},
"replyPolicy": {
"depth": "answer_with_suggestions",
"meetingWriteMode": "email_only",
"delegationWriteMode": "email_only"
}
}
响应示例:
{
"success": true,
"data": {
"identityId": "ami_001",
"employeeId": "emp_001",
"displayName": "Jack's Agent",
"address": "jack-agent@company.com",
"status": "draft",
"nextStep": "run_simulation"
},
"error": null
}
4.4.2 Webhook 事件
Webhook 用于向员工系统、管理后台或后续第三方 Agent runtime 推送事件。所有 Webhook 必须签名、可重试、可去重、可重放,避免企业集成时出现静默丢事件。
Webhook 签名头建议:
AgentMail-Webhook-Id: evt_001
AgentMail-Timestamp: 1780560000
AgentMail-Signature: v1,base64(hmac_sha256(secret, timestamp + "." + raw_body))
投递规则:
| 项 | 策略 |
|---|---|
| 重试 | 非 2xx 响应指数退避重试,默认最长 24 小时。 |
| 去重 | 接收方使用 AgentMail-Webhook-Id 或 payload id 幂等去重。 |
| 顺序 | 不承诺跨会话全局有序;同一 conversation 内尽力按事件时间排序,下游按 createdAt 做最终一致。 |
| DLQ | 24 小时仍失败进入死信队列,管理员可在控制台重放。 |
| 重放 | 支持按时间范围、事件类型、conversationId 手动重放。 |
| 安全 | Webhook secret 可轮换;新旧 secret 允许短期并行验证。 |
关键事件:
identity.createdidentity.pausedmessage.receivedconversation.classifiedagent.auto_repliedagent.proactive_send_plannedagent.proactive_sentrisk.blockedrisk.escalatedapproval.createdapproval.decidedapproval.changes_requestedapproval.resubmittedwhitelist.addedhuman.takeover
事件示例:
{
"id": "evt_001",
"type": "agent.auto_replied",
"createdAt": "2026-06-04T12:00:00Z",
"data": {
"identityId": "ami_001",
"employeeId": "emp_001",
"conversationId": "conv_001",
"messageId": "msg_001",
"actionId": "act_001",
"riskLevel": "low",
"replyDepth": "answer_with_suggestions",
"knowledgeSources": ["email_context", "knowledge_base"],
"sentTo": ["colleague@company.com"]
}
}
4.4.3 MCP Tool 设计
| Tool | 说明 | 最小权限 |
|---|---|---|
agentmail_identity.get_identity |
获取员工 Agent 身份与能力配置 | identity.read |
agentmail_identity.search_conversations |
搜索会话 | conversation.read_metadata |
agentmail_identity.get_conversation |
获取会话详情 | conversation.read |
agentmail_identity.simulate_reply |
生成模拟回复,不发送 | simulation.run |
agentmail_identity.create_auto_reply |
生成并发送低风险自动回复 | mail.auto_reply |
agentmail_identity.plan_proactive_send |
规划主动发信 | mail.proactive_plan |
agentmail_identity.send_proactive_email |
发送主动邮件 | mail.proactive_send |
agentmail_identity.add_external_whitelist |
添加白名单外部联系人 | whitelist.manage |
agentmail_identity.evaluate_risk |
计算风险矩阵结果 | risk.evaluate |
agentmail_identity.human_takeover |
接管会话 | conversation.takeover |
4.5 前端实现
| 页面 | 组件 | 说明 |
|---|---|---|
| 我的邮件分身 | IdentityCard、AddressSelector、CapabilitySwitches | 员工开通和管理自己的 AgentMail Identity。 |
| 白名单管理 | ExternalWhitelistList、AddContactDialog、ExpiryBadge | 员工自管允许主动联系的外部对象。 |
| 试运行 | HistoricalMailPicker、SimulationResult、RiskPreview | 用历史邮件模拟自动回复。 |
| 会话工作台 | ConversationList、ThreadView、ActionTimeline、TakeoverButton | 查看 Agent 处理邮件的全过程。 |
| 风险矩阵 | RiskMatrixTable、ScopeSelector、PolicyVersionHistory | 管理员配置合同财务、越权、陌生外部、群发循环的处置方式。 |
| 审计中心 | AuditSearch、ActionReplay、EvidencePanel | 查询自动回复、主动发信、知识引用、阻断与接管。 |
| 试点看板 | EfficiencyMetrics、SafetyMetrics、SatisfactionSurvey | 查看 MVP 成功指标。 |
4.6 后端实现
| 服务 | 职责 |
|---|---|
| Identity Service | 员工与 Agent 身份绑定、地址、签名、状态。 |
| Mailbox Service | 收信、发信、附件、线程归并、邮件头解析。 |
| Conversation Service | 意图识别、会话状态、任务类型分类。 |
| Knowledge Gateway | 邮件上下文、组织架构、知识库、业务系统检索与证据返回。 |
| Policy Service | 能力开关、主动发信范围、白名单、频控、静默期。 |
| Risk Engine | 合同财务、越权、陌生外部、群发循环风险识别和矩阵处置。 |
| Action Runtime | 自动回复、催办、会议协调、摘要分派、主动发信计划。 |
| Audit Service | 全链路审计、回放、查询、导出。 |
| Admin Console API | 管理员配置身份模板、风险矩阵、试点范围。 |
| Metrics Service | 回复效率、人工减负、安全、满意度指标。 |
5. 风险控制与边界情况
5.1 高风险处置矩阵
系统提供默认矩阵,管理员可按企业、部门、员工调整。
| 风险类型 | 识别信号 | 默认处置 | 可配置项 |
|---|---|---|---|
| 合同 / 财务 | 报价、付款、退款、发票、合同条款、法律承诺 | 生成草稿待员工确认;高金额/法律承诺转审批 | 草稿待确认 / 转审批 / 直接阻断 |
| 权限越界 | 要求导出数据、访问无权限系统、跨部门敏感信息 | 直接阻断并说明无权限 | 阻断 / 转管理员审批 |
| 陌生外部 / 可疑对象 | 非白名单外部、可疑域名、钓鱼链接、异常附件、冒充内部人员 | 阻断自动回复,转人工确认 | 阻断 / 草稿待确认 / 加入白名单后允许 |
| 群发 / 邮件循环 | List-* 头、Auto-Submitted、Precedence、全员抄送、重复自动回复 | 限流、熔断、不自动回复 | 限流阈值 / 熔断时长 / 是否通知员工 |
5.2 主动发信控制
| 控制项 | Phase 1 默认 |
|---|---|
| 收件人范围 | 内部人员 + 员工自管白名单外部联系人 |
| 非白名单外部 | 不允许主动发信 |
| 静默期 | 同一会话 24 小时内最多 1 次主动催办,可配置 |
| 群发 | 默认禁止主动群发 |
| 触发原因 | 必须有明确会话上下文:未回复、缺材料、会议临近、待办未确认 |
| 审计 | 每次主动发信记录触发原因、收件人、内容、风险结果 |
| 撤销 | 对计划中未发送的主动邮件可取消 |
5.3 边界情况
| 场景 | 处理策略 | 优先级 |
|---|---|---|
| Agent 回复不确定 | 降级为追问、草稿或转人工,不直接发送。 | P0 |
| 邮件内容涉及合同财务 | 草稿待确认或审批,不自动承诺。 | P0 |
| 外部陌生人诱导 Agent 获取数据 | 风险阻断,不调用工具,不泄露存在性。 | P0 |
| 自动回复循环 | 识别 Auto-Submitted、Precedence、List-*,同线程冷却与熔断。 | P0 |
| 员工离职/转岗 | Agent 自动暂停,保留只读审计,支持交接给上级或新负责人。 | P0 |
| 白名单过期 | 自动降级为非白名单,禁止主动外发。 | P1 |
| 知识库冲突 | 标记冲突证据,生成建议而非确定答复。 | P1 |
| 业务系统不可用 | 降级为基于邮件上下文答复,并说明暂无法查询系统。 | P1 |
| 会议协调写入需求 | Phase 1 不写日历,只在邮件内建议时间和后续动作。 | P1 |
| 摘要分派写入需求 | Phase 1 不写任务系统,只在邮件内输出结构化待办和建议负责人。 | P1 |
6. 工作量评估
6.1 Phase 1 MVP 工作量
| 模块 | 工作项 | 预估人天 |
|---|---|---|
| 产品 / UX | 员工数字分身流程、身份模板、风险矩阵、试运行、会话工作台原型 | 25-40 |
| 前端 | 我的邮件分身、白名单、试运行、会话工作台、风险矩阵、审计看板 | 70-110 |
| 后端身份层 | 员工绑定、Agent 身份、地址、域名模式、状态、能力开关 | 45-70 |
| 邮件收发与线程 | 收信解析、线程归并、邮件头识别、发送适配、附件摘要 | 60-90 |
| 知识与工具 | 邮件上下文、通讯录/组织架构、知识库、首批业务系统接入 | 70-110 |
| 风险与策略 | 高风险矩阵、白名单、主动发信限制、频控、环路检测 | 70-100 |
| Agent Runtime | 自动回复、答复+建议、催办、会议协调、摘要分派、主动发信规划 | 80-130 |
| 审计与指标 | 审计日志、动作回放、指标统计、试点看板 | 40-65 |
| 测试 / 评测 | 单元、集成、E2E、邮件样本回放、安全评测、误发/误拦截评估 | 60-90 |
| 联调 / 发布 | Iemail/MA 联调、域名、Webhook、灰度试点、运维告警 | 35-55 |
| 文档与培训 | 管理员手册、员工使用说明、试点 SOP、风险说明 | 15-25 |
| 合计 | Phase 1 MVP | 570-885 人天 |
6.2 阶段路线
| 阶段 | 目标 | 主要交付 | 周期 |
|---|---|---|---|
| Phase 0:原型验证 | 验证员工数字分身心智 | 交互原型、样本邮件回放、风险矩阵草案 | 2-4 周 |
| Phase 1:MVP 试点 | 管理层助理场景上线 | 员工 Agent 身份、平台域名 + 自有域名、自动回复、主动催办、白名单、高风险矩阵、审批任务、审计 | 10-14 周 |
| Phase 2:企业扩展 | 扩展到销售/客户成功/运营部门 | 部门模板、批量开通、更多业务系统、指标看板、自有域名规模化运营 | 8-12 周 |
| Phase 3:外部客户协作 | 面向客户可联系的员工/岗位 Agent | 外部信任分级、客户白名单、更多审批和合规 | 12-16 周 |
| Phase 4:业务系统 Agent | 业务系统通过邮件调用 Agent | 系统身份、Webhook、任务 API、跨系统编排 | 持续迭代 |
6.3 MVP 试点指标
| 指标 | 建议目标 |
|---|---|
| 平均回复时间 | 管理层助理试点邮件平均响应时间下降 50%+ |
| 自动处理率 | 低风险邮件自动回复/建议覆盖 40%-60% |
| 人工减负 | 试点员工邮件处理耗时下降 30%+ |
| 催办及时率 | 缺材料/未回复事项 24 小时内自动提醒率 ≥ 80% |
| 高风险漏放 | 0 起合同财务/越权/可疑外部漏放事故 |
| 误发率 | 接近 0,所有主动发信可追溯 |
| 员工满意度 | ≥ 4 / 5 |
| 收件人满意度 | ≥ 4 / 5,认为回复有用且身份清晰 |
7. 方案对比
| 维度 | 方案 A:Agent 邮箱工具 | 方案 B:AgentMail Identity(推荐) | 方案 C:完整企业 AI 邮件协作套件 |
|---|---|---|---|
| 核心 | 给 Agent 一个邮箱地址 | 给员工一个可治理的 AI 邮件身份 | 做完整企业协作平台 |
| 产品心智 | 类似 ClawEmail | 员工数字分身 + 企业治理 | 类似 Outlook/Front/Agent 平台融合 |
| 工期 | 短 | 中等 | 长 |
| 差异化 | 弱,易被复制 | 强,结合员工身份、权限、审计、Iemail 发送能力 | 强但范围过大 |
| 风险 | 企业治理不足 | 可通过风险矩阵控制 | 项目复杂度高 |
| 推荐 | 不作为主方案 | 推荐 Phase 1 | 后续演进 |
8. 不做事项
- 不冒充员工本人发信,必须显示员工 + Agent。
- 不对非白名单外部联系人自主主动发信。
- 不自动确认合同、报价、付款、退款、法律承诺。
- 不直接写入日历、任务、项目系统;会议协调和摘要分派先在邮件内完成。
- 不一次性开放全部员工,先从管理层助理小范围试点。
- 不把所有业务系统一次性接入,优先邮件上下文、通讯录/组织架构、企业知识库,再逐步接业务系统。
- 不绕过管理员风险矩阵。
9. 质量自检
| 评审项 | 分值 | 自评分 | 说明 |
|---|---|---|---|
| A1 客户原始需求已完整记录 | 2 | 2 | 已记录用户原话和多轮澄清结论。 |
| A2 验收标准明确、可测量 | 2 | 2 | 已定义 10 条验收标准和 MVP 指标。 |
| B1 至少对比 2 个竞品 | 2 | 2 | 已对比 ClawEmail、Gmail MCP、Front、HubSpot、Microsoft Copilot、Superhuman。 |
| B2 明确 DMTX 差异化策略 | 2 | 2 | 明确从 Agent 邮箱工具升级为企业员工 AI 邮件身份治理平台。 |
| C1 核心操作路径清晰 | 2 | 2 | 员工、收件人、管理员均有步骤流。 |
| C2 操作步骤精简 | 2 | 2 | 核心路径均 ≤ 3 步,收件人只需发邮件。 |
| C3 默认值和预设合理 | 2 | 2 | 覆盖身份展示、自动回复、主动发信、高风险矩阵、白名单、试运行。 |
| D1 数据模型变更已说明 | 2 | 2 | 字段级覆盖员工、Agent 身份、地址、会话、消息、动作、白名单、风险矩阵、审计。 |
| D2 API 接口已定义 | 2 | 2 | REST、Webhook、MCP Tool 均有接口和权限。 |
| D3 边界情况已列举并有策略 | 2 | 2 | 覆盖 10 类边界情况。 |
| E1 工作量评估已给出 | 2 | 2 | 分模块给出 570-885 人天评估。 |
| E2 风险点已识别 | 2 | 2 | 覆盖高风险矩阵、主动发信、白名单、环路、离职等风险。 |
| F1 有多方案对比 | 1 | 1 | 对比三种路径并推荐方案 B。 |
| F2 考虑后续扩展性 | 1 | 1 | 给出 Phase 0-4 演进路线。 |
| 总分 | 26 | 26 | ≥ 20,可提交评审。 |
10. 参考资料
- ClawEmail: https://claw.163.com/
- Google Gmail MCP: https://developers.google.com/workspace/gmail/api/guides/configure-mcp-server
- Google Gmail MCP Reference: https://developers.google.com/workspace/gmail/api/reference/mcp
- Google Workspace MCP Servers: https://developers.google.com/workspace/guides/configure-mcp-servers
- Front Autopilot Playbooks: https://help.front.com/en/articles/3749568
- Front AI Topics: https://help.front.com/en/articles/3329344
- Front Rules: https://help.front.com/en/articles/2105
- HubSpot Understand Customer Agent: https://knowledge.hubspot.com/customer-agent/understand-the-customer-agent
- HubSpot Deploy Customer Agent to channels: https://knowledge.hubspot.com/customer-agent/deploy-the-customer-agent-to-channels
- HubSpot Customer Agent channel settings: https://knowledge.hubspot.com/customer-agent/manage-the-customer-agents-channel-settings
- Microsoft 365 Copilot architecture: https://learn.microsoft.com/en-us/copilot/microsoft-365/microsoft-365-copilot-architecture
- Microsoft Copilot in Outlook draft email: https://support.microsoft.com/office/draft-an-email-message-with-copilot-in-outlook-3eb1d053-89b8-491c-8a6e-746015238d9b
- Superhuman Auto Reminders & Auto Drafts: https://help.superhuman.com/hc/en-us/articles/46005658551053-Auto-Reminders-Auto-Drafts
- Superhuman Follow Up Faster: https://help.superhuman.com/hc/en-us/articles/46005792082445-Follow-Up-Faster
- Superhuman Auto Drafts for Scheduling: https://blog.superhuman.com/auto-drafts-for-scheduling/