3个人3天上线,一个月全员覆盖:小红书这波 AI 助理落地,难点不在模型
Site Owner
Published on 2026-07-15
拆解小红书企业 AI 助理一个月全员覆盖背后的安全隔离、成本控制和长期记忆基础设施。

3个人3天上线,一个月全员覆盖:小红书这波 AI 助理落地,难点不在模型
2026 年 7 月 14 日,小红书技术团队公开了企业级 AI 个人助理的落地路径。
2 月 11 日,3 人小组用 3 天推出内测;3 月 9 日,开放 2000 个公测名额;3 月 17 日,完成全员覆盖。从决定做,到覆盖全员,大约用了一个月。
这组时间线最值得看的地方,不是“做得快”。能把 AI 助理做出来,已经不算稀奇。让它进入企业日常,团队得先解决三件脏活:安全隔离、成本控制、长期记忆。
模型决定 Agent 能做什么,基础设施决定公司敢不敢让它做。
先给 Agent 一间不会烧掉公司的房子

企业 AI 助理会接触代码仓库、内部文档、业务数据和员工信息。它还可能替用户生成并执行代码。把这类程序直接放进生产环境,等于给一个不熟悉的实习生发了全公司的门禁卡。
小红书的做法,是把运行环境先隔离出来。他们搭建了独立的 Seal AI Zone,使用专属 K8S 集群、独立存储和 LLM 服务,并接入 SSO、LDAP、VPN 等身份体系。Agent 生成的代码运行在 MicroVM 沙箱中,与生产系统隔开。
这套沙箱平台叫 NEX。公开材料披露的指标包括:冷启动 P50 低于 300ms,热启动 P99 低于 50ms,热池命中率超过 70%,创建吞吐峰值达到 500/秒。(来源:小红书技术 REDtech,企业级 AI 个人助理——从 0 到全员覆盖)
这些数字的意义很朴素:隔离要足够强,也要足够快。安全机制如果每次都让用户等几秒,员工会绕开它;安全机制如果只写在制度里,Agent 迟早会碰到不该碰的东西。
小红书还把数据路由放到了请求发出前。Security SDK 扫描 PII、代码密钥和文件内容。请求没有敏感数据,可以走外部模型;检测到敏感数据,就路由到自部署的私有模型。(来源同上)
Vercel 的 AI Gateway 也在做类似的基础设施下沉。它提供团队级 Zero Data Retention,可在不改业务代码的情况下,把请求限制到符合 ZDR 的供应商;同时提供请求级 ZDR、禁止 Prompt Training 和审计元数据。(来源:Vercel News,Zero Data Retention on AI Gateway)
企业需要的安全,不是供应商一句“请放心”。团队要能看见数据去了哪里,也要能在架构层限制它能去哪里。
全员使用后,账单会先于价值爆炸

单次调用看起来便宜,规模一上来,账单就会暴露上下文和模型选择的浪费。小红书公开的解法有两层:回收上下文,以及分层调用模型。
他们把长程对话历史比作运行时 Heap。对话越积越多,模型每次都带上全部历史,Token 就会跟着膨胀。简单截断又容易把关键关系一刀切掉。
Self-GC 的处理方式分三步:异步规划哪些内容可以折叠、遮罩或剪枝;本地预演,检查误删和 ID 幻觉风险;等到工具执行完成或用户输入等待等安全边界,再提交计划。小红书披露,生产环境实验组白天平均输入 Token 下降 10% 至 15%,高峰期最大降幅接近 20%。(来源:小红书技术 REDtech,上述文章)
这是一种很工程化的省钱方式。团队没有先追逐更便宜的模型,而是先处理每次请求里重复、过期、无关的上下文。
第二层是 SealRouter。它让约 75% 的请求走高性价比模型,22% 走高级模型,3% 走顶级模型;相对全量使用高级模型,成本降低 69%。(来源:小红书技术 REDtech,上述文章)
这个比例不能直接复制到其他公司。员工问食堂菜单、总结会议记录、修改复杂代码,所需的模型能力不同。把所有请求都交给最贵的模型,只能说明团队还没有把产品需求翻译成路由规则。
成本还需要被看见。Vercel AI Gateway 的 Custom Reporting API 支持按模型、供应商、用户 ID、标签和凭证类型拆分成本、Token 用量与请求量。Vercel 公开披露,一家服务超过 20 万用户的 AI 平台在私测中用统一系统替换第三方代理层后,节省了超过 8 万美元。(来源:Vercel News,)