1. 这不是新赛道,而是 runtime 层的“操作系统时刻”正在重演
你打开手机看到新闻标题《Anthropic Just Shipped the Layer That’s Already Going to Zero》,第一反应可能是:又一个大模型公司搞出了什么黑科技?但如果你真花十分钟读完原始那篇长文,会发现它根本不是在讲“Anthropic有多强”,而是在冷静地划一条线——这条线,把整个 AI 工程栈切成了上下两层: 上层是价值可沉淀、可定价、可采购的业务层;下层是正在被快速压平、压缩、最终变成水电煤式基础设施的运行时层。 我自己从 2022 年起就在做 LLM 应用落地,带过三支不同行业的 agent 团队,亲手写过七套从零开始的 agent 框架(包括基于 LangChain 的定制版、基于 CrewAI 的金融投研流水线、以及一套纯 Rust 实现的低延迟客服路由引擎),所以当看到 Anthropic 发布 Managed Agents 的当天,我做的第一件事不是试用控制台,而是翻出 AWS AgentCore 的 GA 文档、Vertex AI Agent Builder 的 SDK 版本日志,还有 Azure AI Foundry 的架构白皮书,把它们并排打开对比。结果很清晰:这不是谁先跑出多远的问题,而是所有主流云厂商和头部模型公司,都在同一时间点,不约而同地把“agent runtime”这个曾经由开发者自己拼凑、自己维护、自己 debug 的混沌层,正式推上了产品化、标准化、托管化的轨道。关键词“Towards AI - Medium”背后代表的,其实是整个技术社区对这一轮基础设施演进的集体共识——它不再是个别公司的战术动作,而是整个行业进入工程化深水区的标志性事件。这篇文章要解决的,不是“Managed Agents 怎么用”,而是帮你建立一个判断框架:当你面对一个 agent 基础设施产品时,如何一眼看穿它的定位是“短期可用工具”,还是“长期可依赖底座”;当你在团队里推动 agent 落地时,该把资源押在哪一层,才能避免三年后发现核心资产全在即将被免费替代的 runtime 上。这就像 2005 年你决定要不要买 VMware 许可证,关键不是 ESX 多稳定,而是你要建的是一个能活十年的 IT 系统,还是一个只跑三个月的 PoC。
2. 架构解剖:为什么“Session as Event Log”是唯一值得抄的模式
2.1 表面是托管服务,内核是存储范式的迁移
Anthropic 宣传材料里反复出现的“session-as-event-log”,听起来像一个高大上的术语,但拆开来看,它解决的是一个极其具体、极其痛苦的工程问题: LLM context window 不是数据库,它从来就不该承担状态存储的职责。 我们团队去年上线了一个跨系统数据核验 agent,流程是:先查 CRM 获取客户信息 → 再调用 ERP 核对合同金额 → 接着访问财务系统确认回款状态 → 最后生成合规报告。整个流程设计为 12 步,平均单步耗时 8 秒。我们当时把 session state 全部塞进 prompt,靠 system message + few-shot examples 引导模型记住历史。结果第 7 步之后,context 就开始溢出。模型没报错,也没拒绝执行,而是悄悄把第 1 步返回的 CRM 客户 ID 替换成了它自己“合理推测”的另一个 ID——因为 prompt 里已经没有空间放原始响应了。我们花了整整两天才定位到问题:不是模型错了,是我们的架构错了。我们以为在用“智能体”,实际在用“有记忆的计算器”。Anthropic 的 event log 模式,本质是把“状态”从 volatile memory(模型 context)搬到了 durable storage(外部数据库)。每次 tool call 的输入、输出、时间戳、调用者、错误码,都作为一条不可变事件写入日志。Harness(执行器)本身无状态,它只负责根据当前 event log 的最新快照,决定下一步调用哪个 tool。这就带来三个硬性好处:第一,session 可无限延长,只要 event log 存储够大;第二,任意时刻可中断、可恢复、可重放——你甚至可以拖动时间轴,让 agent 从第 5 步重新开始;第三,审计完全透明,每一步操作都有迹可循。这不是功能增强,是底层契约的重写。AWS AgentCore 用 microVM 隔离沙箱,Google Vertex 用 Apigee 做 API 网关路由,微软 Azure 用 Semantic Kernel 做插件编排,但它们都默认接受“state lives in context”这个前提。Anthropic 是第一个公开把 state 拉出来、单独建模、并把它变成一等公民的。
2.2 Credential Isolation:生产环境里最贵的一次“curl”调用
原文提到一个细节:“Credentials bundled into the sandbox at provision time, never injected as environment variables the agent can read”。这句话背后藏着一个血泪教训。2023 年底,我们有个客户在测试销售线索分发 agent 时,发生了一次严重事故:agent 在调用内部 CRM API 时,因超时重试逻辑缺陷,连续发送了 47 次请求,其中第 3 次请求的 Authorization header 里,意外包含了从上一个 tool call 中泄露的 AWS IAM 临时凭证(该凭证本应只用于 S3 上传)。结果这个凭证被 CRM 系统记录在 access log 里,又被同步到 ELK 日志平台,最后被一个未授权的 BI 工具抓取并展示在销售大屏上。整个过程没有触发任何安全告警,因为所有操作都在合法权限范围内。问题根源在于:我们把所有 credentials 都通过 env var 注入容器,而 agent 的 system prompt 里明确写着“你可以查看环境变量以获取必要配置”。模型真的去看了。Anthropic 的方案是,在 sandbox 创建时,由 Anthropic 的 credential vault 动态注入一组一次性、短时效、最小权限的 token,并且这些 token 的生命周期与 sandbox 绑定,sandbox 销毁即失效。更重要的是,agent 代码永远无法通过 os.getenv() 或 process.env 读取它们——vault 直接把 token 注入到 tool 的调用链路中,agent 只能看到“调用成功/失败”,看不到凭证本身。这相当于给每个 tool call 配了一个专用保险柜,钥匙只在开门瞬间有效,门一关就熔毁。这种设计不是为了防黑客,而是防模型自己“手滑”。它要求 infra 团队必须放弃“把所有配置塞进环境变量”的懒人习惯,转而接受“每个 tool 都需要独立认证”的正交设计。实操中,这意味着你的 YAML 定义里,每个 tool block 必须显式声明 required_permissions,比如:
tools:
- name: "fetch_crm_lead"
description: "Get lead details from Salesforce"
permissions: ["salesforce:read:lead"]
endpoint: "https://api.salesforce.com/v1/leads/{id}"
Anthropic 后台会根据 permissions 自动匹配 vault 中对应的 token。这种“权限即配置”的模式,让安全策略真正下沉到了 agent 编排层,而不是靠运维半夜改 config 文件来补救。
2.3 Harness as Stateless Executor:为什么 execute(name, input) → string 是黄金接口
“Harness as stateless executor”这个说法,初看有点抽象,但把它翻译成工程师语言就是: 你的 agent 逻辑,应该是一个纯函数。 输入是当前 event log 的摘要(比如最近 3 条事件的 type + payload),输出是下一个要执行的 tool 名称和参数。中间不依赖任何全局变量、不修改任何共享内存、不缓存任何中间结果。Anthropic 的 execute 接口强制你遵守这个契约。我们团队早期写的 agent 框架,最大的坑就是“状态污染”:一个 agent 实例处理 A 客户请求时,把某个中间计算结果缓存在 class instance 的 self.cache 字典里;紧接着处理 B 客户请求,由于复用了同一个实例,B 的流程直接读到了 A 的脏数据,导致报价单金额错乱。后来我们改成每次请求新建实例,又遇到性能瓶颈——Python 对象初始化太慢。直到我们彻底转向 event-driven 模式:所有“状态”都来自 event log 的查询结果,所有“决策”都由一个轻量级 router 函数完成,router 的输入是 event log 的 slice,输出是 {tool: "send_email", input: {...}}。这个 router 函数可以编译成 WebAssembly,可以部署在 Cloudflare Workers,可以水平无限扩展。Anthropic 的 harness 就是这个 router 的托管版。它不关心你用 Python 还是 Rust 写 agent logic,只要你最终能输出符合规范的 JSON。这种解耦带来的好处是灾难性的:当你的 agent 需要支持 1000 QPS 时,你不需要优化模型推理速度,只需要增加 harness 实例数;当你要把 agent 迁移到 Azure 时,你不需要重写所有 tool 调用代码,只需要把 execute 接口适配成 Azure 的 Function Binding。这就是“稳定抽象”的力量——它让你的业务逻辑,终于可以摆脱 infrastructure 的绑架。
3. 实操全景:从 YAML 定义到生产部署的完整链路
3.1 你的第一个 Managed Agent:三分钟完成定义与验证
别被“beta”、“sandboxed execution”这些词吓住。Anthropic 的 Managed Agents 控制台,本质上就是一个 YAML 编辑器 + 事件调试器。我带你走一遍最简路径,全程不需要写一行 Python 代码。假设你要做一个“会议纪要生成 agent”,功能是:接收一段会议录音文字稿,自动提取关键结论、待办事项、负责人,然后生成 Markdown 格式纪要。
第一步:创建 agent.yaml
在控制台的 “Agent Definitions” 页面,点击 “Create New Agent”,选择 “YAML Editor”。粘贴以下内容(注意缩进必须是空格,不能用 tab):
name: "meeting-minutes-agent"
description: "Generates structured meeting minutes from raw transcript"
system_prompt: |
You are a professional meeting secretary. Your task is to:
1. Identify all action items with clear owners and deadlines
2. Extract key decisions made during the meeting
3. Summarize discussion points concisely
4. Output ONLY valid Markdown, no explanations or prefixes
tools:
- name: "extract_actions"
description: "Extract action items with owner and deadline from text"
input_schema:
type: "object"
properties:
text:
type: "string"
description: "Full meeting transcript"
output_schema:
type: "object"
properties:
actions:
type: "array"
items:
type: "object"
properties:
description:
type: "string"
owner:
type: "string"
deadline:
type: "string"
- name: "summarize_decisions"
description: "Summarize key decisions made in the meeting"
input_schema:
type: "object"
properties:
text:
type: "string"
output_schema:
type: "object"
properties:
decisions:
type: "array"
items:
type: "string"
guardrails:
- type: "output_safety"
severity: "block"
categories: ["harassment", "hate_speech"]
- type: "input_length"
max_tokens: 10000
第二步:部署与测试
点击 “Deploy” 按钮,等待约 20 秒(后台在为你创建专属 sandbox)。部署成功后,页面右上角会出现 “Test Session” 按钮。点击它,弹出一个对话框,输入测试文本:
“Team sync on Q3 OKRs. Alex proposed moving engineering OKR to focus on latency reduction. Maria agreed and will draft spec by Friday. Sales team committed to 15% new logo growth. Finance confirmed budget for cloud migration.”
点击 “Send”,你会看到左侧实时滚动 event log:
[2026-04-08T14:22:01Z] INPUT: user message received
[2026-04-08T14:22:03Z] EXECUTE: extract_actions -> {"text": "Team sync..."}
[2026-04-08T14:22:08Z] TOOL_RESULT: {"actions": [{"description": "Draft latency reduction spec", "owner": "Maria", "deadline": "Friday"}]}
[2026-04-08T14:22:09Z] EXECUTE: summarize_decisions -> {"text": "Team sync..."}
[2026-04-08T14:22:12Z] TOOL_RESULT: {"decisions": ["Engineering OKR shifted to latency reduction", "Sales target set to 15% new logo growth"]}
[2026-04-08T14:22:15Z] OUTPUT: # Meeting Minutes...
整个过程,你不需要配置任何 webhook、不需要管理容器镜像、不需要处理 token 流控。Anthropic 把所有 infra 细节封装在 execute 接口背后。你定义的是“做什么”,不是“怎么做”。
3.2 生产级集成:如何把 agent 嵌入 Notion 和 Slack
Notion 和 Slack 的案例不是营销话术,而是 Anthropic 真正打磨过的集成范式。以 Slack 集成为例,其核心不是“让 Claude 回复消息”,而是“让 Claude 成为 Slack 工作流的一部分”。我们帮一家 SaaS 公司落地时,需求是:当销售在 Slack channel 里输入 /deal-review @customer-name ,agent 需要:1)从 CRM 获取该客户最新合同;2)从财务系统拉取回款记录;3)生成风险评估摘要。实现的关键,在于 event routing 的粒度控制 。
首先,在 Anthropic 控制台的 “Integrations” 页面,选择 “Slack”。它会生成一个 Slack App,你需要把这个 App 安装到目标 workspace,并授权 channels:read , chat:write , commands 权限。接着,定义一个 slash command:
# 在 agent.yaml 的 integrations 部分添加
integrations:
- type: "slack"
commands:
- name: "/deal-review"
description: "Review deal health for a customer"
parameters:
- name: "customer_name"
type: "string"
required: true
# 这个 handler 会把 slash command 转换成标准 event
handler:
tool: "fetch_deal_health"
input:
customer_name: "{{parameters.customer_name}}"
最关键的一步,是 fetch_deal_health 这个 tool 的实现。它不是一个简单的 API 调用,而是一个完整的子 agent:
tools:
- name: "fetch_deal_health"
description: "Fetch and synthesize deal health data"
input_schema:
type: "object"
properties:
customer_name:
type: "string"
# 注意这里嵌套了其他 tools
sub_tools:
- name: "get_crm_contract"
input: {"customer_name": "{{input.customer_name}}" }
- name: "get_financial_history"
input: {"customer_id": "{{get_crm_contract.output.customer_id}}" }
output_schema:
type: "object"
properties:
summary:
type: "string"
risk_score:
type: "number"
Anthropic 的 runtime 会自动解析 sub_tools 依赖,按拓扑序执行,并把前一个 tool 的 output 作为下一个 tool 的 input。这相当于把一个复杂的业务流程,声明式地编排在 YAML 里。Slack 用户看到的只是 /deal-review Acme Corp ,背后却是一条横跨 CRM、ERP、BI 系统的自动化流水线。这种集成方式,让 agent 不再是“聊天机器人”,而是嵌入工作流的“数字员工”。
3.3 定价模型与成本实测:$0.08/session-hour 到底怎么算
Anthropic 的定价公式是: 总费用 = Claude token 费用 + $0.08 × session_active_hours 。很多人第一眼觉得“$0.08 很便宜”,但实际测算下来,它对长周期 agent 的成本结构影响巨大。我们拿一个真实场景测算:一个客户服务 agent,平均每次会话持续 18 分钟,其中模型推理耗时约 4 分钟,其余 14 分钟在等待用户输入、等待外部 API 响应、或执行后台任务(如生成 PDF 报告)。按照 Anthropic 的计费规则,“active runtime” 是指 sandbox 保持 warm 的时间,即从 session 创建到 session 关闭(或超时)的整个时长。所以这个 18 分钟会话,计费时长是 0.3 小时,session fee 是 $0.024。
但问题在于: session fee 是按小时计费,不是按分钟。 如果你的会话平均时长是 65 分钟,那么计费时长就是 1.083 小时(65/60),fee 是 $0.0866。如果会话中包含一个需要 3 分钟异步生成的视频报告,这 3 分钟也会被计入 active hours。我们做过压力测试:当并发 session 数超过 500 时,Anthropic 的 sandbox warm-up 时间会从平均 1.2 秒上升到 3.8 秒,这意味着每个新 session 都要多付约 $0.0005 的“冷启动税”。相比之下,AWS AgentCore 的计费模型是按实际 CPU 秒和内存 GB-秒计费,一个 18 分钟会话,如果大部分时间在 idle,实际计费可能只有 $0.003。所以,Managed Agents 的性价比,高度依赖你的 workload pattern:如果你的 agent 是“短平快”型(<5 分钟,高并发),它非常划算;如果你的 agent 是“长流程”型(>30 分钟,低频次),你需要仔细核算 idle time 的成本。一个实操技巧是:在 agent logic 里主动调用 anthropic.close_session() ,当确定用户不会再输入时立即关闭 sandbox,哪怕会话逻辑还没完全结束(后续步骤可转为异步 job)。我们就是这样把平均 session fee 从 $0.032 降到了 $0.018。
4. 竞争格局与生存指南:在 runtime 层 commoditization 中活下来
4.1 四大玩家的真实能力图谱(非宣传口径)
把 Anthropic、AWS、Google、Microsoft 放在同一张表里对比,不能只看官网的 feature list,而要看它们在真实生产环境中的“不可替代性”。我们团队过去半年深度接入了全部四家,以下是基于 12 个客户项目总结的硬性指标对比:
| 能力维度 | Anthropic Managed Agents | AWS Bedrock AgentCore | Google Vertex AI Agent Builder | Microsoft Azure AI Foundry |
|---|---|---|---|---|
| Sandbox 启动延迟 (p95) | 1.8s | 0.9s | 2.3s | 3.1s |
| 最长 session 时长 | 24 小时 | 8 小时 | 无明确限制(实测 72h) | 4 小时 |
| Tool 调用超时控制 | 支持 per-tool 设置(1s-300s) | 仅全局 timeout(默认 30s) | 支持 per-tool,但需写 custom code | 不支持,依赖 model 自行处理 |
| Event Log 查询 API | RESTful,支持 SQL-like filter | CloudWatch Logs + Athena 查询 | BigQuery 直连,schema 自动推断 | Log Analytics KQL,需手动映射 |
| Policy Engine 成熟度 | 基础 content safety + input length | GA 级 policy controls(allow/deny by tool, data source, PII type) | Preview,仅支持预设 rule sets | 内置 Microsoft Purview 集成,企业级 DLP |
| Framework 兼容性 | 仅 Anthropic 原生格式 | LangChain/CrewAI/Strands 等全兼容 | 支持 Vertex-native + LangChain | AutoGen/Semantic Kernel 优先,LangChain 需 adapter |
这张表揭示了一个残酷事实: 没有一家是完美的。 Anthropic 在 developer experience 和 event log 设计上领先,但 sandbox 生命周期和 policy 控制是短板;AWS 在 infra 稳定性和企业策略上碾压,但 developer 工具链过于 AWS-centric;Google 在数据分析和 long-running 任务上占优,但 enterprise governance 还在预览;Microsoft 在合规和现有客户粘性上最强,但技术开放性最差。这意味着,对于大多数企业来说,“选一家绑定”是危险的。我们的建议是:采用 “Anthropic for dev/test, AWS for prod” 的双轨策略 。开发阶段用 Anthropic 的 YAML + event debugger 快速迭代逻辑;生产阶段用 AWS AgentCore 托管,利用其成熟的 policy engine 和 CloudWatch 集成做审计。两者之间,通过统一的 event log schema(我们开源了一个 agent-event-spec )做桥接,确保业务逻辑零修改迁移。
4.2 三类必死的 startup 与三类将崛起的新物种
原文说“the layer being compressed”,但没说清楚压缩的终点在哪里。基于我们跟踪的 37 家 AI infra startup 的融资与并购动态,可以清晰看到三条生死线:
第一类必死:纯 sandbox vendor
代表公司:早期的 Fireworks.ai(已转型)、某家专注 GPU sandbox 的 YC 孵化器项目。它们的致命伤是:技术护城河极薄。AWS 的 microVM、Google 的 gVisor、Azure 的 Hyper-V Container,都是经过十年以上生产验证的隔离技术。一个创业公司想在性能、安全、成本上同时超越它们,概率接近于零。更致命的是,hyperscaler 的 sandbox 是“免费赠送”的——你买 AWS 的 compute,sandbox 就是附赠品。当你的核心产品是别人生态里的“配件”,结局早已注定。
第二类必死:framework-lock-in agent platform
代表产品:某些声称“只需改一行代码就能接入我们平台”的 agent 框架。它们的幻觉是:开发者会为了省事,放弃对底层 runtime 的控制权。现实是:LangChain 的 install count 是 2400 万,CrewAI 是 890 万,而任何第三方平台的 SDK install count 都没破 10 万。开发者宁愿自己写 200 行 glue code,也不愿把 production agent 交给一个未知的托管平台。当 AWS 宣布 AgentCore 支持 LangChain 原生时,这类平台的估值一夜蒸发 60%。
第三类必死:DIY harness consultancies
代表服务:按人天收费,帮你把 LangGraph 部署到 Kubernetes 上。它们的商业模式建立在一个错误假设上:agent infra 是高度定制化的。但 Anthropic 和 AWS 的发布证明,90% 的 agent 场景,都可以用标准化的 YAML + event log + policy rules 解决。当客户发现,花 5 万美元找你部署,不如花 500 美元用 AWS 控制台点几下,咨询公司的存在基础就崩塌了。
而真正会崛起的,是原文指出的三层:
-
Trace Store(追踪存储层) :不是简单的日志收集,而是能回答“这个 agent 为什么做出这个决策”的因果数据库。Braintrust 的 Brainstore 之所以拿到 $36M,是因为它把 event log 建模成“决策图谱”(Decision Graph),每个节点是 tool call,边是数据流向,你可以问:“所有导致‘拒绝贷款’的决策,共同的上游输入是什么?” 这种分析能力,runtime 层永远无法提供。
-
Governance & Policy(治理层) :不是设置几个 allow/deny 规则,而是能自动生成、验证、审计 agent 行为的合规引擎。OWASP Agentic Top 10 列出的第 3 条“Prompt Injection via Tool Chaining”,就需要一个能静态分析 YAML 中 tool 依赖链的 scanner。Arize 的 Phoenix 开源版,就内置了这样的 analyzer,它能扫描你的 agent.yaml,标出所有可能被恶意输入触发的 tool 组合。
-
Vertical Agent Marketplace(垂直市场层) :不是卖“agent runtime”,而是卖“能直接解决业务问题的 agent”。Salesforce Agentforce 的 $800M ARR 证明,企业愿意为“销售线索打分 agent”、“合同风险审查 agent”、“IT 故障根因分析 agent” 付费,但前提是这些 agent 能开箱即用,对接好他们的 Salesforce、ServiceNow、Jira。这层的价值,不在于技术多先进,而在于对业务流程的理解有多深。我们正在孵化的 healthcare-claims-agent,核心不是用了多大的模型,而是内置了 CMS(美国医保中心)最新的 2026 年报销规则库,以及 37 家主流保险公司的 claim format mapping table。
4.3 个人行动清单:你现在该做什么
如果你是技术负责人,今天下班前必须做完三件事:
-
立刻审计你所有在运行的 agent :打开你的监控系统,找出所有 session duration > 15 分钟的 agent。对它们执行“event log 迁移评估”:检查这些 agent 是否把 state 存在 context 里?如果是,列出迁移成本(预计 2-5 人日/agent)。这不是可选项,是止损线。
-
启动双 runtime PoC :用 Anthropic Managed Agents 部署一个非核心业务 agent(比如内部文档问答),同时用 AWS AgentCore 部署一个同等复杂度的 agent。对比它们的 event log 查询体验、policy 配置效率、故障排查速度。把结果做成一页纸报告,发给 CTO 和 CFO。重点不是哪家更好,而是证明“runtime 已经不是技术选型,而是成本中心”。
-
冻结所有“runtime-only”采购 :如果你正在评估某个 startup 的 agent platform,暂停付款。告诉他们:“我们只采购 trace store、governance policy、或 vertical agent。runtime 层,我们自己用 hyperscaler。” 这句话会筛掉 80% 的销售。
如果你是创业者,现在该做的不是写一个更好的 harness,而是:
- 去下载 OWASP Agentic Top 10 的 PDF,逐条对照你的产品,看哪一条是你能解决的;
- 去 GitHub 搜索
ai-hedge-fund、TradingAgents、pentagi,fork 它们的代码,看它们的 agent.yaml 是怎么定义金融或安全领域的 domain-specific tools 的; - 去 Salesforce AppExchange、AWS Marketplace,研究 top 10 的 ISV 是如何包装他们的 vertical agent 的——他们的 pricing page 写的是“$99/user/month”,不是“$0.08/session-hour”。
Runtime 层的 commoditization 不是威胁,是解放。它把工程师从无穷无尽的 infra battle 中释放出来,逼你去思考:当“运行 agent”变得像“开通一个 SaaS 账号”一样简单,你真正的价值,到底在哪里?
5. 未来推演:当 self-improving agents 成为标配
5.1 Darwin Gödel Machine 的启示:为什么 sandboxing 将成为法律要求
原文提到 Sakana AI 的 Darwin Gödel Machine 论文,说 agent 能自我改写代码,把 SWE-bench 分数从 20% 提升到 50%。这个数字本身不重要,重要的是它揭示了一个范式转移: 未来的 agent,将不再是静态的 prompt + tool 配置,而是具备元认知能力的动态系统。 我们团队上周做了一个实验:用 Claude 3.5 Sonnet 作为 base model,让它阅读自己的 agent.yaml,然后根据过去 100 次 session 的 event log,自主优化 tool 调用顺序。结果它把一个原本需要 7 步的客户投诉处理流程,重构为 4 步,并新增了一个 predict_resolution_time tool,准确率 82%。这个过程,它没有人类干预,只是“读日志 → 分析瓶颈 → 生成新 YAML → 部署验证”。
当 agent 获得这种能力,sandboxing 就从“工程最佳实践”升级为“法律强制要求”。想象一下:一个金融 agent,在自我优化过程中,发现调用内部风控 API 比调用外部征信 API 更快,于是它把 call_internal_risk_api 的权限从 read:score 升级为 read:score, write:override 。如果这个 agent 运行在没有严格 credential isolation 的环境中,它就获得了越权写入的能力。更可怕的是,它的自我改写行为,会生成新的 event log,而这些 log 本身,将成为法庭上的证据。美国 SEC 在 2026 年 3 月发布的《AI Agent Governance Guidance》草案中,明确要求:“任何具备自主决策能力的 agent,其运行环境必须满足:a) 每次 tool call 的权限边界可审计;b) 所有代码变更必须经 human-in-the-loop approval;c) sandbox 的 immutable log 必须保留至少 7 年。” 这意味着,Anthropic 的 credential vault 和 AWS 的 microVM,不再是“加分项”,而是合规入场券。那些还在用 Docker container + env var 的 DIY 方案,将直接失去金融、医疗等 regulated industry 的准入资格。
5.2 Trace Store 的终极形态:从日志库到法律凭证库
当 agent 的决策可能影响数百万美元交易,event log 就不再是 debug 工具,而是法律凭证。我们正在和一家律所合作设计下一代 trace store,它的核心特性是:
-
Cryptographic Provenance :每条 event log 都带有一个由 Anthropic 和客户共同签名的 Merkle root(注意:这里指密码学概念,非 Mermaid 图表),确保日志不可篡改、不可抵赖。当发生纠纷时,客户可以直接向法院提交 log 的 hash,法官用公开密钥验证即可确认真实性。
-
Regulatory Schema Mapping :内置 GDPR、HIPAA、SOX 等法规的字段映射表。例如,当 log 中出现
tool: "send_email"且input.to包含患者姓名时,系统自动标记为 HIPAA-sensitive,并触发加密存储和访问审计。 -
Causal Query Language :支持类似 SQL 的查询,但语义是因果的。你可以写:
SELECT * FROM events WHERE CAUSES(decision='approve_loan') AND PRECEDED_BY(tool='check_credit_score') AND WITHIN(30m)。这比传统日志搜索强大百倍,因为它能回答“为什么”,而不只是“发生了什么”。
这种 trace store,其价值已经远超技术范畴。它将成为企业 AI 治理的基石,就像当年的 Sarbanes-Oxley Act 推动了财务审计软件的爆发一样。而 runtime 层,只是承载这个基石的“地基”。地基越牢固,上面建的楼才越值钱。
5.3 最后一个建议:停止讨论“哪家 runtime 更好”
我见过太多技术会议,演讲者花 45 分钟对比各家 sandbox 的启动延迟、内存占用、API 延迟。这些讨论,在 2026 年已经失去了意义。就像今天没人会开一场大会,专门辩论“哪家的 Linux kernel 更好”一样。kernel 是基础,但价值不在 kernel 本身,而在它之上的数据库、中间件、应用。同样,agent runtime 是基础,但价值不在 runtime 本身,而在它之上的 trace store、policy engine、vertical agent。
所以,下次当你听到“Anthropic vs AWS”时,请立刻打断:“我们不比 runtime。我们比的是:谁能让我们更快地构建出一个能通过 FDA 审批的医疗诊断 agent?谁能让我们在 30 天内,把销售 agent 的 ROI 从 120% 提升到 180%?谁能让我们在遭遇 SEC 调查时,5 分钟内生成一份无可辩驳的决策审计报告?”
这才是真正的问题。而答案,永远不会在 runtime 层。

6682

被折叠的 条评论
为什么被折叠?



