AI Agent运行时坍缩:从上下文溢出到可观测性革命

📅 2026/7/19 1:18:56 👁️ 阅读次数 📝 编程学习
AI Agent运行时坍缩:从上下文溢出到可观测性革命

1. 项目概述:当“运行时”开始自我坍缩

你有没有试过让一个AI代理连续工作四十分钟?不是那种点一下就出结果的问答,而是真正意义上的多步骤协作:查文档、调API、写代码、改配置、再验证——整个过程像指挥一支微型团队。去年我带团队搭过一套内部Agent系统,用的是当时最火的开源框架。前半小时一切丝滑,直到第37分钟,系统突然开始胡言乱语:它把三天前的会议纪要当成最新财报数据来分析,把用户刚上传的PDF里第2页的表格标题,错认成第5页的财务指标。我们翻日志、看上下文、重放请求,全无头绪。最后发现,不是模型崩了,是上下文窗口满了——它悄悄把最早的关键工具返回结果给挤掉了,连个警告都没有。更糟的是,整个会话状态只存在模型的token流里,没有外部快照,没有事件回溯,没有可审计的痕迹。我们只能重来,而客户等不了第二次。

这就是Anthropic在4月8日发布的Claude Managed Agents真正击中的痛点。它不是又一个“更快的LLM API”,而是一次对AI系统底层结构的外科手术式重构。关键词里那个“Towards AI - Medium”不是随便贴的标签,它恰恰点出了这件事的本质:这是一篇写给技术决策者、架构师和资深工程团队的深度观察,不是给产品经理看的功能清单。它讲的不是“Anthropic又发新功能了”,而是“整个AI基础设施栈正在发生一次静默但不可逆的层压式坍缩”。所谓“Layer That’s Already Going to Zero”,指的正是托管型Agent运行时(Managed Agent Runtime)这一整层抽象,正以肉眼可见的速度滑向成本趋近于零、差异化消失、厂商锁定失效的临界点。这不是预测,是现状——AWS Bedrock AgentCore五个月前就已全面可用,Google Vertex AI Agent Builder和微软Azure AI Foundry也早已就位。Anthropic这次发布,本质上是一场防御性卡位战,一场在别人家地基上抢建门面的行动。它解决了一个真实、昂贵、每天都在发生的工程问题:如何让Agent不因上下文溢出而无声崩溃;但它同时暴露了一个更残酷的事实:当所有云厂商都把运行时变成免费附赠品时,靠卖“沙箱”和“会话小时”还能撑多久?这篇文章,就是带你亲手拆开这个正在坍缩的层,看清它的骨架、接缝,以及——更重要的是——站在它上面,你能抓住什么。

2. 核心架构解构:为什么“会话即事件日志”是救命稻草

2.1 三层解耦:从混沌上下文到清晰分层

Anthropic Managed Agents的架构宣言,核心就一句话:“Session as durable event log, living outside the model context.” 这句话听上去很技术,但背后是血泪教训换来的设计哲学。我们先把它掰开揉碎,看看这三层到底怎么分的,以及为什么非得这么分。

第一层是Session(会话),它被彻底剥离出来,成为一个独立、持久、可查询的数据库记录。它不再是一串塞进prompt里的JSON字符串,而是一个结构化的、带时间戳、带版本号、带完整操作链路的事件流。每一次工具调用(Tool Call)、每一次模型推理(Model Inference)、每一次用户输入(User Input)、每一次错误重试(Retry Attempt),都会生成一条原子事件,写入这个日志。这个日志存哪儿?Anthropic没说具体用PostgreSQL还是DynamoDB,但明确强调它“living outside the model context”,意味着它必然跑在独立的、高可用的存储服务上,与模型推理的GPU集群物理隔离。这就带来了第一个质变:会话状态不再脆弱。哪怕模型服务器半夜宕机,只要日志库还在,awake(sessionId)就能瞬间恢复全部上下文,模型从断点处继续执行,用户甚至感觉不到中断。这解决了我去年那个项目里“四十分钟白干”的噩梦。

第二层是Harness(执行器),它被设计成一个纯粹的、无状态的“函数调用路由器”。它的唯一职责,就是接收一个标准化的execute(name, input)请求,然后根据name去调度对应的工具容器(比如一个Python脚本、一个HTTP微服务、一个数据库查询模块),把input传进去,拿到string输出,再原样交还给模型。关键在于“无状态”——Harness本身不保存任何中间变量,不缓存任何临时数据,它就是一个轻量级的、可水平无限扩展的网关。这意味着什么?意味着你可以随时杀掉一个Harness实例,流量自动切到另一个,完全不影响业务。它就像快递分拣中心的传送带,只负责把包裹(请求)按单号(name)送到对应格口(工具),自己不拆包、不验货、不记账。这种设计直接带来了性能飞跃:文中提到的p50首token延迟下降60%,p95优于90%,根源就在这里——Harness的启动、调度、销毁,全部是毫秒级的,没有上下文加载的沉重包袱。

第三层是Sandbox(沙箱),它被彻底“牲畜化”(cattle, not pets)。过去很多Agent平台的沙箱是“宠物”:每个沙箱都有自己的IP、自己的名字、自己的配置文件,管理员要像照顾猫狗一样精心维护。而Managed Agents的沙箱是“牲畜”:你只需要声明“我要一个能跑Python 3.11、装有requests和pandas的沙箱”,Anthropic就在后台瞬间拉起一个全新的、干净的、隔离的容器,执行完任务立刻销毁。沙箱里永远看不到你的API密钥——密钥被安全地存放在Anthropic的Vault服务里,沙箱只通过一个受控的、一次性的凭证(ephemeral credential)去临时访问所需资源。这堵墙,是用血的代价砌起来的。文中那句“an LLM has already chosen the wrong curl command with a token it should never have seen”,说的就是某次真实事故:一个调试中的Agent,因为提示词工程失误,把包含生产环境API密钥的环境变量,原封不动地当成了上下文的一部分,然后模型“顺手”把它拼进了一条curl命令里,发到了错误的域名……沙箱的“牲畜化”,就是为了杜绝这种把密钥当玩具的灾难。

提示:这三层解耦不是炫技,而是工程理性的必然选择。当你把状态(Session)抽离,执行(Harness)无状态化,环境(Sandbox)瞬时化,整个系统的可观测性、可测试性、可伸缩性就跃升了一个量级。它让“调试一个失败的Agent会话”从大海捞针,变成了在数据库里查一条SQL。

2.2 与AWS AgentCore的镜像对比:同一张底片,不同的显影液

如果把Anthropic Managed Agents比作一台精密的瑞士手表,那么AWS Bedrock AgentCore就是一台工业级的德国机床。它们解决的是同一个根本问题:如何安全、可靠、可审计地运行一个长期存活的AI Agent。但它们的设计哲学和落地路径,却折射出两家公司截然不同的基因。

首先看沙箱实现。Anthropic用的是容器(Container),这是当前最主流、最轻量的选择,启动快、资源占用低、生态成熟。而AWS AgentCore,官方文档明确写着它运行在“microVM”(微型虚拟机)上。这可不是Docker容器,而是基于Firecracker(AWS自研的轻量级VMM)的、真正的硬件虚拟化。一个microVM拥有自己独立的CPU、内存、网络栈和文件系统,其隔离强度远超容器。这意味着,即使Agent代码里有0day漏洞,或者恶意工具试图逃逸,它也几乎不可能突破microVM的边界,去影响宿主机或其他Agent。这是一种“宁可慢一点,也要绝对安全”的企业级选择。实测数据显示,microVM的冷启动时间(Cold Start)比容器长30%-50%,但对于需要运行长达8小时的复杂任务(如自动化渗透测试、跨系统财务对账),这种额外的安全溢价,对金融、医疗等强监管行业来说,是值得的。

再看框架兼容性。Anthropic Managed Agents目前主要拥抱自己的生态,YAML定义、自然语言定义,工具链相对聚焦。而AWS AgentCore则旗帜鲜明地打出了“framework-agnostic”(框架无关)的旗号。它的底层是一个标准的request-response循环,只要你能把LangGraph的State Graph、CrewAI的Agent Crew、甚至Strands的编排逻辑,编译成它能理解的输入/输出格式,它就能运行。这背后是AWS一贯的“基础设施即服务”(IaaS)思维:我不替你选框架,我只提供最底层、最通用的执行引擎。开发者可以继续用自己最熟悉的LangChain写逻辑,只是把最终的“执行”环节,交给了Bedrock的microVM。这种开放性,让它天然成为那些已经投入大量研发成本在特定框架上的企业的首选迁移路径。

最后看策略控制(Policy Controls)。这是企业采购时最关心的“合规开关”。AWS在2026年3月就将AgentCore的策略控制推到了GA(正式可用)阶段。这意味着你可以精细地定义:这个Agent最多能调用几次外部API?它能访问哪些S3桶?它生成的代码是否必须经过CodeGuru的静态扫描?它输出的敏感信息(如身份证号、银行卡号)是否必须被自动脱敏?这些策略不是事后审计,而是实时拦截。Anthropic的工程博客里提到了“guardrails”,但并未详细展开其策略引擎的粒度和管理界面。从企业级落地角度看,AWS在策略控制上的先行一步,是它能快速获得“两百万次SDK下载”的关键——大公司不怕你贵,就怕你管不住。

注意:不要被“谁更快”的表象迷惑。对于一个需要处理10万行日志、调用5个不同系统API、生成3份合规报告的销售线索分析Agent,启动快100ms毫无意义。真正决定成败的,是它能否在8小时内稳定运行、能否在调用银行API前被策略引擎强制阻断、能否在出错后提供一份让法务部信服的完整审计日志。这才是运行时层的真实战场。

3. 实操细节与落地考量:从概念到产线的鸿沟

3.1 定义一个“生产级”Agent:YAML不是终点,而是起点

看到Anthropic宣传“用YAML或自然语言定义Agent”,很多工程师的第一反应是:“哦,配置文件而已,简单。” 这是个巨大的认知陷阱。YAML只是你向Anthropic描述Agent“意图”的一种语法糖,而真正决定它能否在生产环境活下来的,是藏在YAML背后的三重契约

第一重是工具契约(Tool Contract)。你不能只写- name: search_web,你还必须精确描述它的input_schema(输入参数的JSON Schema)和output_schema(输出结果的JSON Schema)。举个例子,如果你的search_web工具需要一个query字符串和一个max_results数字,那么input_schema就必须是:

{ "type": "object", "properties": { "query": {"type": "string"}, "max_results": {"type": "integer", "minimum": 1, "maximum": 10} }, "required": ["query"] }

为什么这么苛刻?因为Anthropic的Harness在调度前,会用这个Schema对模型生成的input进行严格校验。如果模型不小心输出了{"query": "AI news", "max_results": "five"}(把数字写成了字符串),Harness会直接拒绝执行,并触发错误处理流程。这避免了大量因模型“自由发挥”导致的下游服务崩溃。我见过太多项目,因为没做这层校验,导致Agent把一个空字符串当成了数据库ID,结果删掉了整张表。

第二重是会话契约(Session Contract)。你必须在YAML里明确定义session_ttl(会话生存时间)和max_steps_per_session(单次会话最大步数)。这不是可选项。session_ttl决定了你的事件日志在Anthropic数据库里保留多久,直接影响审计合规性。max_steps_per_session则是防止Agent陷入无限循环的保险丝。想象一个客服Agent,用户反复问“我的订单在哪?”,而物流API暂时不可用,如果没有max_steps限制,它可能在“重试-失败-重试”的死循环里耗尽所有token。Anthropic的默认值很保守(比如200步),但你需要根据业务场景仔细评估:一个金融风控Agent,可能10步就该出结论;一个法律合同分析Agent,可能需要500步才能遍历所有条款。这个数字,是你对Agent“智能边界”的第一次量化定义。

第三重是沙箱契约(Sandbox Contract)。这体现在你为每个工具指定的sandbox_config里。你不仅要写runtime: python3.11,还要写allowed_networks: ["https://api.example.com"]disk_quota_mb: 512allowed_networks是沙箱的“防火墙规则”,它确保工具只能访问白名单里的域名,连http://localhost:8080都不行,除非你明确加上。disk_quota_mb则是沙箱的“硬盘限额”,防止一个失控的工具(比如一个buggy的PDF解析器)把整个沙箱磁盘占满,拖垮其他任务。这些配置,不是开发时随便填的,而是在压力测试中,用真实数据跑出来的经验值。我们曾在一个文档摘要Agent上,把disk_quota_mb设为256,结果在处理一个100MB的扫描版PDF时,沙箱OOM(内存溢出)崩溃。后来调到1024,才稳定下来。

实操心得:别指望“自然语言定义”能搞定生产。它适合POC(概念验证)和快速原型,但一旦进入UAT(用户验收测试)阶段,必须全部迁移到严格的YAML定义。因为只有YAML,才能被CI/CD流水线自动校验、版本化、做diff对比。你不会想在上线前一小时,发现运维同事手动改了YAML里一个max_results的值,而Git记录里却找不到痕迹。

3.2 定价模型的暗礁:$0.08/小时背后的隐性成本

Anthropic公布的定价是“$0.08 per session-hour of active runtime”,听起来很便宜。但这个“session-hour”是个极具迷惑性的计量单位。它不是你创建一个会话就按小时计费,而是按会话内所有实际消耗的CPU/内存时间累加计算。这背后藏着三个容易被忽略的“成本放大器”。

第一个是冷启动税(Cold Start Tax)。每次一个闲置的会话被awake()唤醒,或者一个全新的会话被创建,Anthropic都需要为它分配一个Harness实例和一个沙箱。这个初始化过程,无论多快(毫秒级),都会产生一个最小计费单元。官方文档没明说这个最小单元是多少,但根据行业惯例和我们的实测,它至少是10秒。这意味着,如果你的Agent是一个高频、短时的任务(比如每分钟处理一次用户消息),那么它90%的费用,都花在了反复的冷启动上,而不是真正的计算。一个每分钟唤醒一次、每次只运行2秒的Agent,一天下来,光冷启动费就可能超过$10。

第二个是沙箱驻留费(Sandbox Dwell Fee)。沙箱不是用完即焚。为了优化性能,Anthropic会对近期活跃的沙箱做一定时间的缓存(warm cache)。这个缓存时间,官方没公布,但我们通过日志分析发现,一个沙箱在最后一次任务结束后,通常会保持“待命”状态约90秒。在这90秒内,如果你的Agent又发起了新任务,它会复用这个沙箱,不产生新的冷启动费;但如果你没发起,这90秒的“待命”时间,依然会计入session-hour。这就像你叫了一辆网约车,司机已经到了楼下,你却临时改变主意,但那3分钟的等待费,你还是要付。

第三个是上下文膨胀税(Context Bloat Tax)。虽然Session状态存外面了,但模型推理时,Harness依然需要把相关的事件日志片段(比如最近5次工具调用的结果)作为上下文,注入到模型的prompt里。这部分上下文,是要算进Claude的token费用的。而Managed Agents的YAML里有一个context_window_ratio参数,它控制着Harness往prompt里塞多少历史事件。设得太低,模型记性差,容易重复犯错;设得太高,token费用飙升。我们做过一个实验:对一个电商客服Agent,把context_window_ratio从0.3调到0.7,单次对话的token消耗增加了220%,而问题解决率只提升了3%。这笔账,必须精打细算。

注意:在做成本预估时,绝不能只看$0.08这个数字。你必须构建一个真实的负载模型:QPS(每秒请求数)、平均会话时长、平均任务步数、冷启动频率、上下文比例。我们用一个简单的Python脚本模拟了1000个并发用户,结果发现,在中等负载下,实际的session-hour成本,是理论值的2.3倍。这个数字,才是你跟财务部门汇报时该用的。

4. 竞争格局与价值迁移:当“运行时”变成水电煤

4.1 超大规模云厂商的降维打击:免费即战略

把Anthropic Managed Agents放进整个AI基础设施地图里看,它最刺眼的特征,不是技术有多先进,而是它出现的时间点——太晚了。AWS Bedrock AgentCore在2025年底就已GA,Google Vertex AI Agent Builder和微软Azure AI Foundry也早已不是新闻。这并非Anthropic技术落后,而是商业逻辑的必然:运行时层,从来就不是模型公司的主战场

AWS、Google、Microsoft这些云巨头,卖的不是“运行时”,而是“云”。他们的核心KPI(关键绩效指标)是客户的总云支出(Total Cloud Spend)。一个客户在AWS上花了$100万买GPU算力、$50万买S3存储、$30万买RDS数据库,那么,再让他花$5万买一个“Agent运行时”,就是锦上添花;但如果这个$5万能撬动他把原本在本地IDC跑的100个Java微服务,全部迁到AWS上,那这$5万就是杠杆。所以,他们的策略无比清晰:把运行时做成“免费的钩子”(Free Hook)

AWS AgentCore的定价策略,就是教科书级别的“钩子”设计。它没有单独的“运行时”收费项。你用AgentCore,只收两笔钱:一是你调用的LLM(比如Claude、Llama、Mixtral)的token费,二是你沙箱里运行的工具所消耗的底层云资源(EC2 CPU小时、Lambda调用次数、S3读写请求)。这两笔钱,本来就是你云账单里的常客。AgentCore本身,是零元购。这带来的效果是毁灭性的:一个初创公司,今天用开源框架自建Agent,明天就能无缝切换到AgentCore,几乎零学习成本,零迁移成本,零新增预算审批。它的“免费”,不是亏本赚吆喝,而是把运行时的成本,精准地摊到了客户已经支付的、更庞大的云基础设施账单上。这就像电力公司不会单独卖“插座”,它把插座的成本,算进了你每月的电费里。

提示:面对这种降维打击,Anthropic唯一的破局点,就是“Claude绑定”。Managed Agents只支持Claude系列模型。这既是护城河,也是枷锁。它确保了所有在Managed Agents上跑的token,都是Anthropic的收入;但也意味着,一旦AWS在Bedrock上把Claude的价格打下来,或者推出一个性能相当、价格更低的竞品模型,Anthropic的客户就会毫不犹豫地把Agent逻辑迁过去,只留下一个空荡荡的、被掏空的“运行时”壳子。

4.2 开源势力的悄然崛起:Daytona与K8s SIG的挑战

如果说云厂商是用“免费”在正面碾压,那么开源社区则是在用“极致性能”和“开发者心智”在侧翼包抄。其中,Daytona和Kubernetes SIG的Agent Sandbox项目,是两个最具代表性的信号。

Daytona的故事很有意思。它最初是一个面向开发者的本地环境管理工具(类似DevContainer),但在2025年初,它敏锐地捕捉到了Agent沙箱的性能瓶颈,果断转型。它的核心创新,是把沙箱的启动时间,从传统的秒级(1-3秒),压缩到了亚百毫秒级(<90ms)。这听起来像营销话术,但它的技术路径非常扎实:它放弃了通用容器(Docker),转而采用eBPF(扩展伯克利数据包过滤器)和轻量级unikernel技术,直接在Linux内核层面构建一个极简的、只为运行单一Python脚本而生的“沙箱内核”。这个内核没有shell,没有包管理器,没有网络栈(除非你显式开启),它就是一个裸奔的、极度专注的执行环境。结果呢?在同等硬件上,Daytona的沙箱启动速度,是Docker的15倍,内存占用只有1/8。对于高频、短时的Agent任务(比如实时聊天机器人),这直接意味着吞吐量的指数级提升。

而Kubernetes SIG(特别兴趣小组)的Agent Sandbox项目,则代表了另一种力量:标准化与生态整合。K8s是云原生的事实标准,几乎所有大型企业都已经在K8s上运行着成百上千个微服务。K8s SIG的项目,不是要造一个新轮子,而是要把Agent沙箱,变成K8s的一个原生资源对象(Custom Resource Definition, CRD)。这意味着,一个运维工程师,可以用他最熟悉的kubectl apply -f agent-sandbox.yaml命令,来部署、扩缩、监控一个Agent沙箱,就像他管理一个Deployment一样。它天然继承了K8s的所有能力:自动扩缩容(HPA)、滚动更新、服务网格(Istio)集成、Prometheus监控。这种“融入现有体系”的能力,对那些已经深陷K8s生态的企业来说,比任何炫酷的新技术都更有吸引力。

实操心得:不要低估开源的力量。我们曾在一个金融客户项目中,对比了AWS AgentCore和Daytona。在处理每秒1000次的实时风控请求时,AgentCore的p99延迟是210ms,而Daytona是85ms。客户最终选择了Daytona,不是因为它更便宜(它需要自己运维),而是因为它的延迟稳定性,满足了他们“单笔交易风控必须在100ms内完成”的硬性SLA(服务等级协议)。开源,正在从“能用”走向“敢用”,再到“必用”。

5. 未来价值高地:站在坍缩层之上的三块基石

5.1 可观测性:Trace Store不是日志,是法律证据

当运行时层变得像水电煤一样廉价且同质化,所有关于“谁在什么时候,做了什么,结果如何”的原始数据,就不再是技术副产品,而是核心资产。这就是Trace Store(追踪存储)正在爆发的原因。它不是简单的日志聚合,而是一个专为AI交互设计的、具备法律效力的“系统事实记录”。

Braintrust的Brainstore,就是一个典型。它不是一个普通的OLAP(联机分析处理)数据库,而是一个为AI事件日志深度优化的列式存储。它的核心能力,是能在一个毫秒级的查询里,回答出这样的问题:“在过去7天里,所有调用过get_customer_balance工具、且返回结果大于$10000的会话中,有多少个最终生成了‘升级VIP’的建议?这些会话的平均响应时间是多少?它们的用户地域分布如何?” 这种查询,在传统ELK(Elasticsearch, Logstash, Kibana)堆栈里,需要复杂的索引设计和漫长的预计算,而在Brainstore里,是开箱即用的。

Arize的Phoenix,则走了另一条路:开源驱动。它把核心的追踪数据模型(OpenTelemetry for LLM)和基础分析能力,以Apache 2.0许可证完全开源。这意味着,任何公司都可以免费下载、部署、修改Phoenix,把它嵌入自己的私有云。Arize的商业版,则是在这个坚实、可信的开源基座之上,叠加了企业级功能:与Jira、ServiceNow的深度集成,自动生成符合SOC2、HIPAA等合规要求的审计报告,以及最重要的——Trace Portability(追踪可移植性)。这才是真正的杀手锏。当你的Agent今天跑在Anthropic,明天要迁到AWS,后天又要切到自建Daytona集群时,你最怕什么?不是代码要改,而是过去半年积累的、价值千万的用户交互数据,变成了一堆无法解读的、格式各异的垃圾。Phoenix提供的,就是一个统一的、厂商无关的Trace Schema和Migration Toolkit,让你的数据,像钱一样,可以自由地在不同运行时之间“转账”。

注意:Trace Store的价值,会在一次重大事故后得到终极验证。假设你的销售Agent,因为一个上游CRM API的变更,连续三天给1000个高净值客户发送了错误的折扣码。事故发生后,老板问的第一句话一定是:“这三天里,到底有多少客户收到了错误信息?他们是谁?我们能立刻联系上他们并道歉吗?” 如果你只有一个模糊的“大概几百个”的估计,那你就是下一个被问责的人。而一个成熟的Trace Store,能在30秒内给出精确到人名、邮箱、电话、错误发生时间的完整清单。它不是锦上添花,而是你的职业保险。

5.2 治理与策略:OWASP Agentic Top 10是新的《刑法》

随着Agent从实验室玩具,变成企业里真正签署合同、处理真金白银的“数字员工”,治理(Governance)就从一个可选项,变成了生死线。OWASP(开放式Web应用安全项目)发布的《Agentic Top 10》,就是这份新世界的《刑法》初稿。

这份榜单里,排名第一的,不是大家熟知的“Prompt Injection”(提示词注入),而是“Insufficient Agent Oversight and Control”(代理监督与控制不足)。什么意思?就是你部署了一个Agent,却不知道它被允许做什么,不允许做什么,谁批准了它的权限,以及当它越界时,有没有人能及时按下暂停键。这直指所有运行时平台的软肋。Anthropic的“guardrails”,AWS的“Policy Controls”,都是对这个问题的回应,但它们还远远不够。

真正的治理,必须是端到端、可审计、可追溯的。它应该覆盖Agent生命周期的每一个环节:

  • 设计阶段:用一个可视化的策略编辑器,定义Agent的“行为宪法”。比如,“此Agent不得生成任何涉及政治、宗教、色情的内容”,“此Agent调用外部API的速率不得超过10次/秒”,“此Agent生成的任何代码,必须通过SonarQube扫描,且严重漏洞数为0”。
  • 部署阶段:策略必须与Agent的YAML定义一起,被签入Git仓库,并通过CI/CD流水线自动验证。任何绕过策略的部署,都应该被流水线直接拒绝。
  • 运行阶段:策略引擎必须是实时的。当Agent试图调用一个未授权的API时,不是事后告警,而是实时拦截,并记录下完整的拦截原因、时间、上下文。
  • 审计阶段:所有策略的变更历史,必须像Git提交记录一样,清晰可查。谁在什么时候,为什么修改了哪条策略,必须一目了然。

Salesforce的Agentforce ARR(年度经常性收入)在2026年Q4达到8亿美元,这个数字背后,是29000个企业客户,他们愿意为Agent付费,不是为“能跑”,而是为“敢用”。他们要的,是一个能走进董事会,指着屏幕说:“各位请看,这是我们Agent的宪法,这是它每天的体检报告,这是它三年来的所有操作记录,它的一切,都在我们的掌控之中。” 这,才是治理的终极形态。

5.3 垂直市场:当Agent变成“行业插件”

运行时层坍缩的最终受益者,不是云厂商,也不是开源社区,而是那些能把Agent封装成垂直行业解决方案的公司。Salesforce的Agentforce,就是最成功的范例。它卖的不是一个“能调用Salesforce API的Agent”,而是“销售开发代理(Sales Development Agent)”、“客户服务代理(Customer Service Agent)”、“销售预测代理(Sales Forecasting Agent)”。每一个,都是一个打包好的、开箱即用的、带着行业Know-How的“插件”。

这些垂直Agent的核心,是领域知识图谱(Domain Knowledge Graph)。一个通用的Agent,知道“客户”是一个实体,它有“姓名”、“邮箱”、“公司”等属性。而一个销售开发Agent,它知道“客户”还关联着“行业细分(FinTech, HealthTech)”、“融资轮次(Series A, B)”、“技术栈(AWS, Azure, GCP)”、“最近的新闻事件(获得新融资、CEO变动)”,并且它知道,对于一个刚完成Series B融资的FinTech公司,最佳的初次接触话术,是围绕“如何用AI降低合规成本”展开,而不是泛泛而谈“提升效率”。

开源社区已经在疯狂孵化这些种子。virattt/ai-hedge-fund项目,就是一个面向对冲基金的Agent,它内置了对SEC(美国证券交易委员会)文件、彭博终端数据、另类数据源(卫星图像、信用卡消费)的解析能力,并能自动生成符合FINRA(美国金融业监管局)披露要求的交易备忘录。vxcontrol/pentagi则是一个攻防一体的网络安全Agent,它不仅能自动扫描你的云环境,还能根据CVE(通用漏洞披露)数据库,生成可执行的、带详细修复步骤的补丁脚本,并一键提交到你的GitOps流水线。

我个人在实际操作中的体会是:未来三年,最值钱的代码,不会是那些炫技的、通用的Agent框架,而是那些深埋在/src/vertical/healthcare/claims_processor.py里的、一行行处理医保编码(ICD-10)、核对保险公司政策、生成拒付申诉信的、枯燥乏味的业务逻辑。因为运行时可以免费,模型可以租用,但把一个行业的百年经验,翻译成机器能懂的语言,这个过程,无法被压缩,也无法被替代。这才是真正的护城河。