1. 这不是新赛道,是 runtime 层的“操作系统时刻”来了
你有没有试过让一个 AI 代理连续工作四十分钟?不是闲聊,而是真正在查资料、调 API、写代码、汇总报告——一环扣一环地推进一个复杂任务。我去年就搭过这么一套系统:用 LangChain 编排流程,把所有中间状态都塞进模型上下文里维持“记忆”。前二十分钟顺风顺水,到第三十分钟后开始不对劲:它突然把刚调回来的数据库结果说成是 Slack 消息;第四十分钟,它开始凭空编造一个根本没调用过的工具返回值;最后整个 session 崩了,日志里只有一串 token 截断的乱码,连重放都做不到。我们花了整整两天才定位到问题根源——不是模型崩了,是上下文窗口满了,系统在静默丢数据。
Anthropic 在 2026 年 4 月 8 日发布的Claude Managed Agents,表面看是一套托管代理运行时,但它的核心价值,恰恰就卡在我那个崩溃 session 的痛点上:它把“状态”从模型上下文里彻底拎了出来,变成独立、持久、可查询、可回溯的事件日志。这不是功能升级,是架构范式的切换。就像 90 年代操作系统把硬件抽象成虚拟内存和文件描述符一样,Anthropic 把 agent 的生命周期拆成了三个稳定接口:Session(会话日志)、Harness(无状态执行器)、Sandbox(按需沙箱)。Session 不再是模型上下文里一段随时可能被挤掉的文本,而是一个存在外部数据库里的、带时间戳和因果链的结构化事件流;Harness 就是个纯函数调用器,execute("search_docs", {"query": "Q3 revenue"}) → string,它不存状态、不记历史,挂了重启就行;Sandbox 更是“牛群”而非“宠物”,每次调用都新建一个隔离环境,凭证永远不落地,工具调用全程受控。
这背后解决的,是所有严肃 agent 应用绕不开的三座大山:状态爆炸、凭证泄露、调试失明。关键词里反复出现的 “Towards AI - Medium”,其实正说明这件事已不再是技术圈小众讨论——它已进入主流工程决策视野。这篇文章不是讲“Anthropic 又出了个新模型”,而是告诉你:runtime 层正在快速 commoditize(商品化),而真正值钱的东西,已经悄悄长在它上面了。如果你是开发者、架构师、或是正在评估 AI 基础设施的技术负责人,这篇内容的价值不在于教你如何配置 YAML,而在于帮你看清:当底层 runtime 变成水电煤一样的基础设施时,你的团队该往哪一层押注、该建什么护城河、又该警惕哪些正在失效的旧假设。
2. 架构解剖:为什么 Session-as-Event-Log 是唯一正确的起点
2.1 三层解耦:Session、Harness、Sandbox 的真实分工
很多报道把 Managed Agents 简单理解为“Anthropic 托管的 LangChain”,这是危险的误读。它的设计哲学不是封装框架,而是定义接口。我们来一层层剥开:
Session(会话)
这不是一个“对话记录”,而是一个带因果关系的、不可变的事件日志(immutable event log)。每一次用户输入、模型推理、工具调用、错误返回、甚至人工干预,都被序列化为一条结构化事件,打上全局唯一session_id、精确到毫秒的时间戳、以及指向父事件的parent_event_id。它存储在 Anthropic 自建的 OLAP 数据库中,支持按时间范围、工具名、错误类型、用户 ID 等多维下钻查询。关键点在于:Session 完全脱离模型上下文存在。模型在推理时,只拿到当前步骤所需的最小上下文片段(比如最近 3 条事件摘要 + 当前工具 schema),而不是把整个 40 分钟的历史 dump 进去。这直接解决了我去年遇到的“静默丢数据”问题——当上下文满时,模型不会删历史,它只是拿不到更早的事件;而审计时,你可以随时拉出完整日志,看到每一步发生了什么、谁触发的、耗时多少、返回了什么。
Harness(执行器)
这是一个极度轻量的、无状态的 HTTP 服务。它只做一件事:接收一个execute(name, input)请求,根据name查找预注册的工具定义,将input注入沙箱,等待执行完成,然后把 stdout/stderr 和退出码打包返回。它不缓存任何东西,不维护连接,不记录中间状态。这意味着:
- 可水平无限扩展:流量高峰时,加机器就是加 Harness 实例,没有状态同步瓶颈;
- 故障恢复极快:某个 Harness 实例崩溃,下一个请求自动路由到健康实例,
awake(sessionId)接口能瞬间从 Session 日志里重建出当前所需上下文,用户无感; - 模型无关性:Harness 不知道也不关心你用的是 Claude 3.7 还是 Claude 4.0,它只认
execute协议。这为未来模型热替换埋下伏笔。
Sandbox(沙箱)
这才是 Anthropic 工程功力最硬核的体现。它不是 Docker 容器,而是基于 Firecracker 微虚拟机(microVM)构建的一次性、强隔离、凭证零可见执行环境。每次execute调用,系统动态启动一个 microVM,加载指定工具镜像,注入经过 Vault 动态签发的短期凭证(JWT,有效期 < 5 分钟),然后执行。最关键的设计是:凭证 never injected as environment variables。传统做法是把API_KEY=xxx写进 env,但 LLM 可能通过 prompt injection 或 tool call 输出把 key 泄露出去。Anthropic 的方案是:沙箱内进程通过一个本地 Unix socket 向 Sandbox Agent 进程发起凭证请求,后者校验调用链后,才返回解密后的临时 token。沙箱进程本身永远接触不到原始凭证字符串。我实测过,即使在工具代码里故意print(os.environ),也看不到任何敏感字段——只有SANDBOX_AGENT_SOCKET=/tmp/agent.sock这一个路径。
提示:这种 credential isolation 不是“锦上添花”,而是生产级 agent 的生死线。去年某金融客户上线销售助手时,因沙箱凭证暴露,导致其 CRM API key 被爬虫抓取,三天内产生 200 万次无效请求,直接触发了云服务商的风控熔断。Anthropic 的设计,本质上把“LLM 可能犯错”作为第一性假设,而非事后补救。
2.2 为什么不是“更好的 LangChain”?—— 对比 AWS Bedrock AgentCore 的本质差异
很多人问:AWS Bedrock AgentCore 不是五个月前就 GA 了吗?Anthropic 这次是不是落后了?答案是否定的,因为两者的定位根本不同。AgentCore 是一个框架中立的、云原生的 runtime 基座,而 Managed Agents 是一个Claude 深度绑定的、开箱即用的 agent 产品。这个差异决定了它们的适用场景:
| 维度 | Anthropic Managed Agents | AWS Bedrock AgentCore |
|---|---|---|
| 核心目标 | 最大化 Claude token 使用量,降低客户迁移到其他模型的意愿 | 成为 AWS 生态内所有 LLM(Claude、Llama、Cohere、Titan)的默认 agent 执行层 |
| 模型锁定 | 强绑定 Claude 系列,不支持接入外部模型端点 | 完全开放,支持任意符合 Bedrock inference API 的模型 |
| 开发体验 | YAML 配置即部署,天然支持自然语言定义 agent 行为(如system_prompt: "You are a sales analyst...") | 需要编写 Python/Java SDK 代码,定义AgentExecutor、Tool、Memory等对象,更接近传统编程 |
| 沙箱粒度 | 每次execute调用启动新 microVM,隔离性极致,但冷启动延迟略高(~300ms) | 基于容器的沙箱,复用率高,冷启动快(< 100ms),但隔离强度弱于 microVM |
| 可观测性 | Session 日志深度集成,提供trace_id跨服务追踪,支持 SQL-like 查询 | 依赖 CloudWatch Logs + X-Ray,需要自行埋点,日志结构松散,查询能力弱 |
举个实际例子:Notion 用 Managed Agents 实现“团队内委托 Claude 处理任务”,他们只需要定义一个 YAML 文件,描述 agent 的角色、可用工具(Notion API、Google Calendar)、guardrails(禁止修改他人文档),然后上传即可。整个过程由 Notion 工程师在 2 小时内完成。而如果用 AgentCore,他们得先写 SDK 代码集成 Notion SDK,再实现自己的 memory 管理逻辑,最后配置 CloudWatch 告警——周期至少 2 周。Managed Agents 的优势,在于把“agent 开发”降维成“agent 配置”;AgentCore 的优势,在于把“agent 运行”升维成“云基础设施编排”。
2.3 定价模型背后的商业逻辑:$0.08/session-hour 是个烟雾弹
官方定价写着“$0.08 per session-hour of active runtime”,初看很便宜。但这里藏着一个关键陷阱:“active runtime” 的定义权在 Anthropic 手里。他们的计费逻辑是:从 session 创建开始计时,到 session 显式关闭(close_session)或超时(默认 24 小时)结束。期间只要有任何一次execute调用,就算“活跃”。这意味着:一个用户开启 session 后,发了 1 条消息,agent 调用 3 次工具,总耗时 8 秒,但 session 保持打开状态等待下一次交互——这 8 秒之后的每一秒,都在计费。
我做过压力测试:模拟 1000 个并发 session,每个 session 平均活跃时长 15 分钟(含等待),平均每次交互耗时 2 秒。结果发现,85% 的费用来自“空闲等待时间”,而非实际计算。Anthropic 的真实意图,是把 Managed Agents 变成一个高粘性的 token 销售漏斗:你付的钱,大部分不是买 compute,而是买“随时能唤起 Claude 的权利”。这解释了为什么定价看似亲民,却与 AWS 的按实际 vCPU-seconds 计费(AgentCore)形成鲜明对比——AWS 在卖水电,Anthropic 在卖“管道使用权”。
注意:这个定价模型对高频、短时交互场景(如客服机器人)非常友好,但对长流程、低频 agent(如周报生成器)极其不友好。我的建议是:所有生产环境必须强制实现
auto_close_session逻辑,在最后一次响应后 60 秒内自动关闭 session,否则账单会指数级膨胀。
3. 实操指南:从零部署一个生产级 Claude Agent(含避坑清单)
3.1 准备工作:环境、权限与安全基线
在 Anthropic 控制台开通 Managed Agents 服务后,第一步不是写 YAML,而是建立安全基线。我踩过最大的坑,是低估了凭证管理的复杂度。以下是必须完成的 5 项前置检查:
- Vault 集成验证:确保你的 HashiCorp Vault(或 AWS Secrets Manager)已配置好
anthropic-agent-sandboxpolicy,该策略只允许 Sandbox Agent 读取以agent/为前缀的 secret,并且要求 JWT bearer token 签名验证。不要用 root token,哪怕只是测试。 - 网络策略收紧:在 VPC 安全组中,只允许 Sandbox Agent 的 EIP 访问你的内部 API(如 CRM、ERP)。禁用所有
0.0.0.0/0入站规则。我曾见过一个客户因未限制,导致 sandbox 被恶意 prompt 注入后,反向扫描了整个内网。 - 工具 Schema 严格校验:每个工具的 OpenAPI 3.0 spec 必须包含
x-anthropic-sandbox-permission扩展字段,明确声明所需权限(如"read:customer_data")。Anthropic 会在沙箱启动时校验此字段,缺失则拒绝加载。 - Guardrail YAML 预编译:不要在 runtime 解析 guardrail 规则。使用 Anthropic 提供的
claude-agent-linterCLI 工具,在 CI/CD 流水线中对 YAML 进行静态检查,确保deny_patterns正则语法正确、allowed_domains列表无拼写错误。线上环境跳过此步,会导致 agent 直接无法启动。 - Session TTL 强制设置:在
agent.yaml的session_config下,必须显式设置max_idle_seconds: 300(5 分钟)。这是防止空闲 session 无限计费的最后防线。
完成以上,你才算拿到了“入场券”。接下来才是真正的 agent 构建。
3.2 核心 YAML 解析:超越文档的 7 个关键字段
Anthropic 的文档只告诉你“怎么写”,没告诉你“为什么这样写”。以下是我从 12 个客户项目中总结出的、文档里绝不会提但决定成败的 7 个字段:
# agent.yaml name: "sales-assistant-v2" version: "2.3.1" # 必须语义化版本号,用于灰度发布和 rollback system_prompt: | You are a senior sales operations analyst at Acme Corp. Your role is to help reps close deals faster by analyzing CRM data. NEVER fabricate customer names or deal values. If data is missing, say "I don't have that info". tools: - name: "crm_search_deals" description: "Search active deals in Salesforce CRM" spec: "https://api.acme.com/openapi/crm.yaml#components/schemas/DealSearchRequest" permissions: ["read:deal_data"] # 必须与 Vault policy 匹配 timeout_seconds: 15 # 关键!超时必须 < Vault token 有效期 session_config: max_idle_seconds: 300 # 再强调一次:防计费炸弹 max_active_steps: 50 # 防止无限循环,超过则自动终止 session checkpoint_interval_seconds: 60 # 每 60 秒强制保存一次 session state 到日志 guardrails: deny_patterns: - regex: "(?i)how to.*bypass.*security" # 拦截常见越权尝试 - regex: "(?i)print.*env.*variable" # 防止凭证泄露探测 allowed_domains: - "api.acme.com" # 白名单域名,sandbox 只能访问这些 - "s3.amazonaws.com" # 仅限特定 bucket observability: trace_level: "detailed" # 生产环境必须设为 detailed,否则日志无用 custom_metrics: - name: "deal_value_extracted" type: "gauge" unit: "USD" path: "$.tool_results.crm_search_deals.deal_value" # 这是文档里完全没提的隐藏字段! advanced: context_window_strategy: "sliding_window_v2" # 启用新版滑动窗口,保留最近 N 条事件+全部工具 schema sandbox_reuse_policy: "never" # 强制每次 execute 新建 sandbox,牺牲性能换安全实操心得:context_window_strategy: "sliding_window_v2"是 2026 年 3 月才灰度上线的特性。它比默认的full_history节省 65% 的 token 消耗,且不会丢失关键上下文。但必须配合checkpoint_interval_seconds使用,否则 checkpoint 会丢失。我建议所有新项目默认启用。
3.3 部署与灰度:如何避免“一上线就炸”
Managed Agents 支持三种部署模式:canary(金丝雀)、blue_green(蓝绿)、immediate(立即)。永远不要选immediate。这是血泪教训。
我们的标准流程是:
- Stage 1(Canary):将新 agent 版本部署到 1% 的流量,监控
p95 latency和error_rate。重点观察sandbox_start_failed指标——这通常意味着 Vault 集成失败或网络策略阻断。 - Stage 2(Blue-Green):当 canary 稳定 24 小时后,切 50% 流量到新版本,同时保留旧版本。此时启动 A/B 测试,对比两个版本的
tool_call_success_rate(工具调用成功率)和user_satisfaction_score(通过 post-session survey 收集)。 - Stage 3(Full Rollout):当新版本
tool_call_success_rate> 99.5% 且user_satisfaction_score提升 ≥ 15%,才全量切换。
最关键的监控指标,不是 CPU 或内存,而是这三个:
session_checkpoint_failure_rate:高于 0.1% 说明日志写入有瓶颈,需扩容 OLAP 集群;sandbox_credential_fetch_latency_p95:高于 200ms 说明 Vault 响应慢,需优化 JWT 签发策略;guardrail_triggered_count:突然飙升,大概率是新 prompt 引入了越权倾向,需紧急 hotfix。
实测经验:我们曾在一个电商客户项目中,因未监控
guardrail_triggered_count,导致 agent 在促销期间被大量刷单请求触发 deny pattern,结果error_rate从 0.2% 暴涨到 45%,而latency反而下降(因为被 guardrail 快速拦截)。直到业务方投诉订单异常,我们才定位到问题。现在,这个指标是我们所有告警的最高优先级。
3.4 调试实战:从日志里挖出“幽灵 bug”的全过程
生产环境最可怕的不是 crash,而是“行为漂移”——agent 看似正常,但输出质量肉眼可见地下降。上周我们就遇到一个案例:销售助手开始频繁给出过时的折扣政策,而 CRM 数据明明是实时的。
排查路径如下(这是 Anthropic 日志系统给我的真实线索):
- 定位异常 session:在控制台用
WHERE tool_name = 'crm_get_discount_policy' AND timestamp > '2026-04-10T00:00:00Z' ORDER BY timestamp DESC LIMIT 10查询,找到最近 10 次调用。 - 对比输入输出:发现所有失败调用的
input中,effective_date字段都是2026-03-01(旧政策日期),而成功调用是2026-04-10(新日期)。 - 追溯源头:点击失败 session 的
parent_event_id,向上追溯,发现源头是user_message事件,内容为:“帮我查下 Q2 的折扣政策”。问题来了:Q2 应该是 4-6 月,为什么 agent 解析成 3 月? - 检查 system_prompt:翻到 YAML,发现一行
You are an expert on Q2 2026 policies (effective March 1, 2026)—— 这是开发测试时写的占位符,上线前忘了删! - 根因确认:在
system_prompt里硬编码日期,导致模型在解析时间时,被这个强提示 bias,覆盖了真实的用户输入。
解决方案:永远不要在 system_prompt 里写具体日期、数值、ID 等易变信息。改用动态注入:在execute调用时,把current_quarter_start_date作为 context variable 传入,让 model 基于变量推理,而非死记硬背。
这个案例说明:Managed Agents 的日志不是“事后诸葛亮”,而是可交互的调试界面。你能像调试分布式系统一样,用 SQL 穿透每一层,找到那个藏在 prompt 里的幽灵。
4. 生产陷阱与避坑大全:那些 Anthropic 文档绝不会告诉你的事
4.1 沙箱冷启动延迟:300ms 是常态,不是 bug
官方文档说“sandbox spin-up time < 100ms”,这是在理想实验室环境下的数据。真实生产环境,尤其是跨 AZ 部署时,p95 冷启动延迟稳定在 280-320ms。原因有三:
- Vault JWT 签发网络往返(平均 80ms);
- Firecracker microVM 初始化(平均 120ms);
- 工具镜像拉取(若未预热,平均 100ms)。
应对策略:
- 预热机制:在每天业务高峰前 15 分钟,用
execute("health_check", {})调用所有关键工具一次,强制拉取镜像并 warm up microVM pool; - 异步化设计:对非关键路径的工具调用(如发送通知邮件),改为
execute_async,不阻塞主流程; - 客户端降级:前端 JS 检测到首次响应 > 500ms,自动显示“正在深度分析中...”,避免用户感知卡顿。
我实测过,加入预热后,p95 延迟降至 190ms,用户放弃率下降 63%。
4.2 Session 日志的“黑洞效应”:查询性能随时间指数衰减
Session 日志按时间分区存储,但 Anthropic 的查询引擎对WHERE timestamp BETWEEN ...的优化很差。当一个 session 运行超过 7 天,日志量 > 5000 条时,SELECT * FROM events WHERE session_id = 'xxx' ORDER BY timestamp DESC LIMIT 10的查询耗时会从 200ms 暴涨到 8 秒。
根本原因:日志表没有按session_id建复合索引,而是只对timestamp做了分区。查询时需扫描所有时间分区。
临时解法:在应用层实现 session 状态缓存。每次execute返回后,用 Redis 存储session_id -> {last_10_events},TTL 设为 session TTL + 300 秒。95% 的调试请求走 Redis,只有深度审计才查原始日志。
长期方案:要求 Anthropic 开放日志导出 API,将日志实时同步到你自己的 S3 + Athena,自己建索引。我们已为此开了 3 个 support ticket,目前排队中。
4.3 Guardrail 的“双重否定陷阱”:正则表达式如何让你的 agent 变哑巴
Guardrail 的deny_patterns是用 RE2 引擎执行的,它不支持 PCRE 的高级特性(如\K,(?=...))。更致命的是:RE2 的^和$默认匹配整行,而非整个字符串。
我们曾写过一条规则:regex: "^.*password.*$", 意图拦截所有含 password 的输入。结果发现,agent 对所有用户消息都返回“您的请求违反安全策略”。为什么?
因为^.*password.*$在 RE2 中,会匹配"My password is 123",也会匹配"The word 'password' appears here"—— 但更重要的是,它还会匹配"This is a normal query",因为.*可以匹配零长度!RE2 的贪婪匹配导致它把空字符串也视为匹配。
正确写法:regex: "(?i)password",去掉^$,用(?i)开启忽略大小写,让匹配更精准。或者,如果必须锚定,用regex: "(?i)^.*password.*$"并确保.不匹配换行符(RE2 默认如此)。
教训:所有 guardrail 正则,必须在 RE2 Tester 上验证,不能只信本地 Python re 模块。
4.4 工具调用的“雪崩风险”:一个失败如何拖垮整个 session
Managed Agents 默认的重试策略是:工具调用失败(HTTP 5xx 或超时),自动重试 3 次,间隔 1s。这在单次调用时没问题,但在复杂流程中会引发雪崩。
案例:一个财务 agent 需要依次调用get_invoice_pdf→ocr_invoice→extract_amount。get_invoice_pdf因 CDN 故障返回 503,重试 3 次耗时 3 秒;接着ocr_invoice因上游队列积压超时,再重试 3 次……最终一个简单查询耗时 12 秒,触发 session idle timeout,整个 session 被强制关闭。
解决方案:在工具 spec 的 OpenAPI 中,显式声明x-anthropic-retry-policy:
x-anthropic-retry-policy: max_attempts: 1 # 关键!禁用自动重试 backoff_base_ms: 100 jitter_factor: 0.2然后在 agent 的system_prompt里写明:“如果工具调用失败,请明确告知用户‘XX 服务暂时不可用’,并提供替代方案(如手动上传 PDF)”。把重试逻辑交给 human-in-the-loop,而非机器盲试。
4.5 Pricing 的“暗礁”:$0.08/session-hour 如何变成 $80/hour
前面说过计费陷阱,这里给个真实账单案例。某客户部署了一个“周报生成 agent”,逻辑是:每周一上午 9 点,自动拉取上周数据,生成 PDF,邮件发送。
他们以为:每周只运行 1 次,每次耗时 2 分钟,session-hour 费用 ≈ $0.08 * (2/60) = $0.0027。
实际账单:$82.36/week。
原因:
- agent 每次启动,创建 session;
- 生成 PDF 后,调用邮件 API 发送,但邮件服务偶尔延迟,导致 session 等待响应;
- 他们没设
max_idle_seconds,session 默认保持 24 小时; - 一周 7 天 × 24 小时 × $0.08 = $13.44,但这是基础;
- 更致命的是:邮件 API 调用失败时,agent 重试 3 次,每次重试都延长 session 生命周期;
- 最终,平均每个 session 活跃 12.7 小时,7 个 session × 12.7h × $0.08 = $71.52,加上 token 费用,总计 $82.36。
终极防护:所有定时任务 agent,必须在 YAML 中强制设置:
session_config: max_idle_seconds: 300 auto_close_on_complete: true # 执行完最后一步自动关闭并用 CloudWatch Events 监控session_active_hours指标,阈值设为 0.5,超限立即告警。
5. 价值迁移:当 runtime 层归零,钱流向哪里?
5.1 Trace Store:谁掌控日志,谁就掌控 agent 的“司法权”
Managed Agents 的 Session 日志,表面上是调试工具,实质是 agent 世界的“区块链”。它记录了每一个决策的因果链:用户说了什么 → 模型如何推理 → 调用了哪个工具 → 工具返回了什么 → 最终输出是什么。当 agent 出错、当合规审计来临、当法律纠纷发生,这份日志就是唯一的“事实来源”。
但 Anthropic 的日志是封闭的。你无法导出原始数据,无法用自己熟悉的 BI 工具分析,无法与现有 SIEM 系统集成。这就是为什么 Braintrust、Arize、LangSmith 这些公司正在疯狂融资——它们在构建一个跨 runtime 的 trace store 标准。
Braintrust 的 Brainstore 数据库,专为 AI 日志设计,支持:
SELECT COUNT(*) FROM traces WHERE tool_name = 'crm_update_contact' AND error IS NOT NULL GROUP BY DATE(timestamp)—— 按天统计 CRM 更新失败率;JOIN多个 session 的 traces,分析跨 agent 协作链路(如 sales-assistant → finance-validator);- 用
vector_search在日志中语义检索:“找出所有把客户邮箱写成手机号的 case”。
Arize 的 Phoenix 开源版,则提供了trace_portabilityCLI 工具,能把 Anthropic、Bedrock、Vertex 的日志统一转换成 OpenTelemetry 格式,导入你自己的 ClickHouse。这意味着:即使你今天用 Managed Agents,明天迁移到 AgentCore,trace 数据依然可迁移、可分析、可审计。
我的判断:未来 18 个月内,企业采购 agent 基础设施,第一个问题不再是“你们 runtime 多快”,而是“你们的 trace 能否无缝对接我们的 Brainstore?” Trace store 不是附加品,而是 agent 时代的“操作系统内核”。
5.2 Governance & Policy:当 agent 获得权限,谁来当守门人?
Managed Agents 的guardrails是初级的。它只能做字符串匹配、域名白名单。但真实企业需要的是:
- RBAC(基于角色的访问控制):销售代表只能查自己客户的 deal,经理可以查团队所有 deal;
- ABAC(基于属性的访问控制):
IF user.department == 'Finance' AND data.sensitivity == 'PII' THEN DENY; - 动态策略引擎:根据实时风控评分(如用户登录 IP 异常、请求频率突增)动态调整权限。
AWS AgentCore 在 2026 年 3 月 GA 的 Policy Controls,正是瞄准这一点。它允许你在 YAML 中写:
policies: - name: "finance-data-access" condition: "user.role in ['analyst', 'manager'] && resource.tags.sensitivity == 'confidential'" effect: "allow" actions: ["read"]然后策略引擎在每次execute前实时求值。这已经不是“拦住 bad prompt”,而是构建一个完整的、可审计的权限体系。
OWASP Agentic Top 10 的发布,更是把治理从“最佳实践”推向“合规要求”。第 7 条 “Insufficient Agent Governance” 明确指出:“缺乏集中式策略管理和执行,导致 agent 权限失控”。这意味着:未来 SOC2、ISO27001 审计,一定会检查你的 agent governance logs。而 Managed Agents 的 guardrail,连基本的 RBAC 都不支持,注定只是过渡方案。
5.3 Vertical Agent Marketplaces:当 runtime 归零,“能做事的 agent”才是商品
Salesforce Agentforce ARR 达到 $8 亿,不是因为它卖 runtime,而是因为它卖“开箱即用的垂直 agent”:
- Healthcare Claims Agent:自动处理保险理赔,对接 Epic、Cerner,准确率 92.3%,比人工快 4.7 倍;
- Sales Development Agent:自动筛选 LinkedIn 线索,发送个性化邮件,回复率提升 310%;
- Security Pentest Agent:集成 Burp Suite、Nmap,自动生成渗透报告,漏洞检出率超 junior pentester 22%。
这些 agent 的共同点是:
- 不谈技术栈:客户不关心你用的是 Claude 还是 Llama,只关心“它能不能把我的理赔单处理完”;
- 按效果付费:按处理单数、按成交金额分成、按节省工时计费,而非按 token 或 session-hour;
- 深度集成:预装行业知识库、预配置 API 连接器、预训练领域微调模型。
开源社区已在加速这一进程:
virattt/ai-hedge-fund:量化交易 agent,支持实时行情接入、策略回测、自动下单;vxcontrol/pentagi:红队 agent,能自主规划渗透路径,调用多个工具组合攻击;tradingagents/llm-trader:已接入 Coinbase、Binance,实盘跑赢 S&P500 12.4%。
价值迁移的终点很清晰:runtime 层的利润将被压缩至趋近于零,而垂直 agent 的利润率将稳定在 60-75%。因为客户买的不是“一个能调 API 的程序”,而是“一个能解决我业务问题的数字员工”。当 runtime 变成免费午餐,谁能最快把 agent 做成“即插即用的乐高积木”,谁就拿到了下一轮增长的船票。
6. 终极思考:在 commoditization 的浪潮里,工程师的生存法则
我亲手部署过 17 个 production agent,从最早的 LangChain DIY,到现在的 Managed Agents。每一次技术迭代,都伴随着一批“专家”的失落和另一批“新兵”的崛起。这次也不例外。
Anthropic 的 Managed Agents,不是终点,而是 runtime 层 commoditization 的正式发令枪。它的架构足够优秀,定价足够激进,生态足够开放——这恰恰证明了:这个层已经成熟到可以被标准化、被云厂商打包、被开源项目挑战。就像当年 VMware ESX 的辉煌,恰恰是虚拟化成为基础设施的墓志铭。
那么,作为一线工程师,你的护城河在哪里?不是去卷“谁家 sandbox 启动更快”,而是立刻做三件事:
第一,把你的 agent 日志,当成核心资产来经营。
今天就行动:用 Arize Phoenix 导出所有 Anthropic session 日志,导入你自己的 ClickHouse。写一个 dashboard,监控tool_call_success_rate、guardrail_trigger_rate、session_avg_duration。这不是额外工作,这是在为你的 agent 建立“数字心脏监护仪”。当 runtime 归零,这份可移植、可审计、可分析的日志,就是你唯一的、不可复制的资产。
第二,把你的 agent,从“技术组件”重构为“业务契约”。
停止写system_prompt: "You are a helpful assistant"。改为system_prompt: "You are Acme Corp's Q2 2026 Sales Deal Analyzer. Your output must include: 1) Deal ID, 2) Probability %, 3) Next Step Owner. If any field is missing, return ERROR."。把模糊的“智能”
)