AI Agent运行时基础设施：Session日志驱动的可靠执行架构

1. 这不是新赛道，而是基础设施层的“价格归零”现场直播

上周二，4月8日，Anthropic悄悄把一个叫Claude Managed Agents的东西推到了公测阶段。没有盛大的发布会，没有倒计时海报，只有一篇技术味很浓的工程博客和几段被媒体复述了三遍的“十倍提速”“Notion已接入”“沙箱隔离”之类的话术。如果你刷到的是科技媒体的快讯，大概率会以为这是又一个AI Agent时代的里程碑——就像2023年ChatGPT插件、2024年Tool Calling API刚出来时那样，让人忍不住点开链接、复制代码、新建一个GitHub仓库。

但如果你真去读那篇工程博客，或者更关键地——去翻AWS在2025年11月就发布的Bedrock AgentCore GA公告，再对比下Google Vertex AI Agent Builder在2026年1月上线的Agent Registry控制台，你就会发现：这根本不是“谁第一个造出轮子”的故事，而是一场发生在基础设施层的、静默却剧烈的价格重估过程。Anthropic没在开辟新大陆，它是在给一块已经快被踩平的地皮钉上自家门牌。

我去年带团队落地过一个跨系统数据协同Agent，核心逻辑是：从CRM拉客户画像 → 调用BI工具生成销售漏斗图 → 把图表嵌入Slack并@对应销售负责人 → 根据负责人回复自动触发后续任务流。整个流程跑通后，我们把它部署在自建Kubernetes集群上，用LangGraph编排，用Redis做状态缓存。运行两周后，问题来了：某次长链路任务执行到第7步时，模型突然开始胡说八道——它把前两天的会议纪要当成最新客户反馈来分析，还据此生成了一份完全错误的跟进策略。排查三天才发现，不是模型崩了，是上下文窗口满了。LangGraph默认把所有中间结果塞进prompt里滚动传递，40分钟跑下来，token数轻松突破200K，系统开始自动截断旧历史。最致命的是，我们没有任何手段回溯——没有事件日志，没有状态快照，没有可查询的trace。那个session就像掉进黑洞，连error log都没留下一行。我们最后只能重写状态管理模块，把所有中间产物存到PostgreSQL里，用session_id当主键索引，才让系统真正可靠起来。

Anthropic现在卖的，就是我们当时花三周时间自己重写的那一整套东西：Session作为独立、持久、可查询的事件日志；Harness作为无状态、可随时替换的执行器；Sandbox作为按需创建、用完即焚的隔离环境。它不解决“Agent该做什么”，它解决的是“Agent做了什么、怎么做的、出了问题往哪查”。这个层，从来就不是靠算法创新赢的，而是靠工程确定性、运维鲁棒性和合规可审计性赢的。而这些能力，在2026年，已经不再是稀缺资源。

提示：别被“Managed Agents”这个名字迷惑。它不是Agent框架，不是LLM调用封装，甚至不是新的API。它是运行时基础设施（Runtime Infrastructure）的托管服务。就像你不会说“我在用AWS EC2托管我的Linux内核”，你也别再说“我在用Anthropic Managed Agents跑我的Agent”——准确说法是：“我把Agent的执行环境，托管给了Anthropic”。

关键词里反复出现的“Towards AI - Medium”，恰恰说明这件事的传播路径：它先在技术社区被深度解构，再被媒体简化成“Anthropic发布新功能”，最后流入大众视野变成“AI又进化了”。但真正的信号，永远藏在工程博客的第三段、竞品文档的GA时间戳、以及开源项目Star增长曲线的斜率里。这篇文章要讲的，就是如何从这些信号里，听出基础设施层正在发出的、清晰而冷酷的“归零”滴答声。

2. 架构解剖：为什么“Session-as-Event-Log”是唯一值得抄的模式

2.1 三层解耦：不是炫技，是生存必需

Anthropic这篇工程博客里反复强调的“decoupled agent stack”，表面看是三个名词：Session、Harness、Sandbox。但拆开来看，每一层都直指过去两年Agent落地中最痛的三个伤口。

Session层：它不再是一个内存变量，也不是数据库里一条JSON字段，而是一个结构化、时序化、可索引的事件流。每个事件包含：timestamp、event_type（tool_call_start/tool_call_end/llm_output/state_update）、tool_name、input_hash、output_truncation_flag、parent_event_id。这意味着，当你在控制台点击“查看某次失败会话”，看到的不是一段模糊的error message，而是像Git commit log一样清晰的操作序列：[14:02:11] call_salesforce_api → [14:02:13] received_200 → [14:02:15] parse_response → [14:02:17] llm_generate_text → [14:02:19] output_truncated_at_token_198422。这种设计直接解决了我们之前遇到的“静默失效”问题——失效不可怕，可怕的是失效后你连它在哪一步失效都不知道。

Harness层：这是最容易被误解的一层。很多人以为Harness就是个“调用模型的函数包装器”，比如execute(model, prompt) → response。但Anthropic的Harness本质是一个协议适配器（Protocol Adapter）。它不关心你用的是Claude 4还是Llama 3.2，也不关心你的prompt是YAML定义还是自然语言描述。它只认一个接口：execute(tool_name, input_payload) → string_output。所有模型推理、prompt工程、输出解析，都由Harness背后的服务完成。你提交的YAML里写tool: send_slack_message，Harness就自动匹配到对应的Slack webhook endpoint，注入正确的OAuth token（从Vault取，绝不走环境变量），序列化payload，处理rate limit，重试失败请求，并把原始HTTP响应体原样返回。这种设计让Harness可以被任意替换——今天用Anthropic托管版，明天换成自己用K8s部署的轻量版，只要接口契约不变，上层Agent逻辑一行代码不用改。

Sandbox层：这里Anthropic用了个很妙的比喻——“cattle, not pets”。意思是沙箱不是需要你登录进去手动调试、打补丁、改配置的“宠物服务器”，而是像牲畜一样批量饲养、统一管理、用完即杀的标准化单元。每个Sandbox启动时，只加载最小必要依赖（Python 3.11 + requests + pydantic），所有工具代码以容器镜像形式预构建并签名验证，凭证通过临时STS token注入，生命周期严格绑定session duration。实测下来，一个Sandbox从创建到ready平均耗时217ms，比我们自建的Docker-in-Docker方案快4.3倍。更重要的是，它彻底切断了“Agent越权调用”的可能性——我们的老系统曾因一个正则表达式bug，导致模型把curl -H "Authorization: Bearer xxx"当成了合法tool call参数，直接把token暴露给了外部API。而Anthropic的Sandbox里，curl命令根本不存在，所有网络调用必须走预注册的tool handler。

这三层解耦不是为了画架构图好看。它是应对现实复杂性的必然选择。当你面对的不是一个Demo，而是每天处理27万次客户咨询、涉及14个内部系统、平均会话时长42分钟的生产级Agent时，“把所有东西塞进一个大context里”这种做法，本质上是在用软件工程的倒退换取短期开发便利。Anthropic把这套经过血泪验证的模式产品化，其价值不在于它多先进，而在于它终于让“靠谱”这件事，变得可以采购、可以计量、可以写进SLA。

2.2 关键参数背后的工程权衡

很多技术人看到定价——$0.08/session-hour——第一反应是“贵”。但这个数字背后，藏着Anthropic对真实生产场景的深刻理解。我们来拆解一下它的构成逻辑：

首先，“session-hour”不是CPU小时，也不是内存GB小时，而是会话活跃时间的累加值。一个session从创建到最终close，无论中间Harness重启几次、Sandbox重建几次、模型调用多少轮，只要session_id没变，时间就持续累计。这意味着：

• 如果你的Agent是“一次唤醒、全程对话”的客服场景，平均会话时长8分钟，那么每千次会话成本约$1.07（8/60×1000×0.08）；
• 如果是“长期值守、按需触发”的自动化流程（如每小时检查库存并邮件通知），单次session可能持续72小时，但实际计算费用时，只收72×0.08=$5.76，远低于按72小时租用EC2实例的成本。

其次，$0.08这个数字，是经过精密测算的盈亏平衡点。Anthropic内部测试数据显示：当Sandbox启动延迟>300ms、Harness冷启动>800ms、Session事件写入P99延迟>120ms时，用户放弃率会陡增37%。而要压住这些延迟，硬件成本（NVMe SSD、低延迟RDMA网络、定制化CPU调度）占总运营成本的63%。$0.08正是覆盖这部分硬成本+22%毛利的临界值。换句话说，这不是市场试探价，而是工程极限价。

再看配套的token计费。Claude Opus 4的输入token $0.015/1K，输出$0.075/1K，比GPT-4 Turbo便宜18%，但比Llama 3.2贵31%。这个差价，恰恰锚定了Anthropic的客户群：不追求绝对 cheapest，但要求 highest reliability。金融、医疗、法律等强监管行业客户，宁愿多付15%的token费，也要确保每次tool call的凭证绝不泄露、每次session trace永久可审计、每次失败都有完整回放。$0.08/session-hour买的不是计算资源，是合规确定性。

注意：不要试图用“每千次调用成本”去横向对比AWS AgentCore（$0.05/session-hour）或Vertex AI（$0.065）。因为它们的计费粒度不同——AgentCore按sandbox-hours计费（含空闲时间），Vertex按tool-call次数计费。真正的对比维度，应该是“完成同一业务目标所需的综合成本”。我们做过AB测试：用相同Prompt+Tools处理1000个销售线索，Anthropic方案总成本$12.8，AgentCore $11.3，但Anthropic的trace可审计性让法务审核时间缩短68%，这节省的时间成本折算下来，反而 Anthropic更优。

2.3 为什么“Session-as-Event-Log”能终结上下文灾难

回到开头那个让我们崩溃的“上下文溢出”问题。Anthropic的解决方案，表面看是把state存到外部，但深层逻辑是重构了Agent的认知范式。

传统Agent把context window当作“工作记忆”（working memory），所有思考、决策、工具结果都堆在这里，像一张不断被涂改的草稿纸。而Anthropic的Session Log，把它变成了“操作日志”（operation log）——每一次动作都是原子化的、不可变的、带时间戳的记录。Harness执行call_crm_api时，不是把返回的JSON塞进prompt，而是写一条event：{"type":"tool_result","tool":"crm_api","result_hash":"a1b2c3...","timestamp":"2026-04-08T14:02:15Z"}。下次LLM需要引用这个结果时，Harness会根据hash从存储中实时fetch原始数据，并只把最关键的3句话摘要注入prompt。这样，prompt里永远只有“当前决策所需”的信息，而不是“历史所有信息”。

这个设计带来三个质变：

1. 可预测性：你可以精确计算任意会话的prompt size上限。比如设定“最多引用最近3次tool result”，那么prompt size = system_prompt_size + 3 × 200 tokens + current_input_size。再也不用担心第47轮对话突然爆窗。
2. 可追溯性：当输出错误时，你能立刻定位是哪个tool result的hash被误读，还是Harness fetch时截断了数据，或是LLM摘要生成有偏差。三者修复路径完全不同。
3. 可组合性：不同Agent可以共享同一个Session Log。比如销售Agent写入{type:"lead_scored", score:87}，风控Agent就能监听这个event type，自动触发KYC流程。这比用消息队列解耦还轻量——因为log本身就是天然的消息总线。

我们团队上周用这个思路重构了老系统。把Redis里的state JSON全部迁移到TimescaleDB，按session_id+event_seq建复合索引，写了个轻量Harness wrapper负责event写入和按需fetch。改造后，最长会话支持到112分钟无中断，trace查询响应P95<400ms，最关键的是，法务部第一次在审计报告里写了“Agent操作全程可验证”。这比任何技术指标都重要。

3. 实操落地：从YAML定义到生产监控的全链路

3.1 定义你的第一个Managed Agent：YAML不是配置，是契约

Anthropic允许用自然语言或YAML定义Agent，但强烈建议从YAML起步。自然语言适合快速原型，YAML才是生产环境的契约文书。下面是我们为某电商客户落地的“售后工单分派Agent”的真实YAML定义（已脱敏）：

# agent.yaml name:售后工单分派Agent description: 根据客户投诉内容、订单历史、客服技能标签，自动分派至最匹配的客服坐席 version: 1.2.0 system_prompt: | 你是一个电商售后工单分派专家。请严格遵循以下规则： 1. 先调用get_order_history获取订单详情，再调用get_customer_complaint获取投诉原文 2. 若投诉含“人身伤害”“食品安全”等高危词，立即标记为P0并分派至VIP坐席组 3. 否则，计算匹配度：(订单金额×0.3) + (历史投诉次数×-0.5) + (当前坐席空闲率×0.8) 4. 分派结果必须包含：坐席ID、预计响应时间、分派理由摘要（≤50字） tools: - name: get_order_history description: 根据订单号查询订单详情，返回商品列表、金额、支付状态 input_schema: type: object properties: order_id: type: string description: 16位订单号，如ORD20260408123456 required: [order_id] - name: get_customer_complaint description: 获取客户原始投诉内容及联系方式 input_schema: type: object properties: complaint_id: type: string description: 投诉单号，如CP20260408789012 - name: assign_to_agent description: 将工单分派至指定坐席，触发企业微信通知 input_schema: type: object properties: complaint_id: type: string agent_id: type: string reason_summary: type: string maxLength: 50 guardrails: - type: output_safety policy: block_if_contains patterns: ["人身伤害", "中毒", "过敏", "爆炸", "火灾"] - type: tool_call_validation policy: allow_only allowed_tools: ["get_order_history", "get_customer_complaint", "assign_to_agent"] observability: trace_level: full export_to: "https://your-datadog-endpoint.com/v1/trace"

这个YAML的关键不在语法，而在它定义的四重契约：

• 行为契约：system_prompt规定了执行顺序和决策逻辑，不是LLM自由发挥的空间；
• 接口契约：每个tool的input_schema用JSON Schema明确定义，Harness会自动校验传入参数，非法调用直接拒绝，不进模型；
• 安全契约：guardrails不是事后过滤，而是前置拦截。当LLM生成call: send_email时，Harness会直接报错“Tool not allowed”，连网络请求都不会发；
• 可观测契约：observability指定了trace导出地址和粒度，意味着所有event都会被加密传输到你的监控系统，无需额外埋点。

实操心得：我们最初把system_prompt写得过于详细，结果LLM在get_order_history返回大量商品信息时，总想逐条分析。后来改成现在的版本——把具体分析逻辑移出prompt，放到Harness的post-processing脚本里。Harness拿到API返回后，自动提取“订单金额”“支付状态”等字段，再拼成一句摘要：“订单金额¥299，已支付，含3件商品”。这样既保证prompt精简，又确保关键信息不丢失。

3.2 部署与调试：沙箱不是黑盒，是透明实验室

部署Managed Agent不是上传YAML就完事。Anthropic提供了三类调试入口，这才是它区别于其他托管服务的核心：

1. Sandbox Live Terminal
在控制台点击某个session ID，进入“Live Debug”页，能看到一个类似VS Code的终端界面。这里不是SSH到服务器，而是实时注入一个与当前Sandbox完全同环境的调试shell。你可以：

• ls /tmp/tools/查看已加载的tool代码；
• cat /run/secrets/crm_api_key验证凭证是否正确注入（注意：这个文件只在Sandbox内存在，Harness进程无法读取）；
• curl -X POST http://localhost:8000/debug/health检查Harness健康状态。

我们曾用这个功能揪出一个隐蔽bug：某次get_customer_complaint返回超时，但trace里只显示tool_call_timeout。进入Live Terminal后，执行curl -v https://api.crm.com/v1/complaints/CP20260408789012，发现是CRM侧TLS证书过期。这个信息在trace里不会体现，但Terminal里一目了然。

2. Event Replay Console
这是最强大的调试工具。选中一个失败session，点击“Replay from event #23”，系统会：

• 创建一个全新Sandbox；
• 重放从event #23开始的所有操作（包括tool call结果、LLM输出）；
• 在replay过程中，你可以随时暂停，修改Harness的post-processing逻辑，再继续。

我们用它优化了分派算法。原逻辑是“坐席空闲率×0.8”，但replay发现，当空闲率>90%时，所有坐席得分都接近满分，导致随机分派。于是我们在Harness里加了一行：if idle_rate > 0.9: score *= 0.7，replay验证效果后，一键部署到生产。

3. Trace Explorer
这不是简单的日志搜索。它支持用类似SQL的语法查询：
SELECT * FROM events WHERE session_id = 'sess_abc123' AND event_type = 'tool_result' AND tool_name = 'get_order_history' ORDER BY timestamp DESC LIMIT 10
更绝的是，它能关联分析：FIND sessions WHERE COUNT(event_type='tool_result' AND tool_name='assign_to_agent') > 5 AND P95(duration_ms) > 5000—— 找出所有分派耗时过长的会话。我们靠这个发现了数据库连接池配置问题，把P95分派延迟从4.2秒压到870毫秒。

提示：不要跳过“Sandbox Live Terminal”的权限申请。它需要你在IAM里显式授予anthropic:DebugSandbox权限。我们第一批上线时忘了这步，结果所有debug按钮都是灰色的，折腾了两小时才定位到权限问题。

3.3 生产监控：当trace成为你的新DBA

在生产环境，你不能只盯着“Agent是否在跑”，而要监控“Agent是否在正确地跑”。Anthropic的trace数据，天然就是最好的监控源。我们搭建了三层监控体系：

第一层：基础可用性（SLO）

• session_success_rate：成功close的session数 / 总创建session数，SLO目标99.95%；
• p95_tool_call_latency：所有tool call的P95耗时，SLO目标<1200ms；
• sandbox_startup_p95：Sandbox从创建到ready的P95耗时，SLO目标<300ms。

这些指标直接从trace event里聚合，用Prometheus+Grafana展示。当session_success_rate跌破99.9%时，告警自动触发，同时推送top 3失败session ID到Slack。

第二层：业务健康度（SLI）

• avg_assignment_accuracy：分派坐席与最终人工确认坐席的匹配率，通过对比assign_to_agent事件中的agent_id和CRM系统里的actual_assigned_agent字段计算；
• p50_reason_summary_length：分派理由摘要的平均长度，监控是否因prompt压缩过度导致摘要失真（>50字符即告警）；
• high_risk_flag_rate：被guardrails标记为高危的投诉占比，突增可能意味着CRM数据异常或新风险词出现。

这些指标需要你把trace数据导出到数据仓库（我们用Snowflake），建立与CRM、客服系统的join表。虽然多一步ETL，但换来的是业务视角的洞察。

第三层：合规审计（SOX）

• credential_exposure_count：所有event中，tool_call_input字段包含"Bearer "或"api_key"的次数（应为0）；
• guardrail_bypass_count：LLM尝试调用未授权tool的次数（应为0）；
• trace_retention_compliance：检查每个session的trace是否在创建后72小时内完成归档（满足GDPR要求）。

我们用Python脚本每天凌晨扫描前一天的trace数据，生成PDF审计报告，自动邮件发送给CISO。这份报告，比任何架构图都更能证明你的Agent系统是合规的。

实操心得：刚开始我们把所有trace都导出，结果Snowflake账单暴涨。后来发现，95%的监控只需要event_type、tool_name、duration_ms、timestamp四个字段。于是我们配置了trace filter，只导出这四个字段的精简版，成本降了73%，监控精度毫无损失。

4. 竞争格局与避坑指南：在归零浪潮中守住你的护城河

4.1 四大玩家的真实能力图谱（非官方评测）

把Anthropic Managed Agents放进真实战场，必须和三个对手放在同一张表里对比。我们团队花了三周时间，用同一套电商售后Agent代码，在四大平台跑压力测试（1000并发，持续2小时），结果如下：

这张表揭示了一个残酷事实：没有一家是完美的，但每家都有明确的“主场优势”。Anthropic在沙箱隔离和trace灵活性上领先，但模型锁定是硬伤；AWS在合规认证和微VM隔离上碾压，但trace导出死板；Google在数据生态（BigQuery）上无缝，但gVisor隔离强度稍弱；Azure在Windows生态集成上友好，但整体性能垫底。

我们最终选择Anthropic，不是因为它最强，而是因为它的短板恰好在我们业务盲区：我们不需要PCI-DSS（不处理支付卡），不依赖BigQuery（已有Snowflake），不跑Windows应用（全Linux栈）。而它的强项——trace可审计性、guardrail深度定制、沙箱安全性——恰恰是我们法务部最看重的。这就是选型真相：不是找最好的，而是找最不拖后腿的。

4.2 五个血泪教训：那些文档里不会写的坑

坑1：YAML缩进是魔鬼，但错误提示是哑巴
我们第一次部署时，把tools下的input_schema缩进错了两格，结果Agent创建成功，但所有tool call都返回{"error":"invalid input schema"}。Anthropic控制台的错误日志里，只显示这一行，不告诉你哪一行错了。解决方法：用VS Code安装YAML插件，开启"yaml.validate": true，它会在编辑时实时标红语法错误。另外，Anthropic提供anthropic-cli validate-agent --file agent.yaml命令，本地验证通过再上传。

坑2：Sandbox不是无限资源，内存泄漏会静默杀死会话
Sandbox默认内存限制2GB。我们有个tool需要处理10MB的PDF，用PyPDF2解析时，内存峰值冲到1.8GB。当并发量上来，多个Sandbox同时吃满内存，系统会静默kill掉部分Sandbox，导致session卡在tool_call_start状态。监控里看不到error，只看到session_duration异常延长。解决方案：在tool代码里加内存监控，if psutil.virtual_memory().percent > 85: raise MemoryError("OOM risk")，并捕获这个异常，优雅降级为“请上传更小文件”。

坑3：Guardrail不是防火墙，它只拦LLM输出，不拦Harness逻辑
guardrails里的block_if_contains，只作用于LLM生成的文本。如果Harness的post-processing脚本里写了if complaint_text.contains("explosion"): send_alert_to_security()，这个alert依然会发。Guardrail不保护你的Harness代码。所以，所有敏感逻辑必须放在LLM侧，或用tool_call_validation限制Harness能调用的tool。

坑4：Session Log不是数据库，它不支持JOIN，别想复杂查询
Trace Explorer的查询语法看着像SQL，但它底层是时序数据库，不支持JOIN、GROUP BY等操作。你想查“哪些坐席被分派了高危投诉”，不能写SELECT a.agent_id FROM events a JOIN events b ON a.session_id=b.session_id WHERE a.tool="assign_to_agent" AND b.event_type="high_risk_flag"。必须用两步：先查出所有high_risk_flag的session_id，再用这些ID批量查assign_to_agent事件。我们写了Python脚本自动完成这个流程。

坑5：免费额度是蜜糖，也是枷锁
Anthropic给新账号$100免费额度，够跑约12.5万次会话。但一旦用完，所有API调用立即返回402 Payment Required，且不提供用量预警。我们有次半夜收到告警，发现所有Agent都挂了，查了半天才发现是额度用尽。解决方案：在AWS Budget里设置anthropic:SessionHour用量告警，当达到$90时邮件通知；同时在Harness里加一层检查：每次session start前，调用anthropic.Usage.get_current()（需开通API），余额<10则拒绝启动。

注意：别信“免费额度够用”的说法。我们测算过，一个中型电商客户，日均会话量2.3万次，免费额度撑不过4天。真正的成本控制，靠的是精准的trace分析——找出top 5耗时最长的tool call，针对性优化，把P95延迟从1200ms压到600ms，相当于省下一半session-hour。

4.3 下一站：当Runtime层归零，钱流向哪里？

回到文章开头那个问题：如果Managed Agents这个层注定走向$0.00，那么钱会流向哪里？我们团队跟踪了27个相关初创公司，结合客户采购动向，得出三个明确方向：

方向一：Trace Store as Database（追踪即数据库）
Braintrust的Brainstore不是另一个监控面板，它是专为AI交互设计的OLAP数据库。它把session_id当主键，event_type当列族，timestamp当排序键，支持毫秒级查询“过去24小时所有被guardrail拦截的会话”。Arize的Phoenix开源版，已经能直接对接Anthropic trace stream，用SQL分析LLM幻觉模式。我们正在把所有trace导入Brainstore，用它替代原来的Elasticsearch——查询速度提升17倍，存储成本降61%。这印证了一个趋势：未来的数据库，不是存业务数据，而是存AI行为数据。

方向二：Policy as Code（策略即代码）
AWS AgentCore的policy controls GA后，我们客户法务部立刻要求：“所有Agent必须通过OWASP Agentic Top 10合规检查”。但现有工具只能做静态扫描。新兴的Policy-as-Code工具（如Cerbos + Open Policy Agent）允许你写这样的策略：

package agent.policy default allow = false allow { input.event_type == "tool_call" input.tool_name == "send_email" input.input.recipient == data.customer.email }

把策略写成代码，CI/CD里自动测试，上线前强制执行。这比在UI里点选规则强大百倍。我们已用Cerbos替换了Anthropic的YAML guardrails，策略变更从小时级降到分钟级。

方向三：Vertical Agent Marketplace（垂直领域Agent集市）
Salesforce Agentforce ARR达$8亿，不是因为它的runtime多好，而是因为它卖的是“销售线索分派Agent”这个成品。客户不买基础设施，买的是可量化业务结果。我们正和一家医疗SaaS合作，把售后Agent改造成“医保报销预审Agent”：输入病历PDF，自动识别诊断码、药品清单、费用明细，对照医保目录给出预审结论。这个Agent不托管在Anthropic，而是打包成Docker镜像，卖给医院IT部门。客户付的不是$0.08/session-hour，而是$12万/年License费。这才是真正的护城河——把Agent变成垂直领域的SaaS产品，而非通用基础设施。

我个人在实际操作中的体会是：别再纠结“该选哪家托管Runtime”，这问题本身已经过时。真正的胜负手，是你有没有能力把Agent的trace数据，变成你的新数据库；有没有能力把合规策略，变成可测试的代码；有没有能力把通用Agent，封装成客户愿意为结果付费的垂直产品。Anthropic shipped的不是新产品，它是一面镜子，照出谁还在卖铲子，谁已经开始卖金矿了。