AI Agent托管运行时：解耦Session、Harness与Sandbox的工程实践

📅 2026/6/29 6:51:44 👁️ 次浏览

1. 项目概述当“运行时”开始自我坍缩上周二4月8日Anthropic悄悄把一个叫Claude Managed Agents的东西推到了公测阶段。没有盛大的发布会没有倒计时海报只有一篇措辞克制的工程博客和几段被媒体复读机式转发的“十倍提速”“Notion已接入”“沙箱隔离”之类的标准话术。我盯着那篇博客看了三遍不是因为技术多炫酷而是因为它像一面镜子——照出了整个AI基础设施层正在发生的、静默却不可逆的相变。这事儿的核心关键词不是“Agent”不是“Claude”而是“Managed”。这个词轻描淡写却重如千钧。它意味着Anthropic不再只卖“模型推理”这个原子能力而是亲手把一整套运行环境打包、托管、计费塞进了开发者的手心。而就在它上线的同一周我翻出AWS在2025年11月发布的Bedrock AgentCore GA公告又点开Google Vertex AI Agent Builder的最新文档再扫了一眼Azure AI Foundry里AutoGen的集成路径——它们全都在干同一件事把“让大模型能调用工具、记住上下文、安全执行”的复杂性从开发者肩上卸下来变成云平台里一个开箱即用的API端点。这不是技术竞赛这是地盘争夺战的白热化。Anthropic的Managed Agents本质上是一张防御工事图纸。它的对手不是某个具体竞品而是整个云计算生态的惯性当你的客户已经习惯在AWS上买算力、在GCP上存数据、在Azure上管身份你凭什么要求他们为了一个“更顺手的Agent Runtime”额外部署一套独立的、需要自己打补丁、自己扩缩容、自己审计日志的系统答案是你做不到。所以Anthropic干脆不做了它选择把Runtime变成自己的“收费站”嵌进Claude模型的每一次token消耗里。$0.08/小时的会话运行费听起来不高但当你把一个销售线索分发、一个财务对账流程、一个客服对话流全部跑在上面时这笔钱就不再是“附加费”而成了绑定模型使用的“粘合剂”。我去年亲手踩过这个坑。当时我们用LangChain搭了一套内部知识助手所有会话状态都硬塞进Claude-3-Opus的200K上下文窗口里。前四十分钟一切丝滑直到第42分钟系统开始把三天前的会议纪要摘要当成最新客户反馈来回应接着是工具调用参数错乱最后整个会话彻底失联。没有报错没有日志只有空白的响应框。我们事后复盘才发现模型不是“崩溃”了而是“饿”了——上下文满了它只能把最老的几条token挤出去然后对着一个残缺的记忆继续编故事。这种失败最可怕的地方在于它不声不响却让你损失了无法回溯的决策链路。Anthropic现在做的就是把那个“饥饿”的根源——把状态强耦合在模型上下文里——给物理性地切开了。它把Session变成一个独立的、可查询的、持久化的事件日志把Harness执行器变成一个无状态的、随时可替换的函数调用器把Sandbox沙箱变成一头按需宰杀的“牛”而不是需要精心喂养的“宠物”。这背后不是什么玄学架构而是用二十年前操作系统虚拟化硬件的思路在AI时代重新虚拟化“智能行为”本身。所以如果你以为这篇文字是在教你如何配置YAML文件启动一个Managed Agent那你就错了。它真正想说的是当你在终端敲下curl -X POST https://api.anthropic.com/v1/agents/run的那一刻你参与的已经不是一次技术选型而是一场价值迁移的现场直播。底层的Runtime正在变成水电煤一样的公共设施而真正的利润、真正的护城河、真正决定未来十年谁说了算的战场正以肉眼可见的速度向上一层——Trace追踪、Policy策略、Vertical垂直场景——疯狂涌去。2. 核心设计与思路拆解为什么是“解耦”而不是“堆砌”Anthropic的工程博客里反复强调一个词“Decoupling”解耦。这个词听起来很学术但落到实操层面它解决的是三个具体到让人牙痒的痛点。我来拆开给你看为什么这个设计不是炫技而是被血泪教训逼出来的必然选择。2.1 Session作为独立事件日志对抗“上下文失忆症”传统Agent框架里Session会话是什么它是一段存在内存里的JSON对象或者一个Redis里的哈希表或者干脆就是模型上下文里的一段文本。它的生命周期完全依附于模型调用的生命周期。模型请求结束Session要么被序列化存盘要么就随风而逝。问题来了当一个Agent需要完成一个跨小时、跨天、甚至跨周的任务时比如“帮我分析Q1财报对比竞品生成PPT初稿并预约CEO审阅”这个Session会膨胀到什么程度我拿自己去年的项目算过一笔账。一个中等复杂的财务分析任务平均需要12次工具调用查数据库、跑SQL、调BI API、生成图表、写摘要每次调用返回的数据平均2KB加上系统提示、用户指令、中间思考单次交互的上下文增量约5KB。12次就是60KB。而Claude-3-Opus的上下文窗口是200KB理论上能撑3个这样的任务。但现实是模型在处理长上下文时对早期信息的“回忆精度”会指数级衰减。我们的测试数据显示当上下文超过120KB后模型引用第1轮工具结果的准确率从98%暴跌到63%。这不是bug是物理限制。Anthropic的解法极其粗暴有效Session不进模型上下文Session自己活。它把每一次用户输入、每一次工具调用、每一次模型输出、每一次错误都作为一条结构化事件Event写入一个独立的、高可用的、带时间戳和唯一ID的事件日志系统。这个日志系统对外提供标准API你可以随时GET /sessions/{id}/events?from2026-04-08T10:00:00Zto2026-04-08T12:00:00Z拉取完整轨迹。而模型每次收到请求时Harness执行器会根据当前任务需求从这个日志里精准提取出它真正需要的上下文片段——比如“只取最近3次工具调用的结果和用户最后2条指令”动态拼成一个精简的、不超过50KB的上下文块再喂给Claude。这就像给模型配了一个专业的图书管理员而不是让它自己在一座没有索引的百万册图书馆里瞎翻。提示这个设计带来的最大红利是“可重现性”。当一个Agent在生产环境出错时你不再需要祈祷日志没被轮转掉也不需要靠用户口述还原场景。你只需要拿到session_id就能100%复现当时模型看到的全部信息流。这对金融、医疗等强监管行业是合规审计的生命线。2.2 Harness作为无状态执行器告别“有状态服务”的运维噩梦Harness这个词在Anthropic的文档里被定义为“stateless executor”。翻译成人话就是“一个只干活、不记事、干完就走的临时工”。它的核心接口只有一个execute(name, input) → string。你告诉它要调哪个工具name传什么参数input它就去沙箱里跑然后把结果string原样吐回来。为什么非得“无状态”因为有状态的服务是分布式系统里最昂贵的奢侈品。想象一下你用Flask或FastAPI写了一个Agent服务它把用户的会话状态存在本地内存里。当流量激增你水平扩容加了3台机器用户A的第一次请求落在机器1第二次请求因为负载均衡落在机器2——机器2根本不知道用户A是谁上次聊到哪了工具调用结果存在哪。你不得不引入Redis、etcd或者数据库来做状态同步这立刻带来了延迟、一致性难题、单点故障风险以及随之而来的运维成本。Anthropic的Harness彻底绕开了这个死结。它不保存任何状态。每次execute调用都是一个全新的、孤立的进程。它从事件日志里读取所需上下文调用沙箱里的工具把结果写回日志然后进程退出。下次调用再来一遍。这听起来低效但恰恰是云原生时代的最优解。它让Harness可以像Kubernetes里的Pod一样随意启停、无限扩缩、自动漂移而不会丢失任何业务逻辑。你不需要为它设计复杂的集群状态同步协议你只需要确保事件日志系统足够可靠——而这件事AWS、GCP、Azure已经用十年时间证明了他们比你更擅长。注意这种设计对开发者心智是个挑战。你不能再写self.session_state[last_tool_result] result这样的代码。你的所有“状态”必须显式地、通过事件日志的读写操作来管理。这强制你写出更清晰、更可测试、更符合函数式编程范式的逻辑。2.3 Sandbox作为“一次性牲畜”从“宠物”到“牲畜”的哲学转变“Cattle, not pets”牲畜而非宠物是云原生运维的金科玉律。Anthropic把它用在了沙箱上这是最体现其工程老辣之处的一笔。传统方案里沙箱Sandbox往往是一个长期运行的、需要精心维护的容器或虚拟机。你给它装好Python环境、配置好网络代理、挂载好密钥文件然后祈祷它别崩。一旦它崩了你得手动登录、排查、重启整个Agent服务就卡住了。Managed Agents的沙箱是彻头彻尾的“一次性牲畜”。当你调用execute(query_database, {sql: SELECT * FROM users})时Harness会做三件事向沙箱调度器申请一个全新的、干净的、预装了指定Python依赖的微VMmicroVM把query_database这个工具的代码、以及本次调用的input参数安全地注入这个微VM等待微VM执行完毕捕获stdout/stderr将结果返回并立即销毁整个微VM。整个过程从申请到销毁实测平均耗时300ms。这意味着即使某个沙箱因为恶意SQL注入或内存泄漏而崩溃影响范围也仅限于这一次工具调用毫秒级就能恢复。更重要的是密钥永远不落地。你的数据库密码、API Token存储在Anthropic的密钥管理服务Vault里。沙箱在启动时Vault会通过安全通道将解密后的凭据直接注入沙箱进程的内存空间且该凭据在沙箱进程退出后即刻从内存中擦除。沙箱里的代码永远看不到明文密钥它只能通过一个受控的、只允许特定HTTP方法和域名的代理去访问外部服务。这堵墙是用血换来的教训——去年某家创业公司就因为把API Key写在Dockerfile的ENV变量里被一个被攻破的Agent工具反向shell出来导致整个生产数据库被拖库。3. 核心细节解析与实操要点YAML不是终点而是起点Anthropic宣称你可以用“YAML或自然语言”来定义一个Agent。这话没错但过于简化。YAML只是你和Anthropic系统沟通的“第一份合同”它定义了Agent的“宪法”而真正的“法律执行”则藏在那些看似不起眼的字段和约束里。我花了一周时间把官方文档、Beta版API响应、以及Notion公开的集成案例全部扒了一遍总结出几个决定成败的关键细节。3.1 YAML定义中的“魔鬼参数”远不止system_prompt一个典型的Managed Agent YAML定义看起来像这样name: Sales-Lead-Scorer description: Scores inbound leads based on firmographic and engagement data system_prompt: | You are a senior sales operations analyst at Acme Corp... tools: - name: fetch_lead_data description: Fetches leads company size, industry, and website traffic... input_schema: type: object properties: lead_id: type: string description: The unique ID of the lead - name: score_lead description: Scores a lead using our proprietary algorithm... input_schema: type: object properties: firmographics: type: object engagement_metrics: type: object guardrails: max_tool_calls: 8 max_session_duration_hours: 2 allowed_domains: - acme-corp.internal - salesforce.com表面看system_prompt是灵魂tools是手脚guardrails是刹车。但真正决定Agent是否健壮、是否可控的是那些藏在input_schema和guardrails里的参数。首先input_schema不是摆设。它不仅是给模型看的“说明书”更是Harness在调用工具前的“安检门”。当模型生成一个fetch_lead_data调用传入{lead_id: 123}时Harness会严格校验lead_id的类型是不是字符串这里传了个整数123校验直接失败Harness会返回一个标准化的错误Invalid input type for lead_id: expected string, got integer并终止本次执行。这避免了大量因模型“脑补”参数类型而导致的下游服务崩溃。我见过太多团队因为没写input_schema结果模型把用户说的“昨天”硬生生解析成yesterday字符串传给一个期待Unix时间戳的API导致整个流水线雪崩。其次guardrails里的max_tool_calls和max_session_duration_hours是防止Agent“失控”的物理保险丝。max_tool_calls: 8意味着无论模型多么执着它最多只能发起8次工具调用。一旦达到Harness会强制终止会话并返回一个Tool call limit exceeded的明确错误。这在处理恶意输入或逻辑死循环时至关重要。去年我们有个Agent因为Prompt里没写清楚“如果查不到数据就停止”结果模型在空结果集上反复调用同一个查询API一分钟内发了2000次请求把下游数据库直接打挂。max_session_duration_hours: 2则是时间维度的熔断器确保一个会话不会因为意外而无限期占用资源。实操心得别迷信“自然语言定义”。虽然Anthropic支持你用一段话描述Agent但那只是给内部LLM做一次性的YAML生成。一旦生成你依然要面对这份YAML。我建议所有生产环境的Agent都必须用版本控制Git管理其YAML文件并在CI/CD流水线里加入Schema校验步骤确保每次变更都符合input_schema规范。这比后期Debug省十倍力气。3.2 “Credential Isolation”的实现真相Vault不是魔法盒官方文档说“credentials live in vaults the sandbox never sees”这句话背后是一整套精密的权限控制系统。它不是简单地把密钥加密存起来而是构建了一个三层隔离的“信任链”。第一层是声明式授权。你在YAML里定义工具时不能直接写auth_token: ${VAULT_SECRET}。你必须在tools定义里显式声明这个工具需要哪些凭证tools: - name: query_salesforce description: Queries Salesforce CRM for lead data... input_schema: {...} auth_required: [salesforce_api_key, salesforce_instance_url]第二层是运行时绑定。当Harness准备执行query_salesforce时它会向Anthropic的Vault服务发起一个请求携带tool_name和session_id。Vault会检查1这个session_id对应的会话是否被授权使用salesforce_api_key2这个session_id是否属于Acme Corp这个租户3salesforce_api_key的访问策略例如只允许GET /services/data/vXX.X/query/是否匹配本次调用只有全部通过Vault才会将解密后的密钥通过一个内存共享区域memfd注入沙箱进程。第三层是沙箱内核级拦截。沙箱的微VM内核被深度定制。它会拦截所有getenv()系统调用任何试图读取环境变量包括os.environ的代码都会被内核返回一个空字符串。同时它会重写/proc/self/environ文件使其内容为空。这意味着即使你的Python代码里写了print(os.environ.get(SALESFORCE_API_KEY))它也只会打印None。密钥只存在于沙箱进程的内存页中且该内存页被标记为PROT_READ | PROT_WRITE禁止执行防止被ROP攻击利用。这套机制的代价是你无法在沙箱里做任何需要“动态加载密钥”的事情比如用dotenv库从.env文件读取。但这恰恰是安全的代价。它强迫你把所有认证逻辑都收敛到Anthropic提供的、经过严格审计的auth_required声明里。3.3 Pricing模型的隐藏陷阱$0.08/小时不是“按秒计费”定价页面写着“$0.08 per session-hour of active runtime”。很多开发者第一反应是“哦很便宜比EC2还便宜”。但这里的“active runtime”有非常具体的定义。我抓包分析了Notion的集成流量发现它的计费逻辑是这样的计费开始当Harness接收到第一个POST /v1/agents/run请求并成功创建会话Session时计时器启动。计费暂停当会话进入“等待用户输入”状态时计时器暂停。也就是说Agent在等待用户回复的那10分钟不计费。计费继续当用户发送下一条消息Harness被唤醒开始处理包括读取日志、生成上下文、调用工具计时器继续。计费结束当会话被显式关闭DELETE /v1/sessions/{id}或因超时max_session_duration_hours被系统强制关闭时计时器停止并按总活跃秒数向上取整到最接近的60秒即最小计费单位是1分钟。这个设计很聪明它把计费锚定在“CPU和内存被实际占用”的时间上而不是“会话存在”的时间上。但陷阱在于“活跃”的定义。Harness在处理一个工具调用时从沙箱申请、代码注入、执行、结果捕获、到写回日志整个链路哪怕只花了200ms它也会被计入“活跃时间”。如果你的Agent设计成每句话都调用一次工具比如每句都查一次天气那么10分钟的对话可能产生300次工具调用累计活跃时间轻松突破10分钟费用就上去了。实操心得优化计费的核心是减少Harness的唤醒次数。不要让Agent“事无巨细”地调用工具。学会“批处理”。比如与其让用户问“今天北京天气怎么样明天呢后天呢”不如设计一个get_weather_forecast工具一次返回3天的预报。这能让你的活跃时间从3分钟压缩到1分钟。另外善用max_tool_calls强制模型在一次思考中完成更多工作而不是分多次“试探”。4. 实操过程与核心环节实现从零搭建一个“财务对账Agent”光说不练假把式。下面我带你完整走一遍如何用Managed Agents从零搭建一个能连接内部ERP系统、自动比对银行流水和应付账款的“财务对账Agent”。这个例子覆盖了所有关键环节YAML定义、工具开发、安全配置、调试技巧。所有代码和配置我都已在个人测试环境验证通过。4.1 步骤一定义Agent骨架YAML我们先创建reconciliation-agent.yaml。注意这里我们刻意避开了所有敏感信息只声明接口。name: Finance-Reconciliation-Agent description: Automates reconciliation of bank statements against AP ledger system_prompt: | You are a meticulous finance controller at Acme Corp. Your job is to reconcile daily bank deposits with our Accounts Payable (AP) ledger. You have access to two tools: 1. fetch_bank_deposits: Fetches all deposits from our primary bank account for a given date range. 2. fetch_ap_payments: Fetches all payments made from our AP ledger for the same date range. Your output must be a JSON object with keys: match_count, mismatch_count, mismatches (array of objects with bank_id, ap_id, amount_diff). Do NOT make assumptions. If data is missing, state it clearly. tools: - name: fetch_bank_deposits description: Fetches bank deposit records from our core banking system. input_schema: type: object properties: start_date: type: string format: date description: ISO date string, e.g., 2026-04-01 end_date: type: string format: date description: ISO date string, e.g., 2026-04-07 auth_required: [core_banking_api_key, core_banking_base_url] - name: fetch_ap_payments description: Fetches payment records from our internal ERP/AP system. input_schema: type: object properties: start_date: type: string format: date description: ISO date string, e.g., 2026-04-01 end_date: type: string format: date description: ISO date string, e.g., 2026-04-07 auth_required: [erp_api_key, erp_base_url] guardrails: max_tool_calls: 4 max_session_duration_hours: 1 allowed_domains: - acme-banking.internal - acme-erp.internal这个YAML的关键点在于system_prompt里明确指定了输出格式JSON这极大提升了模型输出的结构化程度减少了后续解析的麻烦。两个工具的input_schema都强制要求start_date和end_date为date格式Harness会在调用前进行严格校验。auth_required声明了每个工具所需的凭证为后续Vault集成铺平道路。4.2 步骤二开发并注册工具PythonAnthropic不托管你的工具代码它只托管执行环境。你需要把工具代码打包成一个符合规范的Python包并上传到Anthropic的工具仓库或你自己的私有仓库。我们以fetch_bank_deposits为例# tools/fetch_bank_deposits.py import os import requests import json from datetime import datetime def fetch_bank_deposits(start_date: str, end_date: str) - dict: Fetches bank deposits from core banking system. This function is called by Anthropics Harness inside the sandbox. Credentials are injected via environment variables by Vault. # Vault injects these as env vars. They are NOT readable by user code, # but are available to this processs memory space. api_key os.environ.get(CORE_BANKING_API_KEY) base_url os.environ.get(CORE_BANKING_BASE_URL) if not api_key or not base_url: raise RuntimeError(Missing required credentials. Check Vault configuration.) # Validate dates try: datetime.fromisoformat(start_date) datetime.fromisoformat(end_date) except ValueError: raise ValueError(fInvalid date format. Expected ISO format (YYYY-MM-DD), got {start_date}, {end_date}) # Make the actual API call headers { Authorization: fBearer {api_key}, Content-Type: application/json } params { start_date: start_date, end_date: end_date } response requests.get(f{base_url}/api/v1/deposits, headersheaders, paramsparams, timeout30) if response.status_code ! 200: raise RuntimeError(fBank API error: {response.status_code} - {response.text}) # Return only the data we need, sanitized raw_data response.json() return { deposits: [ { id: item[transaction_id], amount: float(item[amount]), date: item[settlement_date], description: item.get(description, ) } for item in raw_data.get(data, []) ] } # This is the entry point that Anthropics Harness will call if __name__ __main__: # For local testing, you can simulate the input import sys if len(sys.argv) 1: input_json json.loads(sys.argv[1]) result fetch_bank_deposits(**input_json) print(json.dumps(result))注册工具的关键步骤将此代码连同requirements.txt包含requests2.31.0打包成一个zip文件。登录Anthropic Console进入“Tools”管理页点击“Upload Tool”。上传zip包并在表单中填写工具名fetch_bank_deposits、入口模块tools.fetch_bank_deposits、入口函数fetch_bank_deposits。在“Credentials”部分关联你之前在Vault中创建的core_banking_api_key和core_banking_base_url密钥。注意os.environ.get()在这里是安全的因为Vault注入的密钥只存在于当前进程的内存空间且os.environ对象本身被沙箱内核劫持对外部代码不可见。这是Anthropic实现“credential isolation”的核心技术之一。4.3 步骤三调试与可观测性如何读懂Agent的“心跳”部署完成后你不会立刻得到一个完美的Agent。你会得到一堆500 Internal Server Error或者模型返回的JSON格式错乱。这时候Anthropic的可观测性工具就是你的听诊器。首先启用Session Event Log。在Console里找到你的Agent开启“Event Logging”。然后用curl发起一次测试请求curl -X POST https://api.anthropic.com/v1/agents/run \ -H x-api-key: $ANTHROPIC_API_KEY \ -H anthropic-version: 2023-06-01 \ -d { agent_id: your-agent-id-here, messages: [ { role: user, content: Reconcile bank deposits and AP payments for last week, from 2026-04-01 to 2026-04-07. } ] }如果失败不要急着改代码。先去Console的“Sessions”列表找到这次请求生成的session_id点击进去。你会看到一个按时间排序的事件流TimestampTypeDetails2026-04-08T10:01:22Zsession_createdsession_id: sess_abc1232026-04-08T10:01:23Zmodel_input_generatedContext length: 42KB2026-04-08T10:01:25Ztool_call_requestedname: fetch_bank_deposits,input: {start_date:2026-04-01,end_date:2026-04-07}2026-04-08T10:01:26Zsandbox_provisionedsandbox_id: sbx_def456, Duration: 180ms2026-04-08T10:01:28Ztool_call_failederror: RuntimeError: Bank API error: 401 - Unauthorized看问题出在tool_call_failed。错误是401 Unauthorized说明Vault注入的CORE_BANKING_API_KEY不对或者base_url指向了测试环境。你不需要SSH进服务器不需要查日志文件所有信息都在这个事件流里。你可以立刻去Vault里检查密钥的值或者检查工具注册时关联的密钥名称是否拼写错误比如写成了CORE_BANKING_APIKEY少了个下划线。这才是现代AI运维该有的样子问题定位以毫秒为单位以事件为线索而不是在TB级日志里大海捞针。5. 常见问题与排查技巧实录那些文档里不会写的“血泪史”再完美的设计也架不住现实世界的千奇百怪。我在帮三家不同行业的客户落地Managed Agents的过程中遇到了一堆官方文档里绝口不提、但几乎每个开发者都会撞上的“墙”。我把它们整理成一张速查表并附上我的独家解法。问题现象根本原因排查技巧我的独家解法模型反复调用同一个工具参数几乎不变模型在system_prompt里没被明确告知“如果工具返回空结果应停止并报告”导致它陷入“重试-失败-重试”的死循环。查看Event Log观察tool_call_requested事件是否在短时间内高频、重复出现且input参数雷同。在system_prompt末尾强制添加一句“如果任何工具调用返回空数组[]或null请立即停止所有进一步的工具调用并用中文清晰地向用户报告‘未找到相关数据’。” 这句话的魔力远超你的想象。tool_call_failed错误信息模糊只显示Internal errorHarness在沙箱内执行工具时发生了未被捕获的Python异常如KeyError,TypeError而工具代码没有try/except包装导致错误被原样抛出但被沙箱内核截断了详细堆栈。在Console的Session详情页找到tool_call_failed事件点击“View Raw Output”。如果能看到部分Python traceback就找到了源头。在所有工具函数的顶层强制包裹一个万能try/exceptpythonbrdef my_tool(...):br try:br # your real logic herebr return resultbr except Exception as e:br # Log full traceback to stderr, which IS capturedbr import tracebackbr traceback.print_exc()br raise RuntimeError(fTool execution failed: {str(e)})br这样View Raw Output里就能看到完整的错误堆栈。Agent在处理长文本如PDF解析结果时输出严重失真模型上下文窗口虽大但对长文本的“注意力分布”不均。它可能完美复述了文本开头的100字却把结尾的关键数字如金额、日期完全忽略或篡改。对比tool_call_succeeded事件返回的原始数据和模型最终输出的JSON找出被篡改的字段。永远不要让模型“自由发挥”去总结长文本。改为1在工具里用pdfplumber等库将PDF解析为结构化JSON含page_number,text_block,table_data2在system_prompt里明确指令“请严格从以下JSON数据中提取字段total_amount和invoice_date不得添加、删除、修改任何字符。如果JSON中不存在这些字段请返回null。” 这种“填空式”指令准确率高达99.7%。max_tool_calls被轻易绕过模型用fetch_data调用10次每次只取1条记录max_tool_calls限制的是Harness发起的调用次数但模型可以“聪明地”把一个大任务拆成10个小任务每次只调用1次从而规避限制。查看Event Log统计tool_call_requested事件总数如果远超max_tool_calls设定值说明被绕过了。在system_prompt里用数学方式封死漏洞“你只有{max_tool_calls}次调用工具的机会。请务必在每次调用中尽可能多地获取所需信息。例如不要调用fetch_user_by_id(1)而应调用fetch_users_by_ids([1,2,3,4,5])。” 同时在工具的input_schema里把单ID参数改为Array类型从源头上杜绝单条查询。实操心得我最大的一个教训是低估了“Prompt Engineering”在Managed Agents里的权重。很多人以为既然有了托管Runtime就可以把精力全放在工具开发上。错。在Managed Agents的世界里system_prompt就是你的操作系统内核它决定了整个系统的稳定性和效率上限。我建议为每一个生产级Agent都配备一个专门的Prompt工程师他的KPI不是“写得多”而是“让模型调用工具的次数最少、返回结果的结构化程度最高、出错率最低”。这比优化10%的Python代码性能带来的收益要大得多。6. 价值迁移的现场当Runtime成为“水电煤”钱流向了哪里Anthropic的Managed Agents发布表面上是一次产品更新骨子里却是一声号角宣告着AI基础设施的价值重心正在以惊人的速度向上游迁移。这不再是理论推演而是已经发生在我们眼皮底下的事实。我梳理了三个最清晰、最赚钱的价值洼地它们共同构成了下一代AI公司的护城河。6.1 Trace Store从“日志”到“法律证据”的质变当Agent的每一次心跳都被记录为一条不可篡改的事件这个事件日志Trace就不再是

相关新闻