Agent OS:当“不确定的意图”接入“确定的执行”,软件结构就必须重写
模型强不强,是表层。
真正的结构断层只有一句话:probabilistic 的 Agent,开始直接接入 deterministic 的执行系统。
旧世界里,那层最关键的“控制面”是人类:理解语义、过滤歧义、承担责任。
现在控制面消失了,执行还在。
于是问题不再是“能不能做”,而是:一个不确定生成的意图,如何被系统安全地转化为可执行的行动?
1)执行主体变了,旧架构的隐含前提就失效了
传统软件有两个几乎从未被写在文档里的前提:
- 执行是可信的:谁点的、谁负责,出了事谁兜底。
- 接口是确定的:API 调用发生之前,语义压缩早已由人完成。
所以系统只需要组织功能与流程(process),不需要管理行动本身。
但 Agent 一旦成为执行主体,这套分工就断了。
这不是“功能增强”。这是“地基更换”。
2)真正的冲突:不确定性不再被吸收,而是被执行
以前的稳定结构是:
- 人吸收不确定性(语义、上下文、风险)
- 系统执行确定性(动作、流程、资源)
现在变成:
- 不确定性(生成的理解与决策)直接驱动了执行
于是你会看到一堆“看起来像安全问题”的表象:prompt injection、权限滥用、连续误操作、看似合理但实际错误的链式执行。
这不是 Agent 的问题。
是系统结构的问题:系统从未被设计来执行“不确定输入”。
3)从 Process 到 Action:系统必须开始“管理行动”
传统操作系统面对的是 process:
- 来源明确(程序实例)
- 路径可预期(设计时已确定)
- 边界清晰(资源可隔离)
所以 OS 的核心是调度、隔离、资源分配。
但在 Agent 系统里,系统面对的是 action:
- 行动在运行时生成
- 语义驱动,会漂移
- 直接作用于外部世界(文件、钱、权限、客户)
所以核心问题变成:
- 这个行动是否应该发生?
- 是否符合目标?
- 是否会带来不可接受的副作用?
- 是否需要审批、延迟、降级?
这就是从 process → action 的结构迁移。
4)从 API 到 Intent:接口必须上移
API 的前提是:调用方已经想清楚“要做什么、怎么做”。
但 Agent 往往只知道“我想达成什么结果”,并不知道该调用哪个 API、传什么参数、选择哪条路径。
所以接口单位会从:
- function call(API)
转向:
- goal + constraint + context(Intent)
这不是把 API 换个名字。
这是接口责任变化:
- API 负责触发执行
- Intent 负责生成执行
系统从“被调用的执行者”,变成“意图的解释与决策者”。
5)Agent OS 的本质:把“生成”和“执行”结构性分离
要让系统安全,关键不是让 Agent 更谨慎。
关键是让系统具备一层内核,把“生成”与“执行”拆开:
- Agent 生成 Intent
- 系统将 Intent 变成 Action Proposal(行动提案)
- Kernel 裁决:允许 / 拒绝 / 需审批 / 延迟执行 / 降级执行
- 通过后才进入 Execution Runtime
一句话:错误的行动可以被提出,但不一定会被执行。
这就是 Agent OS。
它不是“更强的 Agent 框架”,而是一个管理行动生命周期的系统。
6)三件套:Ontology / Policy / Capability(不靠“完全理解”也能控住)
最容易误解的一点是:系统不是“理解了才允许运行”。
更像是:
- 理解了 → 执行得更好、更快、更自动
- 不理解 → 更保守、更受限,甚至拒绝
因此需要分层控制:
- Ontology(语义世界模型):对象/关系/状态,让系统知道“这是什么行动”。
- Policy(约束规则):让系统知道“这条路径允不允许”。
- Capability/Sandbox(能力边界):即使不理解,也能硬限制“最多只能做到哪”。
Unknown = Unsafe。
Unsafe → 要么拒绝,要么受限执行。
7)落地分化:Edge vs Enterprise,不是两套范式,是同一条链的两端
同一套结构会在不同场景里分化:
- Edge Agent OS(本地侧):先解决“行动可以发生”(execution-first)
- Enterprise Agent OS(企业侧):先解决“行动可治理、可审计”(governance-first)
最终完整形态必须同时满足两件事:
- 能做事
- 做事可控
结尾:从“调用系统”到“行动系统”
过去软件的核心是“组织功能”。
现在软件的核心变成“裁决行动”。
当意图变成接口,当行动变成对象,操作系统就不再是类比,而是刚需。