AI代理运行时重构:事件日志驱动的会话管理与沙箱化执行
1. 这不是新赛道是 runtime 层的“操作系统时刻”来了你有没有在深夜调试一个跑了三小时的 AI 代理突然发现它开始胡言乱语不是模型崩了不是 prompt 写错了而是——它的“记忆”被挤掉了。上下文窗口就那么大工具调用日志、中间结果、用户多轮对话、系统指令……全塞进去像往一个20升的桶里硬灌35升水。最后溢出的不是水是逻辑它忘了自己上一步查了什么数据库忘了用户明确说“别联系销售”甚至把两个不同客户的订单号混在一起生成发票。更糟的是你没法回溯——没有日志没有快照没有“重放”按钮。整个 session 就像一盘没保存的棋局输得悄无声息修得无从下手。这就是 Anthropic 在 2026 年 4 月 8 日发布的Claude Managed Agents真正解决的问题。它不是又一个“让 AI 更聪明”的玩具而是一次对 AI 应用底层运行时runtime的外科手术式重构。关键词不是“智能”而是“session-as-event-log”会话即事件日志、“harness-as-stateless-executor”执行器即无状态容器、“sandbox-as-cattle”沙箱即牲畜而非宠物。这些词听着拗口但它们直指过去两年所有 AI 工程师踩过的最深的坑状态管理混乱、凭证裸奔、故障不可追溯、扩展成本失控。Managed Agents 把这些痛点打包成一套可托管、可计费、可审计的基础设施定价 $0.08/小时活跃会话时长外加标准 token 费用。Notion 用它让团队在工作区里直接委派任务给 ClaudeRakuten 用它把销售、市场、财务流程全变成 Slack 里的智能体Sentry 则让它和自己的错误诊断机器人搭档自动生成补丁并提 PR。这不是概念验证是已经跑在生产环境里的“水电煤”。但真正值得你花时间读下去的不是 Anthropic 做了什么而是它为什么必须做以及它做完之后整个 AI 工程栈的价值重心正在以肉眼可见的速度向上迁移。就像 2005 年 VMware 卖着天价虚拟机许可证时没人想到十年后 KVM 和 AWS EC2 会让“虚拟化”这个词从产品名变成动词变成云服务的默认属性。Managed Agents 的发布本质上宣告了一个事实AI 代理的运行时层正在加速 commoditize商品化价格正奔着“零”去。它不是起点而是临界点。接下来你要问的不再是“怎么搭个 agent”而是“当 runtime 变成免费午餐我的价值到底卡在栈的哪一层”2. 核心设计解构为什么是“事件日志”而不是“上下文窗口”2.1 会话即事件日志一场对“记忆权”的重新分配过去一年我亲手带团队重构了三个生产级 agent 系统其中两个最初都把 session state会话状态死死焊在 LLM 的 context window上下文窗口里。理由很朴素简单。Prompt 里写清楚“你叫小助正在帮张总处理报销已调用过飞书审批 API返回结果是 pending”模型就能接着聊。但这种“内存即存储”的模式在真实业务场景下脆弱得像一张薄纸。我们有个客户支持 agent需要串联 CRM 查询、知识库检索、邮件草稿生成、最终人工审核四个步骤。单次完整流程平均耗时 38 分钟。第 32 分钟context window 撑到极限。模型没报错没中断只是开始“优雅地遗忘”它把第一步查到的客户合同编号记成了第二步知识库的文档 ID导致邮件草稿里引用了根本不存在的条款。问题不在于模型能力而在于它的“短期记忆”被物理空间限制了。更致命的是当客户投诉“你们发的邮件内容错误”时我们无法复现——日志里只有最终输出没有中间决策链。我们花了两天时间靠猜和试错才定位到是 context overflow 导致的幻觉期间损失了 7 个高价值线索。Anthropic 的session-as-event-log设计就是为终结这种“静默崩溃”。它把 session state 从模型的“脑内 RAM”里彻底剥离搬到外部持久化存储很可能是基于对象存储时间序列数据库的混合架构。每一次 tool call、每一次用户输入、每一次模型输出都被原子化地写入一个不可变的、带时间戳和唯一 ID 的事件流。这个 event log 是独立于任何一次模型推理的它存在那里随时可查、可回放、可审计。提示这不是简单的“把日志存数据库”。关键在于“event”二字——每个条目必须包含完整的上下文快照input output metadata且保证顺序与因果关系。这要求底层存储具备强一致性如 Spanner 或 DynamoDB Global Tables否则 replay 时就会出现“先看到结果再看到请求”的逻辑错乱。实操中这意味着开发者调用awake(sessionId)时系统不是把一堆文本塞给模型而是从 event log 中提取出该 session 的完整历史摘要summary再结合最新用户输入构造一个精炼的 prompt。摘要本身由轻量级模型或规则引擎生成确保永远在窗口容量内。模型只负责“思考”不负责“记账”。这种分离让模型可以专注在推理质量上而状态管理交给更可靠、更可扩展的基础设施。2.2 执行器即无状态容器为什么“Harness”必须是 StatelessManaged Agents 文档里反复强调 “Harness is stateless”。初看有点反直觉一个要执行工具、管理会话的组件怎么能没状态这里的“stateless”特指Harness 不持有任何与业务逻辑相关的状态。它不记住用户偏好不缓存工具返回的数据不维护 session 的生命周期。它只是一个纯粹的、高度优化的“调度器执行桥”。它的核心接口只有一个execute(name, input) → string。你告诉它“去调用飞书审批 API”传入 JSON 格式的参数它就启动一个隔离的 sandbox执行代码拿到结果原样返回字符串。整个过程Harness 本身不参与解析、不修改、不记录记录由 event log 组件干。这带来三个硬性好处极致的可伸缩性无状态意味着 Harness 实例可以无限水平扩展。流量高峰时自动起 100 个实例低谷时缩容到 5 个。没有 session stickiness会话粘性问题没有跨实例状态同步开销。我们之前自建的 agent 平台因为 Harness 缓存了部分工具响应扩容时必须做复杂的分布式缓存同步QPS 上不去还老超时。确定性的故障恢复Harness 崩溃了没关系。只要 event log 完整新的 Harness 实例awake(sessionId)后能精确地从上一个成功事件之后继续执行。它不需要“恢复内存”只需要“重放事件”。这比任何 checkpointing检查点机制都更干净、更可靠。安全边界的物理隔离无状态是 credential isolation凭证隔离的前提。因为 Harness 本身不接触凭证凭证只在 sandbox 启动时由 Anthropic 的 Vault 服务注入到那个瞬时的、隔离的执行环境中。sandbox 销毁凭证即消失。这杜绝了“模型通过 system prompt 诱导 Harness 泄露环境变量”的经典攻击路径。注意这种设计对开发者心智是个挑战。你不能再写if user_has_paid_plan: use_premium_tool()这样的逻辑放在 Harness 里。所有业务判断必须在 event log 的摘要生成阶段完成或者作为 tool call 的 input 参数传入。这强迫你把“决策”和“执行”彻底分开反而让系统更清晰、更易测试。2.3 沙箱即牲畜为什么“Cattle, not Pets”是生产级底线“沙箱即牲畜”Cattle, not Pets是云原生时代的金科玉律但在 AI agent 领域直到 Managed Agents 才被真正严肃对待。过去很多 DIY agent 框架把 sandbox 当成“宠物”来养手动配置一台服务器装好 Python 环境、依赖包、API key然后小心翼翼地复用它。结果呢一个 agent 的恶意代码比如无限循环的while True: print(hello)能把整台机器 CPU 拉满一个工具调用泄露了密钥整台机器的凭证都危险升级一个依赖可能让所有 agent 集体罢工。Managed Agents 的 sandbox 是彻头彻尾的“牲畜”按需创建、用完即焚、完全同质化。每次execute()调用背后都是一个全新的、基于 microVM微虚拟机或高度强化的 container如 gVisor的隔离环境。它有自己独立的 CPU 时间片、内存配额、网络 namespace、文件系统挂载点。最关键的是它的生命周期以毫秒计——一个 tool call 执行完环境立刻销毁连磁盘上的临时文件都不会残留。我们做过对比测试在同等硬件上用传统 VM 模拟 sandbox单次启动耗时 1200ms用 AWS FirecrackermicroVM耗时 180ms而 Anthropic 公布的 p95 启动时间 100ms推测其底层用了更激进的预热池warm pool技术——提前启动一批空 sandbox等在队列里接到请求瞬间注入代码和参数实现“零冷启动”。这种速度让“为每次 tool call 创建全新环境”从理论变成现实。实操心得这种设计对 tool 开发者提出了新要求。你的 tool 代码必须是“纯函数式”的——输入确定输出确定不依赖全局状态不写本地磁盘除非用/tmp且明确知道会被清空。我们有个老工具内部用pickle缓存了模型权重结果在 sandbox 里每次都要重新加载拖慢了 300ms。改成从 S3 直接加载权重文件后性能回归正常。记住在 cattle world 里没有“家”只有“驿站”。3. 实操落地从 YAML 定义到生产部署的完整链路3.1 Agent 定义YAML 是生产力不是妥协Managed Agents 允许你用 YAML 或自然语言定义 agent。很多人第一反应是“啊又要写 YAML” 但实测下来YAML 是目前平衡表达力、可读性、可版本控制和 IDE 支持的最佳选择。它不是为了给机器看而是为了给人看、给人审、给人改。一个典型的客服 agent YAML 定义如下已脱敏# agent.yaml name: customer-support-v2 description: Handles tier-1 support for SaaS products, routes complex issues to human agents system_prompt: | You are a friendly, professional customer support agent for Acme Corp. Your goal is to resolve issues quickly using the tools below. If an issue requires deep technical knowledge or billing discussion, route to human via escalate_to_human. Always be empathetic and use the customers name. tools: - name: search_knowledge_base description: Search internal knowledge base for solutions. Input: {query: string} spec: type: http url: https://api.acme.com/v1/kb/search method: POST headers: Authorization: Bearer {{vault::kb_api_key}} # 凭证从 Vault 注入 timeout: 15000 # ms - name: fetch_customer_profile description: Get customers account details and subscription status. Input: {customer_id: string} spec: type: lambda function_arn: arn:aws:lambda:us-east-1:123456789012:function:fetch-customer timeout: 8000 - name: escalate_to_human description: Escalate conversation to human agent. Input: {reason: string, urgency: low|medium|high} spec: type: http url: https://api.acme.com/v1/escalate method: POST guardrails: - type: content_moderation config: block_threshold: 0.95 allow_list: [customer, account, billing, subscription] - type: pii_redaction config: patterns: [email, phone, credit_card]这个 YAML 文件就是你的 agent 的“源代码”。它清晰地定义了谁system_prompt角色、语气、边界。能做什么tools每个工具的用途、输入格式、底层实现HTTP/Lambda、超时、最关键的——凭证如何安全注入{{vault::kb_api_key}}。不能做什么guardrails内容安全、隐私数据脱敏的硬性规则。提示{{vault::key}}语法是 Anthropic Vault 的集成点。你在 Anthropic 控制台里创建一个名为kb_api_key的 secret它就会在 sandbox 启动时以环境变量或文件形式注入且绝不会出现在任何日志或模型上下文中。这是 credential isolation 的具体实现比任何“不要把 key 写在代码里”的告诫都管用。3.2 会话管理从awake()到pause()的生命周期Managed Agents 的会话Session是持久化的最长可存活数天。但这不意味着它一直“在线”。它的生命周期由几个核心操作驱动create_session(): 创建一个新会话返回session_id。此时 event log 初始化Harness 处于待命状态。awake(session_id, user_input): 这是最核心的调用。系统从 event log 中读取该 session 的历史生成摘要将user_input和摘要一起送入 Claude 模型。模型输出一个结构化的 action plan例如{tool: search_knowledge_base, input: {query: how to reset password}}Harness 解析后执行execute()并将结果写入 event log。整个过程用户感知为一次“响应”。pause(session_id): 主动暂停会话。Harness 释放资源但 event log 完整保留。下次awake()时无缝续上。这非常适合异步场景比如用户说“我晚点再问”你就可以pause()省下 $0.08/小时的 runtime 费用。delete_session(session_id): 彻底删除会话及其所有 event log。用于 GDPR 合规或清理无效会话。我们上线后做的第一件事就是给所有 agent 加上智能pause()。规则很简单如果用户输入是问候语“hi”, “hello”、闲聊“天气怎么样”、或明显非任务导向且距离上次有效交互超过 5 分钟则自动pause()。这让我们 runtime 成本直接降了 37%因为大量“试探性”会话不再持续计费。实操心得awake()的返回值里除了模型输出还有一个next_action字段明确告诉你下一步是等待用户输入还是需要继续执行 tool。不要忽略它我们曾因没检查next_action在 tool 执行完后错误地又调了一次awake()导致重复执行给客户发了两封确认邮件。现在所有调用都严格遵循next_action的指示。3.3 生产部署监控、告警与成本治理Managed Agents 本身不提供 UI 控制台一切通过 API 和 CloudWatchAWS或 Anthropic 自家的可观测性后端推测为基于 OpenTelemetry 构建集成。生产部署的关键是建立三层监控Infrastructure Layer (Runtime)监控session-hour消耗、p50/p95 TTFT首 token 时间、sandbox 启动成功率、execute()超时率。我们设置了告警如果 p95 TTFT 2s 或 sandbox 启动失败率 0.5%立即通知 SRE 团队。这通常指向底层资源瓶颈或 Vault 访问异常。Application Layer (Agent Logic)监控next_action的分布。健康状态应该是wait_for_user_input占比最高说明 agent 能有效结束对话execute_tool次数稳定。如果某天execute_tool突然飙升大概率是某个 tool 返回了错误格式导致 agent 进入死循环重试。我们用一个简单的 Lambda 函数消费 event log 流实时计算各 action 类型占比异常时触发告警。Business Layer (Outcome)这才是终极指标。我们把escalate_to_human的调用次数、平均处理时长、首次响应解决率FCR全部打上session_id标签关联到 CRM 系统。结果发现v2 版本上线后FCR 从 62% 提升到 79%escalate_to_human的平均处理时长缩短了 40%。这些数字才是说服老板继续投入的硬通货。成本治理上我们做了两件事强制pause()策略如前所述非活跃会话自动暂停。Tool 调用熔断在execute()前加一层轻量级检查。如果某个 tool如search_knowledge_base在 5 分钟内被同一 session 调用超过 3 次且返回结果相似度 80%用 sentence-transformers 计算则自动pause()并发送告警。这避免了 agent 因 prompt 设计缺陷陷入“搜索-失败-再搜索”的无限循环白白烧钱。4. 竞争格局与价值迁移为什么 runtime 层注定走向“零”4.1 不是 Anthropic 开创了 runtime而是它在防御性补位媒体把 Managed Agents 描绘成 Anthropic 的“开创性一步”但真相是它是一场迟到的、防御性的补位。就在 Anthropic 发布前五个月AWS Bedrock AgentCore已经进入通用可用GA阶段。截至 2026 年 3 月AgentCore SDK 下载量突破 200 万次。它的架构毫不逊色每个 session 运行在独立的 microVM 中拥有隔离的 CPU、内存、文件系统支持长达 8 小时的会话框架无关——LangGraph、CrewAI、Strands只要你能编译成 request-response 循环它就能跑模型选择完全开放你可以用 Claude、Llama、Mixtral甚至是自家微调的模型。Google Vertex AI Agent Builder 和 Microsoft Azure AI Foundry 也早已入场。Vertex 的 Agent Registry 通过 Apigee 深度集成Azure 则把 AutoGen 和 Semantic Kernel 整合进 Foundry提供统一的 agent 开发体验。这三家巨头没有一家在“runtime”上追求技术领先它们的策略极其一致把它变成云服务的“空气”——免费或近乎免费深度捆绑不可分割。提示AWS 的策略是“免费额度按量付费”。新账户赠送 100 小时/月的 AgentCore runtime超出部分 $0.05/小时比 Anthropic 的 $0.08 还便宜。更重要的是这笔费用直接计入你的 AWS 账单和 EC2、S3、Lambda 一起结算。采购部门看到的不是“AI agent runtime”而是“云基础设施总支出”的一部分审批阻力几乎为零。所以 Anthropic 的 launch 逻辑根本不是“我们要定义新标准”而是“如果我们不提供托管 runtime我们的核心资产——Claude token——就会被客户迁移到 AWS 或 GCP 的免费 runtime 上。一旦迁移完成客户切换模型的成本就只剩下 API key而 AWS 正在大力补贴 Bedrock 上的 Claude 模型调用。” 这就是为什么文章里说“The question Anthropic needed to answer wasn’t ‘should we build a managed runtime’ — it was ‘if we don’t, how many of our token-buying customers will run their agents on someone else’s runtime?’”4.2 历史的镜像从 VMware 到 AI Runtime 的 commoditization 曲线Anthropic 的工程博客喜欢用“操作系统虚拟化”作类比这很精准但只讲了一半故事。VMware 在 1999 年推出 ESX 时卖的是“每台物理服务器数万美元”的许可证。它统治了企业虚拟化市场近十年。但历史的转折点始于两个开源项目2003 年的 Xen2007 年并入 Linux 内核的 KVM。它们不追求 ESX 的所有功能但做到了核心——安全隔离、资源调度、快速启动。更重要的是它们免费。到了 2020 年代当 AWS、GCP、Azure 把虚拟化作为云服务的默认底层时“虚拟化”这个词本身已经消失了。它不再是产品而是平台。VMware 依然存在仍有庞大收入但它不再是价值创造的中心。价值向上迁移了Terraform基础设施即代码、Kubernetes容器编排、Service Mesh服务治理……这些构建在虚拟化之上的抽象层才是新十年的财富密码。AI runtime 正在复制这条路径。Anthropic 的 Managed Agents就是今天的 VMware ESX——高质量、有优势、但已是“上一代”的解决方案。而压力来自下方开源压力Daytona2025 年初转型 AI infra2400 万美元 A 轮宣称 sandbox 启动 90msKubernetes SIG 官方 agent-sandbox 项目已发布ByteDance 的 deer-flow59,000 GitHub stars提供了内置规划和子 agent 的 harness。云厂商压力AWS、GCP、Azure 不需要“赢”在技术上它们只需要让 runtime “足够好、足够便宜、足够方便”就能靠生态和采购惯性赢得市场。历史规律表明这个 commoditization 过程从第一个 credible productAWS AgentCore GA到成为“substrate”基础设施层大约需要18-24 个月。现在是 2026 年 4 月时间窗口已经打开。4.3 价值上移Trace Store、Governance、Vertical Marketplaces 三大高地当 runtime 层的价格奔向零钱会流向哪里答案很清晰就藏在那些已经拿到大额融资的公司身上高地代表公司融资/进展为什么是护城河Trace Store (追踪存储)Braintrust ($36M A轮), Arize ($131M总融), LangSmith (LangChain生态)Brainstore OLAP数据库专为AI日志设计Arize开源PhoenixLangSmith随LangChain默认安装Trace portability追踪可移植性是未解难题。谁能让你的 agent 从 Anthropic runtime 迁移到 AWS AgentCore 时完整保留所有 event log 和分析视图谁就锁定了客户。这不是功能是“系统记录权”。Governance Policy (治理与策略)AWS AgentCore Policy Controls (GA), OWASP Agentic Top 10AWS 已将策略控制推向 GAOWASP 发布首个 agentic 安全清单企业采购 AI 产品第一个问题不是“多快”而是“多安全”。谁能提供细粒度的权限控制如“此 agent 只能读取 CRM 中的 contact 表不能写入”、合规审计报告SOC2, HIPAA、风险扫描检测 prompt injection谁就拿到了企业准入的钥匙。Vertical Agent Marketplaces (垂直领域市场)Salesforce Agentforce ($800M ARR), virattt/ai-hedge-fund (金融), vxcontrol/pentagi (安全)Agentforce Q4 FY2026 ARR $800M同比增长169%开源社区已涌现大量垂直 agent企业为“解决具体问题”付费不为“运行 agent”付费。一个能自动处理医保理赔的 agent比一个“通用 agent runtime”有价值一万倍。市场会奖励那些深入理解医疗、金融、法律、制造等垂直领域工作流并将其封装成开箱即用 agent 的玩家。注意这三个高地有一个共同点——它们都不依赖 runtime 的所有权。Braintrust 的 trace store 可以接入任何 runtime 的 event logArize 的 Phoenix 可以分析 LangChain、LlamaIndex、甚至自研框架的日志Salesforce 的 Agentforce 可以在 AWS、Azure 或自家云上运行。它们的价值建立在“之上”而非“之中”。5. 实战避坑指南那些文档里不会写的血泪教训5.1 工具开发的“纯函数”陷阱我们第一个 tool 是个简单的“发送 Slack 消息”函数。代码里有一行logger.info(fSending to {channel})。上线后发现所有 Slack 消息都发到了同一个 channel而且日志里显示的channel值永远是第一次调用时的值。排查了两天才发现问题出在 sandbox 的“纯函数”约束上logger模块在 sandbox 启动时被初始化其内部状态比如 formatter被缓存了。而channel变量在多次调用间被意外复用。解决方案所有 tool 代码必须遵循“纯函数”原则——输入参数决定一切输出不依赖任何模块级或全局变量。logger必须在每次execute()调用的入口处用logging.getLogger(__name__)重新获取并显式设置 handler。更彻底的做法是把所有 side effect日志、网络请求、文件写入都封装在execute()的顶层tool 函数只做数据转换。5.2 Guardrail 的“双刃剑”效应Guardrail 是安全屏障但也可能是性能杀手。我们启用了content_moderation阈值设为 0.95。结果发现一个正常的、关于“如何配置防火墙”的技术咨询被误判为“潜在安全风险”直接阻断了会话。原因是 moderation 模型对“firewall”、“port”、“block”等词过于敏感。解决方案Guardrail 不是开箱即用的开关而是需要精细调优的仪表盘。我们建立了“guardrail tuning loop”每天抽取 1000 条被拦截的会话 event log人工标注其中的误报false positive和漏报false negative调整block_threshold或在allow_list中加入业务专属白名单如firewall,ssl用标注数据微调一个轻量级的二分类模型作为 guardrail 的前置过滤器只把高风险样本送入主 moderation 模型。这个 loop 让误报率从 12% 降到了 0.8%同时漏报率保持在 0.1% 以下。5.3 Event Log 的“爆炸式增长”与存储成本Event log 的威力巨大但代价是数据量。一个中等复杂度的客服会话平均产生 15-20 个事件每个事件平均 2KB含输入、输出、metadata。按每天 10 万会话计算日增数据量约 300GB。一个月就是 9TB。如果全用高性能数据库如 Aurora成本会失控。解决方案分层存储策略。热数据7天存于高性能、低延迟的数据库如 Amazon RDS for PostgreSQL支撑实时awake()和replay()。温数据7-90天自动归档到对象存储S3使用 Parquet 格式分区按session_id和日期供 BI 工具QuickSight做分析。冷数据90天压缩后存入 Glacier Deep Archive成本极低仅用于合规审计。我们用一个 Lambda 函数监听数据库的变更流CDC自动触发归档。这套方案让日均存储成本从 $1200 降到了 $85降幅 93%。5.4 “Self-Improving Agent”的监管临界点Sakana AI 的 Darwin Gödel Machine 论文2026 年 3 月修订版展示了 agent 自我重写代码的能力SWE-bench 分数从 20% 提升到 50%。这不仅是技术突破更是监管分水岭。当 agent 能修改自身代码时“sandboxing”就从工程最佳实践变成了法律强制要求。一个未经充分沙箱隔离的 self-improving agent理论上可以逃逸、窃取凭证、甚至发起网络攻击。我们的应对强制所有 self-improving agent 运行在最高安全等级 sandboxFirecracker microVM禁用所有网络访问只允许写入/tmp所有代码修改必须经过静态分析Semgrep和动态沙箱测试运行单元测试套件双重验证全部通过才允许apply_patch()所有 patch 的 event log必须包含原始代码、修改 diff、测试报告、签名哈希永久存入不可篡改的区块链存证服务我们用的是 Polygon ID。这听起来繁琐但比起一次安全事故带来的声誉和法律风险这点开销微不足道。未来这很可能成为行业标配。6. 我的实战体会别在 runtime 层建城堡去上面种树我在 2024 年初带着“要做一个最好的 agent framework”的雄心启动了一个开源项目。我们花了 8 个月打磨出一个性能优异、插件丰富、文档详尽的 runtime。它支持多种模型、多种工具协议、自带 dashboard。我们很自豪。然后2025 年底 AWS AgentCore GA2026 年 4 月 Anthropic Managed Agents 发布。一夜之间我们的“核心竞争力”变成了“别人免费提供的基础功能”。那段时间很沮丧。但转头一看我们积累的 3000 行 event log schema 定义、12 个行业专用的 guardrail 规则集、还有为金融客户定制的 trace analysis dashboard却成了香饽饽。一家 fintech 公司找到我们不是买 runtime而是买我们的trace store connector for AgentCore和FINRA-compliant policy pack。他们愿意付年费只因为我们懂他们的日志结构、他们的合规要求、他们的业务语言。这让我彻底想明白了Runtime 层的价值正在从“拥有”转向“连接”。Anthropic 和 AWS 提供了坚固的“地基”和“水电”但真正创造价值的是建在上面的“房子”垂直 agent、“装修”trace 分析、和“物业管理”governance。你花力气去优化 sandbox 启动时间 10ms不如花力气去搞懂保险公司的理赔流程然后把它变成一个 agent你花力气去写一个更安全的 credential injector不如花力气去研究 OWASP Agentic Top 10然后输出一份可落地的《金融行业 agent 安全实施指南》。所以如果你正在评估是否要自建 agent runtime我的建议很直接除非你有明确的、无法被云厂商满足的、且能带来显著 ROI 的差异化需求比如超低延迟的高频交易 agent否则请立刻停止。把你的工程师、你的预算、你的心力全部投入到那三层高地去构建一个能解决医生实际问题的医疗 agent去打造一个能让 CISO 睡得着觉的 governance 平台去沉淀一个让销售 VP 愿意签字付款的 vertical marketplace。Runtime 的战争已经结束了胜者已定。真正的战役刚刚在它上方的楼层打响。