Agent 作为「带执行面的混合软件系统」的能力边界有何特点？ - 新一代高权限 Agent 如 OpenClaw 已从对话工具演变为可接入文件系统、命令行、浏览器、消息通道与网络服务的系统对象，能够读写状态、调用工具并在授权边界内执行复杂任务，其应用扩展至多个执行场景 [2] - 行业实践显示，Agent 正被直接嵌入企业核心业务流程，例如 LangChain 的 GTM agent 可围绕 Salesforce 线索自动触发流程，跨多个来源收集信息并生成销售草稿，表明 Agent 已成为销售流程中的执行节点 [3] - 在研发领域，Agent 正成为基础设施，行业总结其共性架构包括隔离的云沙箱、精选工具集、子智能体编排以及与 Slack、GitHub 等工作流的集成 [3] - 业界对 Agent 的定义正从“基于大语言模型的自主智能体”向“完整系统”演进，强调 Agent 是由模型、工具、运行状态与环境反馈共同构成的混合软件系统，而不仅仅是模型能力的外延 [4] - 企业实践进一步将 Agent 定义为“可部署、可约束、可编排的执行系统”，其核心在于模型与工具、运行环境及流程控制机制的协同工作 [5] - OpenAI 在相关工作中将重点放在环境设计、意图设定与反馈回路等执行框架（Harness）上，而不仅仅是模型本身 [6] - 随着 Agent 承担系统执行功能，其风险已从“说错”升级为“做错”，具体表现为越权执行、误触发流程、敏感资源暴露及在错误边界内代表用户行动 [7] - 以 OpenClaw 为例，公开漏洞显示恶意网站可尝试通过本地网关、配对机制等路径接管智能体，凸显了执行层面的安全风险 [8] - 美国国家标准与技术研究院已将部署环境中的访问约束、运行监测与安全评估列为智能体系统安全的重点问题 [8] - 对于高权限 Agent 的治理重点已从减少模型错误输出，转向约束访问边界、限制执行范围并降低失控影响，涉及权限、集成、网络、运行时与隔离环境等多个层面 [9] - 微软将 OpenClaw 类 Agent 视为“带持久凭证的不受信代码执行”，建议仅在隔离环境中使用低权限、非敏感凭证进行评估 [9] - 官方模型威胁框架将“恶意技能窃取凭证”列为严重风险，并将运行时、网关、集成、市场与 MCP 服务器等纳入威胁建模，建议采用技能沙箱与凭证隔离等措施 [9] 不以真实世界作为训练场的 Agent 需要什么样的评估体系？ - 对于能操作网页、图形界面和操作系统的智能体，真实网站与系统并不天然适合作为直接训练场，因此环境设计正更集中地强调可复现、可验证与可隔离 [9] - 评估体系需确保任务状态能够稳定重置、执行结果能够清晰判定、试错行为能够被限制在受控边界内 [9] 更高负载的 Agent 需要怎样的基础设施？ - 新的 Agent 基础设施（Infra）设计需考虑沙箱、权限、凭证隔离和运行时控制，这些已成为默认前提 [2] - 行业在总结内部编码智能体时，将隔离的云沙箱、精选工具集、子智能体编排以及工作流集成视为共性架构，说明基础设施需支持 Agent 成为研发流程中的执行基础 [3]