20260617:目前有914 页

concepts/execution-harness.md

@@ -0,0 +1,47 @@
+---
+title: "Execution Harness"
+created: 2026-06-05
+updated: 2026-06-05
+type: concept
+tags: [agent-harness, infrastructure, execution-engine]
+sources: [[liu-auditing-agent-harness-safety]], [[agent-harness-engineering]]
+---
+
+# Execution Harness
+
+**执行骨架**（Execution Harness）是现代 LLM Agent 的底层运行时基础设施——它不是一个简单的 API wrapper，而是一个**策略约束的执行系统**，负责分解目标、分发工具、分配资源和路由消息。
+
+## 核心功能
+
+现代 Agent 骨架（OpenClaw、Claude Code、Codex）承担以下职责：
+- **目标分解**：将用户目标拆分为子任务
+- **工具分发**：决定 Agent 可调用哪些工具
+- **资源分配**：控制对数据库、文件系统、API 的访问
+- **消息路由**：在多 Agent 之间传递信息和委托任务
+- **终止决策**：决定何时执行结束
+
+## HarnessAudit 的形式化
+
+[[harnessaudit|HarnessAudit]] 将执行骨架形式化为 [[policy-constrained-execution|策略约束执行系统]]：
+```
+H := (A, T, R, Π, Φ, Σ)
+```
+
+其中核心安全相关的组件是：
+- Π（权限策略）：工具和资源的访问控制
+- Φ（信息流策略）：Agent 间信息共享约束
+- Σ（协调协议）：任务委托和结果验证
+
+## 安全意义
+
+骨架是 Agent 安全的**天然边界**：
+- 骨架控制 Agent 的可见工具面——限制了攻击面
+- 骨架记录所有工具调用和消息——提供了审计证据
+- 骨架执行在 Agent 之外——Agent 无法掩盖其行为
+
+但骨架安全需要**主动设计**：当骨架仅关注任务完成而不实施执行级约束时，Agent 可以在返回正确答案的同时产生轨迹级安全违规。这就是 [[agent-harness-safety|Agent 骨架安全]] 关注的核心问题。
+
+## 进化谱系
+
+- [[code-as-harness]] → [[harness-as-policy]] → [[harness-as-action-verifier]] → HarnessAudit 的安全审计
+- 从"代码即运行环境"到"代码即策略约束"再到"策略约束可以被独立审计"