20260617:目前有914 页

concepts/policy-constrained-execution.md

@@ -0,0 +1,44 @@
+---
+title: "Policy-Constrained Execution"
+created: 2026-06-05
+updated: 2026-06-05
+type: concept
+tags: [agent-harness, formal-model, policy]
+sources: [[liu-auditing-agent-harness-safety]]
+---
+
+# Policy-Constrained Execution
+
+**策略约束执行**是 [[harnessaudit|HarnessAudit]] 对 [[execution-harness|Agent 执行骨架]] 的形式化定义。它将骨架建模为一个受策略约束的执行系统，而非简单的 LLM + 工具层。
+
+## 形式化定义
+
+```
+H := (A, T, R, Π, Φ, Σ)
+H(G; D₀) → (τ_H, y)
+```
+
+| 组件 | 含义 |
+|------|------|
+| A | 执行组件集合（单 Agent 时为 1，多 Agent 时为 N） |
+| T | 可调用工具集 |
+| R | 环境资源（数据库、文件系统、API） |
+| Π | **权限策略**：指定哪些 Agent 可访问哪些工具和资源 |
+| Φ | **信息流策略**：约束 Agent 间可共享的信息 |
+| Σ | **协调协议**：任务委托、操作确认、结果验证 |
+
+给定用户目标 G 和初始环境状态 D₀，骨架产生可观测的执行轨迹 τ_H 和最终输出 y。
+
+## 与 Harness-as-Policy 的关系
+
+[[harness-as-policy]] 将代码本身视为策略——骨架即是策略的编码。策略约束执行将这一理念形式化：
+- Π 和 Φ 是**显式声明的约束**
+- [[boundary-compliance|L1 边界合规]] 验证执行轨迹是否违反 Π 和 Φ
+- 审计不依赖 Agent 自报或最终输出，而是通过[[hidden-audit-channel|独立证据通道]]
+
+## 与一般 Agent 框架的区别
+
+传统 [[agentic-systems|Agent 系统]] 关注工具集成和能力提升，而策略约束执行额外引入了：
+- **可审计的权限边界**（而非隐式的"能调就用"）
+- **显式的信息流约束**（而非假定 Agent 会自我约束）
+- **独立于 Agent 的证据链**（而非依赖 Agent 的诚实自报）