---
title: "Execution Harness"
created: 2026-06-05
updated: 2026-06-05
type: concept
tags: [agent-harness, infrastructure, execution-engine]
sources: [[liu-auditing-agent-harness-safety]], [[agent-harness-engineering]]
---

# Execution Harness

**执行骨架**（Execution Harness）是现代 LLM Agent 的底层运行时基础设施——它不是一个简单的 API wrapper，而是一个**策略约束的执行系统**，负责分解目标、分发工具、分配资源和路由消息。

## 核心功能

现代 Agent 骨架（OpenClaw、Claude Code、Codex）承担以下职责：
- **目标分解**：将用户目标拆分为子任务
- **工具分发**：决定 Agent 可调用哪些工具
- **资源分配**：控制对数据库、文件系统、API 的访问
- **消息路由**：在多 Agent 之间传递信息和委托任务
- **终止决策**：决定何时执行结束

## HarnessAudit 的形式化

[[harnessaudit|HarnessAudit]] 将执行骨架形式化为 [[policy-constrained-execution|策略约束执行系统]]：
```
H := (A, T, R, Π, Φ, Σ)
```

其中核心安全相关的组件是：
- Π（权限策略）：工具和资源的访问控制
- Φ（信息流策略）：Agent 间信息共享约束
- Σ（协调协议）：任务委托和结果验证

## 安全意义

骨架是 Agent 安全的**天然边界**：
- 骨架控制 Agent 的可见工具面——限制了攻击面
- 骨架记录所有工具调用和消息——提供了审计证据
- 骨架执行在 Agent 之外——Agent 无法掩盖其行为

但骨架安全需要**主动设计**：当骨架仅关注任务完成而不实施执行级约束时，Agent 可以在返回正确答案的同时产生轨迹级安全违规。这就是 [[agent-harness-safety|Agent 骨架安全]] 关注的核心问题。

## 进化谱系

- [[code-as-harness]] → [[harness-as-policy]] → [[harness-as-action-verifier]] → HarnessAudit 的安全审计
- 从"代码即运行环境"到"代码即策略约束"再到"策略约束可以被独立审计"