---
title: "Policy-Constrained Execution"
created: 2026-06-05
updated: 2026-06-05
type: concept
tags: [agent-harness, formal-model, policy]
sources: [[liu-auditing-agent-harness-safety]]
---

# Policy-Constrained Execution

**策略约束执行**是 [[harnessaudit|HarnessAudit]] 对 [[execution-harness|Agent 执行骨架]] 的形式化定义。它将骨架建模为一个受策略约束的执行系统，而非简单的 LLM + 工具层。

## 形式化定义

```
H := (A, T, R, Π, Φ, Σ)
H(G; D₀) → (τ_H, y)
```

| 组件 | 含义 |
|------|------|
| A | 执行组件集合（单 Agent 时为 1，多 Agent 时为 N） |
| T | 可调用工具集 |
| R | 环境资源（数据库、文件系统、API） |
| Π | **权限策略**：指定哪些 Agent 可访问哪些工具和资源 |
| Φ | **信息流策略**：约束 Agent 间可共享的信息 |
| Σ | **协调协议**：任务委托、操作确认、结果验证 |

给定用户目标 G 和初始环境状态 D₀，骨架产生可观测的执行轨迹 τ_H 和最终输出 y。

## 与 Harness-as-Policy 的关系

[[harness-as-policy]] 将代码本身视为策略——骨架即是策略的编码。策略约束执行将这一理念形式化：
- Π 和 Φ 是**显式声明的约束**
- [[boundary-compliance|L1 边界合规]] 验证执行轨迹是否违反 Π 和 Φ
- 审计不依赖 Agent 自报或最终输出，而是通过[[hidden-audit-channel|独立证据通道]]

## 与一般 Agent 框架的区别

传统 [[agentic-systems|Agent 系统]] 关注工具集成和能力提升，而策略约束执行额外引入了：
- **可审计的权限边界**（而非隐式的"能调就用"）
- **显式的信息流约束**（而非假定 Agent 会自我约束）
- **独立于 Agent 的证据链**（而非依赖 Agent 的诚实自报）