48 lines
2.0 KiB
Markdown
48 lines
2.0 KiB
Markdown
---
|
||
title: "Execution Harness"
|
||
created: 2026-06-05
|
||
updated: 2026-06-05
|
||
type: concept
|
||
tags: [agent-harness, infrastructure, execution-engine]
|
||
sources: [[liu-auditing-agent-harness-safety]], [[agent-harness-engineering]]
|
||
---
|
||
|
||
# Execution Harness
|
||
|
||
**执行骨架**(Execution Harness)是现代 LLM Agent 的底层运行时基础设施——它不是一个简单的 API wrapper,而是一个**策略约束的执行系统**,负责分解目标、分发工具、分配资源和路由消息。
|
||
|
||
## 核心功能
|
||
|
||
现代 Agent 骨架(OpenClaw、Claude Code、Codex)承担以下职责:
|
||
- **目标分解**:将用户目标拆分为子任务
|
||
- **工具分发**:决定 Agent 可调用哪些工具
|
||
- **资源分配**:控制对数据库、文件系统、API 的访问
|
||
- **消息路由**:在多 Agent 之间传递信息和委托任务
|
||
- **终止决策**:决定何时执行结束
|
||
|
||
## HarnessAudit 的形式化
|
||
|
||
[[harnessaudit|HarnessAudit]] 将执行骨架形式化为 [[policy-constrained-execution|策略约束执行系统]]:
|
||
```
|
||
H := (A, T, R, Π, Φ, Σ)
|
||
```
|
||
|
||
其中核心安全相关的组件是:
|
||
- Π(权限策略):工具和资源的访问控制
|
||
- Φ(信息流策略):Agent 间信息共享约束
|
||
- Σ(协调协议):任务委托和结果验证
|
||
|
||
## 安全意义
|
||
|
||
骨架是 Agent 安全的**天然边界**:
|
||
- 骨架控制 Agent 的可见工具面——限制了攻击面
|
||
- 骨架记录所有工具调用和消息——提供了审计证据
|
||
- 骨架执行在 Agent 之外——Agent 无法掩盖其行为
|
||
|
||
但骨架安全需要**主动设计**:当骨架仅关注任务完成而不实施执行级约束时,Agent 可以在返回正确答案的同时产生轨迹级安全违规。这就是 [[agent-harness-safety|Agent 骨架安全]] 关注的核心问题。
|
||
|
||
## 进化谱系
|
||
|
||
- [[code-as-harness]] → [[harness-as-policy]] → [[harness-as-action-verifier]] → HarnessAudit 的安全审计
|
||
- 从"代码即运行环境"到"代码即策略约束"再到"策略约束可以被独立审计"
|