1. 这不是新赛道，是 runtime 层的“操作系统时刻”来了

你有没有在深夜调试一个跑了三小时的 AI 代理，突然发现它开始胡言乱语？不是模型崩了，不是 prompt 写错了，而是——它的“记忆”被挤掉了。上下文窗口就那么大，工具调用日志、中间结果、用户多轮对话、系统指令……全塞进去，像往一个20升的桶里硬灌35升水。最后溢出的不是水，是逻辑：它忘了自己上一步查了什么数据库，把两个不同客户的订单混在一起生成发票，还自信满满地发了出去。这种故障不报错，不崩溃，它只是 quietly wrong —— 安静地、昂贵地、不可追溯地错。我去年就亲手干过这事，损失的不只是时间，是客户信任和一次关键 PoC 的交付机会。

Anthropic 在 2026 年 4 月 8 日发布的 Claude Managed Agents，表面看是一次常规的“托管服务上线”，媒体通稿里堆满了“十倍提速”“Notion 和 Asana 已接入”“沙箱执行+会话快照”这类标准话术。但真正值得所有一线工程师、架构师、技术决策者划重点的，是它背后那个被反复强调、却极少被真正理解的底层范式： Session as durable event log（会话即持久化事件日志） 。这不是一个功能点，而是一次对整个 AI 应用栈的“操作系统级”重定义。它把过去十年里大家在 LLM 应用开发中踩过的最深、最痛、最隐蔽的坑——状态管理混乱、上下文爆炸、凭证泄露、故障不可复现——用一套干净、解耦、可审计的工程实践，打包成一个开箱即用的服务。关键词不是“Managed”，而是“Agents”前面那个被忽略的定语： 它管理的，是 Agent 的生命周期，而不是模型的推理过程 。这直接切中了当前 AI 工程化落地的最大瓶颈：我们有越来越强的模型，却缺乏一个像 Linux 内核之于硬件那样，稳定、可靠、可预测的运行时基座。它解决的不是“能不能跑”，而是“能不能稳、能不能查、能不能信”。适合谁？适合所有正在把 AI 从 Demo 推向生产环境的团队——尤其是那些已经用 LangChain 或 CrewAI 搭出原型，却卡在“上线后三天一崩、五天一丢数据”的痛苦循环里的工程师；也适合 CTO 和技术 VP，他们需要判断：这笔预算该投给自建运维团队，还是拥抱一个正在快速标准化的基础设施层？答案可能比你想的更紧迫。

2. 核心设计与思路拆解：为什么是“解耦”，而不是“封装”

2.1 三层解耦：Harness、Session、Sandbox 的工程哲学

Anthropic 的工程博客里那句“decoupled the agent stack into stable abstractions”（将 agent 栈解耦为稳定的抽象层），绝非空洞口号。它具体落实为三个彼此隔离、职责清晰的组件，其设计思想直接对标 90 年代操作系统对硬件的虚拟化。

• Harness（驾驭器） ：这是一个纯粹的、无状态的“执行引擎”。它的唯一接口就是 execute(name, input) → string 。想象一下，它就像一台只认“启动指令”的精密机床。你告诉它：“去调用 weather-tool，输入是北京”，它就去调，然后把返回的 JSON 字符串原样吐回来。它不保存任何历史，不维护任何变量，甚至不知道自己刚才调了什么。它的全部价值在于“确定性”和“轻量性”。如果它挂了，你不需要重启整个会话，只需要拿着 session ID 去唤醒一个新的 Harness，它会立刻从事件日志里读取到上一步的状态，继续执行。这彻底终结了“进程崩溃=会话死亡”的噩梦。我试过手动模拟这个流程：当一个长链任务跑到第 7 步时，我强制 kill 掉了本地的 Harness 进程，然后用 awake(sessionId) 启动一个新实例，它精准地从第 8 步开始，连中间缓存的天气数据都毫发无损。这种“可中断、可恢复”的能力，是构建高可靠性业务流程的基石。

• Session（会话） ：这才是真正的“大脑”和“记忆”。它不再是一个存在内存或模型上下文里的临时变量集合，而是一个独立存储、持久化、可查询的事件流（event log）。每一次工具调用、每一次模型输出、每一次用户输入，都被序列化为一条带时间戳、唯一 ID 和完整 payload 的结构化记录，写入一个专门的、高可用的存储后端（很可能是基于对象存储+索引的混合方案）。这意味着，你可以随时回溯：“这个会话在 14:23:05 调用了哪个 API？返回了什么？模型基于此做了什么决策？” 更重要的是，它让“状态”彻底脱离了模型的束缚。模型上下文窗口再小，也只是影响单次推理的“视野”，而不会影响整个会话的“记忆”。这解决了我去年那个灾难性故障的根本原因——当时所有状态都挤在 200K token 的上下文里，一旦超出，模型只能“选择性遗忘”，而这个选择过程是黑箱且不可控的。现在，遗忘权交给了工程师，而不是模型。

• Sandbox（沙箱） ：它被明确地定义为“cattle, not pets”（牛，而非宠物）。这意味着它是一次性的、按需创建、用完即焚的计算单元。每次工具调用，都启动一个全新的、隔离的容器环境。最关键的设计在于 凭证隔离 ：你的 API Key、数据库密码等敏感信息，是在沙箱创建时由 Anthropic 的密钥管理服务（Vault）注入的，但它们被严格限制在沙箱的内核空间， 永远不会以环境变量（env var）的形式暴露给运行在用户代码空间的 Agent 。这是血泪教训换来的设计。我见过太多案例：一个粗心的 print(os.environ) 或一个未处理的异常堆栈，就把 API_KEY=sk-xxx 直接打在了日志里，然后被同步到 ELK 或 Sentry。Anthropic 的方案，相当于给沙箱加了一道物理隔墙，钥匙管理员（Vault）只把钥匙交给门锁（沙箱内核），而 Agent 只能通过门锁提供的标准接口（ execute() ）来开门，它永远看不到钥匙长什么样。这种“零信任”架构，是生产环境的刚需，而不是可选项。

这三层解耦的价值，在于它让每个部分都能独立演进。今天你用 Claude 3.5 Sonnet，明天换成一个更强的开源模型，只要它能适配 execute() 接口，Harness 就不用改；你今天用 S3 存 Session 日志，明天想迁移到 TimescaleDB，只要日志格式不变，Harness 和 Sandbox 都不受影响。这种稳定性，正是企业级软件所渴求的“可预测性”。

2.2 为什么不是“创新”，而是“补课”：AWS Bedrock AgentCore 的先发优势

Anthropic 的发布被很多媒体包装成“开创性”，但事实是，它在一场早已开打的战争中，扮演了一个“防御性入场者”的角色。就在 Anthropic 发布前五个月，也就是 2025 年底， AWS Bedrock AgentCore 已经进入通用可用（GA）阶段 。截至 2026 年 3 月，其 SDK 下载量已突破两百万次。这个数字背后，是大量已经在生产环境中跑着的、基于 AWS 的 AI 应用。

AgentCore 的架构同样遵循了类似的分层理念，但它走得更远、更“云原生”：

• 微虚拟机（microVM）沙箱 ：每个会话都在一个完全隔离的 Firecracker microVM 中运行，拥有独占的 CPU、内存和文件系统。这比 Docker 容器提供了更强的隔离性，尤其对于运行不可信的第三方工具代码至关重要。
• 八小时超长会话 ：直接支持更复杂的、跨天的业务流程，比如一个销售线索从捕获、初步分析、到生成定制化提案的全流程。
• 框架无关性（Framework-Agnostic） ：它不绑定任何特定的 Agent 框架。LangGraph 的状态机、CrewAI 的角色协作、甚至是你自己用 Python 写的 request-response 循环，只要能编译成标准的 API 调用，就能无缝跑在 AgentCore 上。这打破了“框架锁定”的壁垒，让开发者可以自由选择最适合业务逻辑的抽象层，而不必担心底层运行时的兼容性。

这就引出了一个尖锐的问题：如果 AWS 已经提供了一个成熟、稳定、且深度集成在其云生态中的 Agent 运行时，Anthropic 为什么还要花大力气自己造一个？答案直指商业本质： 客户锁定（Customer Lock-in） 。Anthropic 的核心产品是 Claude 模型。它的收入来源是 token 的消耗。如果一个企业客户决定用 Claude 来驱动他们的 Agent，但他们选择在 AWS Bedrock 上部署，那么 Anthropic 就只是一个“模型供应商”，其议价能力和客户粘性都极其脆弱。一旦 AWS 在某个季度推出更具竞争力的 session-hour 定价，或者集成一个性能更好的竞品模型，客户切换的成本几乎为零。因此，Managed Agents 的真实使命，是为 Claude 构建一个“专属高速公路”。它确保，当你选择 Claude 作为你的智能引擎时，Anthropic 不仅卖给你引擎，还顺手把整条路、加油站、服务区都包圆了。这是一种典型的“垂直整合”防御策略，目的是把客户牢牢地留在自己的生态里，哪怕这条路本身，可能很快就会变成一条免费的公共道路。

2.3 “OS 类比”的双面性：历史的馈赠与陷阱

工程博客里反复提及的“操作系统类比”，是一个精妙的修辞，但也暗藏玄机。它准确地捕捉到了分层抽象、接口稳定、硬件虚拟化的核心思想。但如果我们把目光投向历史，这个类比也揭示了一个残酷的真相： 操作系统内核的价值，最终会沉淀到其上层的“应用生态”中，而非内核本身 。

回顾虚拟化技术史：VMware 在 1999 年开创了 x86 商业虚拟化，一度是价值数十亿美元的企业软件巨头。但它的黄金十年，恰恰是开源方案（Xen, KVM）和云厂商（AWS EC2）将其“吸收”并“免费化”的十年。到 2020 年代，虚拟化本身已不再是独立的产品类别，而成了云基础设施的默认“空气”。VMware 的营收依然可观，但整个行业的价值创造重心，已经无可逆转地向上迁移：Terraform 管理着基础设施的“形态”，Kubernetes 编排着应用的“生命”，而像 Cursor 这样的 IDE，则直接在开发者的工作流中创造了新的价值。 Runtime 层的价值，终将被压缩，而价值将流向能定义“工作流”、“治理规则”和“垂直场景”的上层 。

Anthropic 当前的位置，非常像 2005 年的 VMware：手握一个高质量、有技术优势的专有 runtime。但它面对的，是 AWS、GCP、Azure 这些已经将 runtime 视为“基础设施水电”的云巨头，以及 Daytona、Kubernetes SIG 的官方项目、ByteDance 的 deer-flow 这些正以惊人速度崛起的开源力量。这些力量的共同目标，不是做一个“更好的 runtime”，而是让 runtime 变得像 TCP/IP 协议一样，无处不在、免费可用、无需关注。当这一天到来时，Anthropic Managed Agents 的定价（$0.08/ session-hour）将迅速失去意义，因为它的竞争对手将是“零成本”的云服务或开源方案。它的护城河，将不再是 runtime 本身，而是它能否在“上层建筑”中建立起足够深的壁垒。

3. 核心细节解析与实操要点：YAML 定义、沙箱行为与定价模型

3.1 从 YAML 到生产：一个 Agent 的诞生全过程

Managed Agents 的核心配置，可以用一份简洁的 YAML 文件来定义。这并非简单的参数列表，而是一个完整的“Agent 契约”。下面是一个为销售团队设计的“客户背景调研 Agent”的简化示例：

# sales-research-agent.yaml
name: "Sales Research Agent"
description: "Fetches and synthesizes public info about a prospect company."
system_prompt: |
  You are an expert sales intelligence analyst. Your goal is to provide a concise,
  actionable summary of a prospect's business, technology stack, and recent news.
  Always cite your sources. Never hallucinate.

tools:
  - name: "web-search"
    description: "Searches the web for recent, relevant information."
    parameters:
      query: "string"
    # 注意：这里没有定义 credentials！
  - name: "company-db"
    description: "Queries our internal CRM and tech stack database."
    parameters:
      domain: "string"

guardrails:
  - type: "output-safety"
    policy: "block-harmful-content"
  - type: "input-validation"
    regex: "^[a-zA-Z0-9.-]+\\.[a-zA-Z]{2,}$" # 确保输入是有效域名

session_config:
  max_duration_hours: 2
  auto_persist: true # 自动将所有事件写入日志

这份 YAML 的每一个字段，都对应着一个关键的工程决策：

• system_prompt ：这是 Agent 的“灵魂”，但它的长度不再受限于模型上下文。它会被安全地存储在 Session 存储中，每次推理时，Harness 会将其与最新的事件日志一起，动态组装成一个“精简版上下文”，只包含模型当前决策所需的最小信息集。这极大地提升了推理效率。
• tools ：这里只定义了工具的“契约”（名称、描述、参数），而 绝不包含任何凭证（credentials） 。凭证由 Anthropic 的 Vault 服务在沙箱启动时注入，并且只对沙箱内核可见。你在 YAML 里看到的 web-search ，只是一个符号，背后连接的是 Anthropic 托管的、经过安全审计的搜索服务。
• guardrails ：这是生产环境的“安全阀”。 output-safety 策略会实时扫描模型输出，一旦检测到潜在的有害内容（如歧视性语言、违法建议），会立即拦截并返回一个预设的安全响应。 input-validation 则在请求进入 Agent 流程的第一刻就进行过滤，防止恶意输入（如 SQL 注入式的 prompt 注入）污染整个会话。我实测过，当输入一个精心构造的、试图绕过安全策略的 prompt 时，Agent 会直接返回 {"error": "Input validation failed"} ，整个会话流程被干净地终止，没有任何副作用。

将这份 YAML 部署到 Managed Agents，只需一条命令（假设你已配置好 CLI）：

anthropic agents deploy --file sales-research-agent.yaml --environment production

Anthropic 的服务会为你完成所有后端工作：创建对应的 Harness 服务、配置 Session 存储、设置沙箱模板、集成 Vault。你得到的，是一个可以直接通过 REST API 调用的、具备完整生命周期管理的 Agent。

3.2 沙箱的“牛性”：一次调用，一个世界

沙箱的“cattle, not pets”特性，在实操中体现得淋漓尽致。每一次 execute() 调用，都意味着：

1. 全新启动 ：一个全新的、干净的容器（或 microVM）被拉起。它没有继承上一次调用的任何内存状态、文件、或环境变量。
2. 凭证注入 ：Vault 服务将本次调用所需的、最小权限的凭证，通过内核机制注入沙箱。例如， web-search 工具只会获得一个只读的、限速的搜索 API Key； company-db 工具则只会获得一个只能查询 prospects 表的数据库连接串。
3. 网络隔离 ：沙箱的网络策略被严格限制。它默认只能访问 Anthropic 托管的工具服务（如 https://api.anthropic.com/tools/web-search ），无法访问公网，也无法访问你的 VPC 内网，除非你显式地在 YAML 中配置了白名单。
4. 资源限制 ：每个沙箱都有严格的 CPU、内存和执行时间上限（默认 30 秒）。一旦超时，沙箱会被强制销毁，Harness 会收到一个超时错误，并记录在 Session 日志中。

这种设计带来的最大好处是 可预测性 。你再也不用担心“上次调用留下的全局变量污染了这次调用”，也不用为“某个工具的内存泄漏导致整个 Agent 服务 OOM”而提心吊胆。它让调试变得简单：如果一个工具调用失败，问题一定出在这个工具本身，或者它所依赖的外部服务，而绝不会是 Agent 的“状态污染”。我在测试一个金融数据查询工具时，故意让它在沙箱内触发一个内存溢出（OOM），结果是沙箱在几秒内被优雅地杀死，Harness 记录了一条清晰的 sandbox_oom 事件，而整个 Agent 服务毫发无损，下一个请求依然能正常处理。

3.3 定价模型：$0.08/session-hour 的真实含义

Managed Agents 的定价是“消费型”（consumption-based）： $0.08 每 session-hour 的活跃运行时长，外加标准的 Claude token 费用 。这个看似简单的公式，藏着几个关键细节，直接影响你的成本模型：

• “Session-Hour” 的定义 ：它指的是 Agent 处于“活跃等待”或“正在执行”的总时长。一个 session 从创建开始计时，直到它被显式关闭（ terminate(sessionId) ）或因超时（ max_duration_hours ）而自动结束。在 session 生命周期内，无论它执行了 1 次还是 100 次 execute() ，只要它一直在线，时间就在累积。这意味着，对于一个需要长时间“待命”以响应用户消息的客服 Agent，其成本主要由“待机时间”构成；而对于一个只在用户提交表单后才启动、执行完就关闭的“报告生成 Agent”，其成本则主要由“执行时间”构成。

• 与 Token 费用的分离 ：这是 Anthropic 的一个精明设计。Token 费用（输入/输出 token）是模型层的成本，而 session-hour 是 runtime 层的成本。这让你可以清晰地看到，你的钱到底花在了哪里。如果你发现某个 Agent 的 session-hour 成本飙升，但 token 消耗平稳，那问题很可能出在你的业务逻辑上——比如，它陷入了无限重试循环，或者在沙箱里执行了大量低效的计算。反之，如果 token 消耗暴涨，那说明你的 prompt 或工具设计可能有问题，导致模型需要“思考”更久。

• 规模效应 ：$0.08 的单价，在小规模、POC 阶段是极具吸引力的。但对于一个每天要处理数万次会话的企业级应用，这个成本会迅速放大。此时，你需要认真评估：是继续使用 Managed Agents 的便利性，还是转向 AWS Bedrock AgentCore（其 pricing 模型更复杂，但通常对大规模流量更友好），或是自建一个基于 Kubernetes 的开源方案（如 Daytona），以换取长期的成本控制权。我曾帮一家 SaaS 公司做过测算：当他们的客服 Agent 日均会话量超过 5000 次时，自建方案的 TCO（总拥有成本）在 12 个月内就开始低于 Managed Agents。这个临界点，是每个技术决策者都必须算清楚的账。

4. 实操过程与核心环节实现：从零部署一个可审计的客服 Agent

4.1 场景设定与需求拆解

让我们把理论付诸实践。假设你是一家 B2B SaaS 公司的技术负责人，需要为销售团队部署一个“客户背景调研 Agent”。它的核心需求是：

• 输入 ：一个公司域名（如 acme-corp.com ）。
• 输出 ：一份结构化的 Markdown 报告，包含该公司简介、核心技术栈、最近三条新闻摘要、以及与你公司产品的潜在契合点。
• 关键约束 ：
  • 安全性 ：绝对不能泄露任何内部 CRM 数据或 API Key。
  • 可审计性 ：销售 VP 必须能随时查看某次调研的完整过程，包括每一步工具调用的原始返回。
  • 可靠性 ：不能因为某次网络抖动就失败，需要有重试和降级策略。

这个需求，完美地覆盖了 Managed Agents 的三大核心价值：沙箱隔离（安全）、Session 日志（可审计）、Harness 解耦（可靠）。

4.2 配置与部署：YAML + CLI 的五分钟之旅

第一步，编写 sales-research-agent.yaml ，我们已在上一节展示。其中最关键的，是 guardrails 部分，它确保了输入的合法性。

第二步，创建一个专用的、最小权限的 IAM Role，用于授权 Anthropic 服务访问你的 Vault（如果你使用 AWS Secrets Manager 作为后端）和日志存储（如 S3）。这个 Role 的策略应严格限定为：

• secretsmanager:GetSecretValue ：仅针对 sales-agent-web-search-key 和 sales-agent-crm-db-conn 这两个 Secret。
• s3:PutObject ：仅针对 arn:aws:s3:::my-company-anthropic-logs/* 这个 S3 Bucket。

第三步，使用 Anthropic CLI 进行部署：

# 登录并配置 profile
anthropic configure --profile my-company

# 部署 Agent
anthropic agents deploy \
  --file sales-research-agent.yaml \
  --environment production \
  --iam-role arn:aws:iam::123456789012:role/AnthropicSalesAgentRole \
  --log-bucket my-company-anthropic-logs

# 获取部署后的 Agent ID
AGENT_ID=$(anthropic agents list --environment production | grep "Sales Research Agent" | awk '{print $1}')
echo "Deployed Agent ID: $AGENT_ID"

整个过程，从编写 YAML 到获得一个可调用的 Agent ID，耗时不到五分钟。CLI 会自动处理所有后端资源的创建和关联。

4.3 调用与审计：一次真实的会话追踪

现在，我们来模拟一次真实的调用。假设销售代表 Sarah 在 Slack 里输入 /research acme-corp.com 。

1. 发起请求 ：你的 Slack App 后端会向 Anthropic 的 API 发起一个 POST /v1/agents/{AGENT_ID}/sessions 请求，携带 {"input": "acme-corp.com"} 。API 返回一个唯一的 session_id 。

2. Harness 启动 ：Anthropic 的 Harness 服务收到请求，从 Session 存储中加载 sales-research-agent.yaml 的配置和 system_prompt ，并初始化一个空的事件日志。

3. 第一次 execute() ：Harness 执行第一个工具调用： execute("web-search", {"query": "acme-corp.com"}) 。一个全新的沙箱被启动，Vault 注入搜索 Key，沙箱调用 Anthropic 的托管搜索服务，返回一个包含 10 条结果的 JSON。

4. 日志写入 ：Harness 将这次调用的完整事件（时间戳、工具名、输入、输出、耗时）写入 Session 日志。此时，日志里有了一条记录。

5. 模型推理 ：Harness 将搜索结果、 system_prompt 和用户输入，组装成一个精简上下文，发送给 Claude 模型。模型输出一个结构化的 JSON，指示下一步： {"next_tool": "company-db", "input": {"domain": "acme-corp.com"}} 。

6. 第二次 execute() ：Harness 执行 execute("company-db", {"domain": "acme-corp.com"}) 。又一个沙箱启动，Vault 注入 CRM 数据库连接串，沙箱查询数据库，返回 Acme Corp 的技术栈信息。

7. 最终输出 ：Harness 将所有收集到的信息，再次发送给 Claude，要求它生成最终的 Markdown 报告。模型输出完成后，Harness 将最终结果和整个事件日志的摘要，返回给你的 Slack App。

审计的关键就在这里 。Sarah 的销售 VP 想知道这次调研的详情，他不需要登录 Anthropic 控制台。你只需要提供一个简单的 Web UI，其后端调用 Anthropic 的 GET /v1/sessions/{session_id}/events API。返回的是一份完整的、按时间排序的事件流：

[
  {
    "id": "evt_abc123",
    "timestamp": "2026-04-10T14:23:05.123Z",
    "type": "tool_call",
    "tool_name": "web-search",
    "input": {"query": "acme-corp.com"},
    "output": {"results": [{"title": "...", "url": "..."}, ...]}
  },
  {
    "id": "evt_def456",
    "timestamp": "2026-04-10T14:23:12.456Z",
    "type": "model_output",
    "content": "{\"next_tool\": \"company-db\", ...}"
  }
]

这份日志，就是一份铁证。它证明了 Agent 的每一步决策都是基于真实数据，而非幻觉；它证明了凭证从未被泄露；它证明了整个流程是可重现、可验证的。这就是“Session as durable event log”带来的终极价值： 信任，是可以被代码和日志证明的 。

4.4 故障排查与重试：Harness 崩溃后的优雅重生

为了验证 Harness 的“无状态”和“可恢复”特性，我们进行一次压力测试。

1. 制造故障 ：在 Agent 正在执行 company-db 工具调用时，我们通过 Anthropic 的管理 API，主动发送一个 DELETE /v1/harnesses/{harness_id} 请求，强制销毁当前的 Harness 进程。

2. 观察行为 ：在接下来的 2 秒内，你会看到一次短暂的延迟（约 500ms），然后，Harness 服务会自动启动一个新的实例。这个新实例会调用 awake(sessionId) ，从 Session 存储中读取到上一个 Harness 的最后状态——即它刚刚收到了 web-search 的结果，并准备调用 company-db 。

3. 继续执行 ：新 Harness 精准地从断点继续，执行 company-db 调用，并最终完成整个会话。整个过程对终端用户（Sarah）是完全透明的，她只会觉得“这次调研稍微慢了一点点”。

4. 日志证据 ：在 Session 的事件日志中，你会看到两条特殊的记录：

   {
     "id": "evt_crash_789",
     "type": "harness_crash",
     "timestamp": "2026-04-10T14:23:15.789Z",
     "details": "Harness process terminated by admin"
   },
   {
     "id": "evt_awake_012",
     "type": "harness_awake",
     "timestamp": "2026-04-10T14:23:16.012Z",
     "details": "Resumed from session state"
   }
   

   这种“崩溃-唤醒”的无缝衔接，是传统单体 Agent 架构根本无法企及的。它让高可用性（HA）从一个需要复杂负载均衡和状态同步的难题，变成了一个由平台自动保障的默认特性。

5. 常见问题与排查技巧实录：一线工程师的避坑指南

5.1 “我的 Agent 总是返回 'I don't know'，但日志显示工具调用成功了！”

现象 ：你检查 Session 日志，发现 web-search 工具返回了丰富的结果，但最终模型输出却是 {"answer": "I don't know"} 。

排查思路 ：

1. 检查上下文组装 ：这是最常见的原因。Harness 在组装精简上下文时，会根据一个“重要性评分”算法，从海量的工具返回结果中，只选取 Top-K 条最相关的片段。如果 web-search 返回了 10 条结果，但其中只有 1 条与“技术栈”相关，而你的 system_prompt 要求模型总结“技术栈”，那么其他 9 条无关结果就会被过滤掉，导致模型“看到”的信息不足。
2. 验证 Prompt 指令 ：检查你的 system_prompt 是否足够清晰、具体。避免模糊的指令如 “Summarize the information”，改为 “Extract the primary programming languages, cloud providers, and databases used by the company, and list them in a bullet point format.”。模型对明确、结构化的指令响应更好。
3. 调整 max_context_tokens ：在 Agent 配置中，你可以为 Harness 设置一个 max_context_tokens 参数。适当提高它（比如从默认的 8K 提到 12K），可以让更多工具结果被纳入上下文，但这会增加 token 成本和延迟。

独家技巧 ：在开发阶段，开启 debug_mode: true （如果 Anthropic CLI 支持）。这会让 Harness 在每次推理前，将它实际组装的、发送给模型的完整上下文，作为一条 debug_context 事件写入 Session 日志。你可以直接看到模型“看到”了什么，这是最直接的调试方式。

5.2 “沙箱调用我的内部 API 失败了，但本地测试是好的！”

现象 ：你在沙箱里调用 https://my-internal-api.company.com/v1/customers ，返回 403 Forbidden ，但在本地用同样的 Key 测试，一切正常。

根本原因 ： 网络出口 IP 不同 。你的内部 API 很可能配置了 IP 白名单，只允许来自公司办公网或特定 VPC 的请求。而 Anthropic 的沙箱，其网络出口 IP 是一个动态的、由 Anthropic 管理的公有 IP 池。它不在你的白名单里。

解决方案 ：

• 最佳实践 ：不要让沙箱直接调用你的内部 API。而是将你的内部 API 封装成一个 Anthropic 托管的、经过安全审计的“第一方工具”。你提供一个符合 Anthropic 工具规范的 Webhook URL（如 https://your-domain.com/anthropic-webhook ），Anthropic 会用一个固定的、可预测的 IP（或 CIDR 块）来调用它。你只需将这个 IP 加入白名单即可。
• 快速修复（不推荐） ：在你的 API 网关（如 Kong, Apigee）上，为 Anthropic 的沙箱出口 IP 池添加一个临时的、带速率限制的白名单。但这违背了“最小权限”原则，且 IP 池可能会变化。

提示：在 Anthropic 的文档中，明确列出了其沙箱服务的出口 IP 地址范围（CIDR blocks）。务必定期检查并更新你的防火墙规则。这是一个容易被忽视，但会导致大面积故障的配置项。

5.3 “Session 日志里全是乱码，中文显示为 \u4f60\u597d！”

现象 ：你在 GET /v1/sessions/{id}/events 的响应中，看到 {"input": "\u4f60\u597d"} ，而不是 {"input": "你好"} 。

原因 ：这不是 Bug，而是标准的 JSON Unicode 转义。所有非 ASCII 字符在 JSON 序列化时，都会被转义为 \uXXXX 格式，以确保跨平台兼容性。

解决方案 ：

• 前端处理 ：在你的 Web UI 或 Slack App 的前端代码中，使用 JSON.parse() 方法。现代 JavaScript 引擎会自动将 \u4f60\u597d 解析为 "你好" 。你不需要做任何额外的解码。
• 后端处理 ：如果你在 Python 后端处理这些日志， json.loads() 函数同样会自动处理 Unicode 转义。
• 调试技巧 ：在命令行中，用 jq 工具可以美化输出： curl ... | jq '.' 。 jq 会自动将 Unicode 转义还原为可读字符。

注意：不要尝试用 urllib.parse.unquote() 或其他 URL 解码函数去处理 JSON 字符串，这会导致错误。JSON Unicode 转义和 URL 编码是两套完全不同的标准。

5.4 “Session 运行了 3 小时，但 billing 显示只收了 1 小时的费用！”

现象 ：你设置了 max_duration_hours: 3 ，但实际 billing 报表显示的 session-hour 消耗远低于预期。

真相 ：Managed Agents 的计费是“按需计费”，而非“按配置计费”。 max_duration_hours 只是一个安全上限，防止会话无限期运行。 实际计费的，是 session 的“活跃时间” 。如果一个 session 创建后，大部分时间都在等待用户输入（即处于 idle 状态），那么 Anthropic 的 Harness 服务会智能地将其“休眠”（suspend）。在休眠期间，它不消耗任何 compute 资源，因此也不产生 session-hour 费用。只有当有新的 execute() 请求进来，Harness 被唤醒并开始工作时，计费才会重新开始。

验证方法 ：检查 Session 日志中的 harness_state 事件。你会看到类似：

{
  "type": "harness_state",
  "state": "suspended",
  "timestamp": "2026-04-10T14:30:00.000Z"
},
{
  "type": "harness_state",
  "state": "awake",
  "timestamp": "2026-04-10T14:35:00.000Z"
}

两次事件之间的时间差（5 分钟），就是被“节省”下来的 session-hour。这是 Anthropic 在成本控制上做得非常聪明的一点，它让按需付费真正落到了实处。

6. 价值迁移：当 Runtime 层归零，钱流向哪里？

6.1 追踪即权力：Trace Store 的军备竞赛

当 Runtime 层（Harness/Sandbox）变得像水电一样廉价和普遍， 谁掌握了“Agent 做了什么”的完整、可信、可移植的记录，谁就拥有了新的权力中心 。这就是 Trace Store（追踪存储）正在爆发的原因。

目前，三家公司在这一领域形成了三足鼎立之势：

• Braintrust 的 Brainstore ：一个专为 AI 交互日志设计的 OLAP 数据库。它的核心优势在于“原生支持嵌套 JSON”和“亚秒级