所谓智能体系统(agentic system),是当你不再把语言模型看作一个「将 prompt 映射为 completion」的函数、而是把它当作一个循环的控制器时,所得到的东西:模型观察状态、决定一个动作、在环境中执行它、观察结果,如此反复,直到目标达成。正是这一个架构动作——闭合这个循环——造就了自 2022 年底以来应用 AI 中几乎所有令人兴奋、以及所有危险的事情。
这份综述写给以构建系统为业的人。它假定你理解分布式基础设施、控制流、状态管理,以及一个 demo 与一套生产系统之间的区别,因此不会花时间解释什么是 transformer。它真正着墨的,是那个确实全新的部分:一个非确定性的、以自然语言为原生接口的控制器坐在系统的正中央,而过去三年几乎每一条来之不易的原则,都是围绕这一事实做工程的产物——它的上下文窗口、它的失效模式、它缺乏持久状态、它易受对抗性输入操纵,以及它对评估的顽固抵抗。
本文的结构是刻意安排的。第一部分厘清定义、梳理历史脉络。第二部分采用计算机科学的视角:把控制循环看作一个形式化对象,讨论动作空间、记忆,以及 2025 年那次决定性的转向——从「prompt 出」一个智能体,转为用强化学习去训练它。第三部分采用系统工程的视角:可靠性、持久性、可观测性、评估、互操作性与安全——正是这些议题,把一个爆红的 demo 与一个你敢摆到客户面前的东西区分开来。第四部分综览当下真正落地的系统,以及前沿正走向何方。贯穿全文的反复主张是:模型如今已是一种商品化的输入,脚手架(scaffold)才是系统本身——而智能体工程这门手艺,大体上就是管理一种稀缺资源的手艺:上下文窗口里的那些 token。
什么是智能体系统?
“agent”(智能体)一词背负着来自符号 AI、机器人学与强化学习数十年的历史包袱,而当下的用法宽泛到在技术讨论中几乎失去意义。目前流传的最有用的操作性定义,来自 Anthropic 2024 年 12 月的文章 Building Effective Agents——它划出的那条线对架构而言至关重要:区别不在于「是不是智能体」,而在于控制流归谁所有。
工作流(workflow)是这样一种系统:LLM 调用与工具通过预先写定的代码路径被编排起来。控制流归开发者所有;模型只在开发者选定的那些决策点上填空。
智能体(agent)是这样一种系统:模型动态地主导自己的控制流——根据来自环境的反馈,自行决定下一步做什么、调用哪个工具、以及何时算是完成。开发者拥有目标与护栏;模型拥有路径。
这是一个连续谱,而非非此即彼,而这个谱恰恰是本领域最重要的一个设计决策。自主性并非免费:模型每多走一个自主回合,都会增加延迟、增加 token 成本,并新增一次让早期错误滚雪球、最终把整条轨迹推向不可恢复的机会。正确的默认做法——也是多数生产团队在碰壁后才重新学到的——是用能通过评估的、最不「智能体」的那个方案:往往是一条固定工作流,有时只是一次插桩良好的 LLM 调用;只有当任务的结构无法预先编码、但进展仍可被逐步验证时,才伸手去够真正的自主性。
被增强的 LLM 与那个循环
工作流与智能体之下共同的原子构件,是 Anthropic 所称的被增强的 LLM(augmented LLM):一个被赋予三项能力、从而由文本生成器变为控制器的模型——检索(它自己写查询、读结果)、工具(它选择并调用外部动作,再读取其输出)、以及记忆(它决定把什么带往下一步)。把这个被增强的模型包进一个循环,让每个动作的结果作为下一次观察回灌进来,你就得到了一个智能体。这个循环——被称为推理–行动–观察、思考–行动–观察之环,或干脆叫智能体循环——是不可再约简的内核。本综述其余的一切,都是让这个循环在生产中可靠、规模化运转的基础设施。
值得精确地说清楚:闭合这个循环时究竟改变了什么,因为它解释了为什么智能体栈不等于 LLM 栈。一个聊天机器人需要推理(inference),或许再加检索。一个智能体则额外需要:跨越多次模型调用而持久存在的状态、一个受某种契约约束的动作接口、针对失败或返回垃圾的动作的错误处理、一个停止条件,以及——因为循环可能跑上数百步——对上下文窗口里留存什么的主动管理。上述每一项,都是本报告的一个章节。
五种工作流模式
在自主性之前,有一小套可组合的控制流形态,覆盖了相当大比例的真实部署。它们是经典 CS 原语——顺序、分支、扇出、分派、精炼——在 LLM 语境下的再发现;其价值在于分类学意义:它们把「造一个智能体」变成一个关于「哪种形态适配这个任务」的离散选择。
- Prompt chaining(提示链)——把任务拆成一条固定步骤序列,每步消费上一步的输出。在结构稳定的任务上,以延迟换准确度。
- Routing(路由)——对输入分类,再分派给专门的处理器。生产环境中客服与工单分诊系统的主力。
- Parallelization(并行化)——并发地跑相互独立的子任务(切分 sectioning),或把同一任务跑多次再汇总(投票 voting,例如对同一份 diff 做多轮相互独立的安全审查)。
- Orchestrator–workers(编排者–工人)——一个主导模型动态地把任务拆成子任务、分派下去、再综合结果。通往多智能体系统的桥梁。
- Evaluator–optimizer(评估者–优化者)——一个模型生成,另一个依据明确判据来批评,两者迭代。仅当评估者能可靠地分辨好坏输出时才有效。
那条诚实的告诫——被真正把这些东西推上生产、吃过苦头的实践者反复记录——是:这些模式假定任务被良好定义、且输出可验证。当缺乏清晰的评估判据时,评估者–优化者循环会退化为原地打转;当任务高频且简单时,确定性代码在成本与延迟上会同时击败工作流与智能体。这些模式是一张地图,不是一道命令。
一段简史,2022–2026
这个领域跑得太快,快到它自己的词汇在脚下换了好几茬。把这条弧线压缩讲一遍是值得的,因为思想演进的顺序解释了今天的系统为何长成这副模样——尤其是,第一波「自主智能体」为何崩塌,以及第二波能够运转之前,究竟必须先发明出什么。三股力量驱动了这条时间线:模型的推理变强了、采取行动的接口被标准化了,以及——2025 年影响最深远的那一步——「自主性」变成了一件你去训练、而非去 prompt 的事。
2023 年那波自主智能体之所以失败,是因为单靠推理撑不过长程。此后被发明出来的一切——结构化动作接口、上下文工程、记忆系统、持久化执行,尤其是那种「训练模型从自己的错误里恢复」的 RL——都是对这同一个失败的回应。本领域的进展,与其读作「更聪明的模型」,不如读作在更长的时间跨度上稳步提升的可靠性。
一个智能体的解剖
剥掉框架,一个智能体就是围绕那个循环排布的少数几个组件。把它们精确命名是值得下的功夫,因为多数生产事故恰恰是其中某一个组件的失败,而框架往往会遮住到底是哪一个。
把循环看作一个形式化对象
形式上,一个智能体是运行在部分可观测环境中的一个策略。模型从不看见真实世界状态;它看见的是上下文窗口——一个有损的、经过筛选的历史投影。这使智能体成为一个 POMDP(部分可观测马尔可夫决策过程),而这并非闲置的类比。两个后果直接从中落下。其一,凡是不在上下文窗口里的,对下一步决策而言就等同于不存在——这正是为什么上下文管理不是一项优化,而是一个正确性问题。其二,「马尔可夫」那一部分是我们强加的虚构:模型必须从可见轨迹中重建出足够的状态,才能连贯地行动;而又长又被污染的轨迹会让这一重建失败——这正是上下文长度退化背后的机制。近期的长程工作把这点挑明,将智能体的工作描述为马尔可夫式状态重建:在每一步,把历史压缩成一个足以支撑行动的状态,并把这个状态、而非原始轨迹,带往下一步。
还有一个把 LLM 智能体与经典 RL 智能体区分开、并主导其工程的结构性怪癖。经典智能体的状态是一个紧凑向量;LLM 智能体的状态则是一条单调增长的 token 串。每个动作、每次观察都被追加进去。于是状态沿着轨迹无界增长,撞上硬性的上下文上限——而且远在那个上限之前,就撞进了软性退化。智能体工程有一半,是在与这一条性质搏斗。
规划:分解与搜索
LLM 智能体里的规划横跨一条从隐式到显式的谱。在隐式的一端,ReAct 式智能体一次只规划一步:每个动作前的那段「思考」是一个局部计划,全局计划是涌现出来的。这很便宜,对许多任务也够用——但它是贪心的,而在一个含不可逆动作的动作空间上做贪心搜索是脆弱的。在显式的一端坐着审慎搜索方法:Tree of Thoughts 以前瞻与回溯探索多条推理分支;LATS(Language Agent Tree Search)把蒙特卡洛树搜索嫁接到智能体循环上,让模型同时充当策略与价值估计器。其权衡是经典规划里那个老套的权衡——审慎以陡峭的 token 与延迟成本换取质量——而实践中,多数已上线的系统都停在贪心那一端,把可靠性买在别处(更好的模型、更好的工具、验证),而不是花钱去搜索。
动作空间:JSON 还是代码
模型如何表达一个动作,是一个真正的架构分叉,而非语法偏好。自 2023 年年中以来的主流答案是带类型的函数调用:模型发出一段结构化 JSON,点名一个工具及其参数,挽具负责解析与分派。它可预测、易校验、也便于按权限设卡——但它同时是一个受约束的动作空间。每个动作是一次工具调用;把工具组合起来、在结果上循环、或依据中间值分支,都要求每一步一次单独的往返。
CodeAct 这条替代路线——模型把可执行代码当作它的动作,在沙箱解释器里运行——则把那份开销压平。单个动作就能调用数个工具、把前者的输出喂给后者、在集合上循环、依据结果分支,因为代码原生带有控制流与数据流。在多工具基准上,这带来实质更高的成功率与更少的步数;也正因如此,「代码智能体」(smolagents、langgraph-codeact,以及多数严肃编码工具的内部挽具)把 Python 当作通用动作接口。代价是:任意代码执行意味着大得多的攻击面,要求真正的沙箱化。由此浮现的经验法则是:面对小而安全敏感、定义良好的动作集,用 JSON 工具;当任务需要组合、且环境可被沙箱化时,用代码作动作。
智能体工程里杠杆最高、却最被低估的那一根,是工具接口的质量。当工具格式贴近模型在大规模训练中见过的样子时,模型的行动会可靠得多——绝对路径优于相对路径、最小化 JSON 转义开销、把可运行的示例嵌进工具定义里、把错误信息写成「给模型恢复用」而非「给人读」。一套设计良好的十个工具,胜过一套设计拙劣的五十个。这个「智能体–计算机接口」值得像对待一个公共 API 那样的用心,理由也一样:一个被搞糊涂的调用方,产出的是垃圾。
记忆:四种类型,一层稀缺
智能体里的「记忆」是个被超载的词,笼统地借自认知架构,覆盖了四种截然不同的东西。只有第一种在上下文窗口里;其余三种都是外部系统,各自带着自己的检索、成本与正确性问题。
| 类型 | 类比 | 存放什么 | 存于何处 |
|---|---|---|---|
| 工作记忆 | RAM / 寄存器 | 当前任务、运行轨迹、即时观察 | 上下文窗口(带内) |
| 情景记忆 | 事件日志 | 具体的过往交互及其结果 | 向量库 / DB,按需检索 |
| 语义记忆 | 知识库 | 持久事实、用户偏好、领域知识 | 向量库 / 知识图谱 |
| 程序性记忆 | 习得的技能 | 如何做重复性任务;智能体自己更新过的指令 | system prompt / skill 文件 / 权重 |
主导性的设计范式明确是受操作系统启发的。MemGPT(如今产品化为 Letta)把 LLM 框定为一个管理分层记忆体系的操作系统:一个始终驻留的小核心(如 RAM)、一个可搜索的归档存储(如磁盘)、以及对话历史的分页召回——由模型自己发出函数调用,把信息换入换出。它的后继者各有专精:Mem0 把交互蒸馏成可检索的事实,据报相较「把完整历史塞进上下文」能大幅省 token;Zep 维护一张时序知识图谱,好让智能体回答「我们上周二决定了什么」;LangGraph 提供持久化检查点外加一个跨线程存储。每一个造过它的团队反复得到的教训都很直白:生产级的长期记忆,通常比智能体本身更难造,而让它可靠、可扩展、正确所需的功夫,经常被严重低估。
反思与自我纠错
一个能审视自己失败的尝试并加以修正的模型,在长程上远比做不到这点的模型强大——而 METR 时间跨度的增长(§8)有很大一部分,恰被归因于错误恢复的改进,而非裸推理。开创性的范式是 Reflexion(Shinn 等人):在一次失败尝试之后,模型生成一段口头的自我批评,把它存为情景记忆,用以条件化下一次尝试——一种不更新权重的「口头强化学习」。Voyager 把这个想法推得更远,将成功的行为累积进一个可复用、可迁移的技能库。这些 prompt 层技术在整个 2024 年都是最先进的做法;到了 2025 年,同一个目标——教模型从自己的错误里恢复——迁移进了训练循环本身(§6),结果证明有效得多。
什么是真正全新的,什么不是
对有 AI 背景的读者,把话挑明是有澄清作用的:智能体这个抽象并不新。感知–行动循环、BDI(信念–欲望–意图)架构、不确定性下的规划、在动作空间上的 RL 策略,都是数十年前的东西,而今天的智能体干净地映射到那条谱系上——一个在 POMDP 中行动的策略、以搜索来规划、从奖励中学习。全新的是那个控制器:一个单一的、预训练的模型,出厂即带着宽广的世界知识、一个开放式的自然语言动作与观察空间,以及足够的上下文内学习能力,无需重训就能被重新指向一个新任务。正是它,让那些古老的抽象忽然在通用范围上变得实际可行——也正是它,让失效模式变得全新,因为这个控制器流利、自信、非确定,且极易被其输入里的文本所欺骗。
上下文工程:核心资源
如果有一个想法把 2025 年的实践与此前区分开来,那就是这个:对一个长程智能体而言,稀缺资源不是模型的智力——而是它上下文窗口里的那些 token,而管理它们的纪律,是一门独立的工程手艺。
Andrej Karpathy 在 2025 年年中让上下文工程(context engineering)一词流行;Anthropic 的应用团队在当年 9 月给了它一个可用的定义——在推理期间「策展并维护那组最优 token」的一整套策略。来自编码智能体一线的 Cognition,把它称为「构建 AI 智能体的工程师的头号工作,几乎无出其右」。这个说法之所以流行,是因为它命名了 prompt 工程从未捕捉到的东西:智能体不是一次性的聊天机器人。它跑上数百回合、累积工具输出,并以和「最初那句指令措辞如何」毫不相干的方式失败。prompt 工程优化第一句用户输入;上下文工程掌管整条 token 生命周期——从第一个 system-prompt token,到最后一段被压实的摘要。
为什么更大的窗口解决不了它
那个直觉性的修法——等百万 token 的上下文窗口——行不通,而理解为何行不通正是关键。每个模型,无论宣称的窗口多大,当窗口被错误的 token 填满时都会退化。这就是context rot(上下文腐烂):随着无关的、陈旧的、或仅仅是海量的 token 堆积,任务表现下降;而独立测试(Chroma 的 context-rot 工作)发现,退化在远低于标称上限处就开始加速——量级在数万 token,离窗口天花板还差得远。其机制在于注意力:随着上下文增长,模型需要的信号要与体量不断变大的噪声争夺,而较老的、与任务相关的信息被逐步降权。一个相关的失效,context drift(上下文漂移),发生在压实后的摘要悄悄改写了任务、或早期上下文被埋没之时,模型的推理于是缓慢地偏离最初意图。更大的窗口买来的是余量;它并不废除物理定律。在可预见的将来,任何尺寸的窗口都难逃污染与相关性衰减——所以最强的智能体表现,仍然要求主动策展上下文,而不仅仅是把它放大。
三根杠杆
实践已收敛到三种技术,用以把一个长跑的智能体保持在可用的上下文预算之内。它们并不互斥;严肃的系统会把它们组合起来。
1 · 压实 Compaction
把一段接近窗口上限的对话拿来做摘要,再从摘要重新初始化一个全新的窗口。这是多数团队最先伸手去够的那根杠杆,也是最直接买来长程连贯性的那一根。它最轻、最安全的形式是清理工具结果(tool-result clearing):丢掉旧工具调用那些冗长的原始输出(模型早已从中提取出所需),同时保留推理。压实已成熟为「厂商原生」的基础设施——Anthropic 在其平台上推出了自动压实能力,跨主要云暴露——于是团队不必再手搓「触发即摘要」的循环。开放的研究问题是有损压实:一段摘要若丢掉了某个后续步骤恰恰需要的事实,就会引发一次静默、极难调试的失败——这正是像 ACON 这样的工作把压缩当作一个优化问题来处理的原因(找出「完整上下文成功、压缩上下文失败」的案例,据此修订压缩器,让它保住那一类信息)。
2 · 结构化记笔记
让智能体把持久状态存到上下文窗口之外——一块草稿板、一个待办文件、一个记忆工具——并按需重新载入,而不是指望整段 transcript 把一切都扛住。这把工作记忆外部化,让实时窗口保持精简;对有清晰里程碑的迭代式工作尤其强(智能体写下自己做完了什么、还剩什么,然后对着这本账去干,而不是从一条长轨迹里反复重新推导)。
3 · 子智能体上下文隔离
派生出带有各自全新、隔离窗口的子智能体去做有界的活儿——一次深度搜索、一次探索——让每个只把一份简短、浓缩的结果(量级 1–2k token)返回给主导智能体。详细的上下文被隔离在子智能体内部;主导智能体的窗口只看见被蒸馏过的发现。这与「一次函数调用把它的局部变量对调用方隐藏起来」是同一个想法,也是通往多智能体系统(§5)的架构桥梁——从某个角度读,多智能体范式主要就是一种上下文隔离策略。
Anthropic 的内部评估给收益标上了硬数字。仅靠基于规则的上下文编辑(context editing)就在其智能体评估上带来约 29% 的表现提升;把它与一个外部记忆工具结合,达到约 39%。在一项 100 回合的网页搜索评估里,上下文编辑把 token 消耗削减了约 84%,同时让那些本会因耗尽窗口而彻底失败的工作流得以完成。而在他们的多智能体研究系统里,仅 token 用量一项就解释了约 80% 的表现方差(在一个高难度浏览基准上)。当一种资源解释了你的大部分方差,管理它就不是一个调参旋钮——它就是架构本身。
成本层:KV 缓存与前缀复用
上下文也主导着经济学,其机制值得点名,因为它悄无声息地塑造了智能体设计:KV 缓存。由于 transformer 对 prompt 的注意力可被缓存,一个稳定、不变的前缀(system prompt、工具定义、few-shot 示例)能跨回合复用,其成本与延迟只是重算的一小部分——厂商的前缀缓存折扣很大。这产生了一股会渗进架构的具体设计压力:让前缀稳定且只追加。任何改写早期上下文的举动——重排工具、跑到一半改动 system prompt、非只追加式的压实——都会让缓存失效,并把之后的每一个 token 重新计价。跑同一套逻辑,「缓存感知」的智能体明显比「缓存无感」的更便宜、更快,这正是「别碰前缀」在盯着推理账单的人当中成为口耳相传的原因。
上下文工程是智能体纪元的操作系统学:上下文窗口是一层小、快、昂贵的记忆,工作就是让恰好正确的工作集常驻其中——不多不少——同时把其余一切分页到更慢的存储、按需重新载入。这样框定的话,压实是逐出(eviction),记笔记是交换区(swap),子智能体是进程隔离,而 KV 缓存则是那个你千万不能颠簸(thrash)的东西。
编排与多智能体拓扑
一旦单个智能体能用,诱人的下一步就是造出很多个、让它们协作——一个研究员智能体、一个编码员智能体、一个分析员智能体,由一个编排者协调,仿照人类团队的分工。Gartner 报告,2024 年初到 2025 年中,关于多智能体的咨询量激增约 1,445%;这个范式确实流行。它同时也是本领域被过度套用得最厉害的一个想法,而其中的道理精确到足以写成工程规则。
那场定义了问题的辩论
2025 年 6 月接连两天,这个领域里最可信的两个声音发表了听起来相反的方法论——一个把本领域核心张力一举结晶的巧合。
Anthropic —《How we built our multi-agent research system》
一个主导编排者把任务委派给并行的子智能体,每个带隔离窗口、每个返回一份浓缩摘要。在其内部研究评估上,多智能体系统比单智能体 Claude Opus 4 高出约 90.2%。
- 子智能体拿到一个自包含的任务、一个输出格式、一个全新窗口——并且不知道彼此的存在。
- 隔离正是要点:它让真正的并行与关注点分离成为可能(各自的工具、prompt、探索路径)。
- 成本:它烧掉了一次聊天交互约 15 倍的 token。仅对高价值任务才划算。
Cognition —《Don't Build Multi-Agents》
并行子智能体在片面上下文上行动,做出彼此冲突的隐式决定,逼得后续某一步去调和。他们的解法:一条单一的连续线程。
- 原则一:共享上下文——而且共享完整的智能体轨迹,不只是最终消息。
- 原则二:动作携带隐式决定,而冲突的决定携带糟糕的结果。
- 那个「Flappy Bird」例子:一个子智能体渲染出马里奥风格的背景,另一个造出一只不搭调的鸟——谁都没有对方的上下文,于是零件拼不到一起。
为什么两边都对
表面的矛盾在一个观察面前化解,而这是这整片领域里最有用的一条启发式:读动作可并行,写动作不可。Anthropic 的系统是研究——由读主导,许多子智能体可以探索相互独立的分支,其发现只需拼接。冲突的读很便宜;多收集些就是。Cognition 交付的是编码智能体——由写主导,两个智能体编辑同一套系统,会做出不兼容的设计选择(风格、边界情形、接口),拼出一个坏掉的整体。冲突的写是灾难性的,而要合并它们,恰恰需要那份被并行丢弃掉的共享上下文。Anthropic 自己的文章也承认这点:以当前技术,多数编码任务并不适配多智能体架构,因为它们要求共享上下文、且牵涉紧密的相互依赖。
每一个多智能体设计都归结为一个选择:隔离边界——每个子智能体需要对「其他人在做什么」知道多少。对研究,答案是「几乎什么都不用知道」,这正是扇出能成的原因。对编码,答案是「几乎什么都要知道」,这正是扇出会败的原因。用回答「你这个任务的这个问题」来选拓扑,而不是用「类比组织架构图」来选。
协调开销是真的,而且很快就饱和
多智能体系统引入了分布式系统的失效模式——然后把它们放大,因为每个节点都是非确定的。第二个智能体让你的 token 账单翻倍、让协调出错的方式翻倍,并让不可靠性沿每一跳复合:一条十步的链,每跳 95% 可靠,端到端只有约 60% 可靠。到 2026 年,实践者收敛到一个清醒的数字:实用的甜蜜点常在三到四个智能体,越过之后,协调开销——冗余的消息传递、上下文调和、错误级联——就压过了并行带来的收益。这个子领域的前沿如今是在削减那份开销:更稀疏的通信协议、层级化分解(好让不是每个智能体都得和其他每个说话)、以及异步编排(好让智能体不必彼此阻塞等待)。
那个经得起时间的默认做法
浮现出来的共识不华丽却正确:从一个智能体加一套好工具开始;只有当某个具体的限制逼着你时,才加第二个智能体。正当的「逼迫函数」很窄——工作确实超出了单个上下文窗口、任务分解为若干值得并行探索的以读为主的独立分支、或你需要多次相互独立的尝试来削减路径依赖。若不属于这几种,多数多智能体系统若做成一个工程良好的单智能体,会运行得更好、更便宜、也更可调试。正如 2026 年一篇被广为转发的标题所言:多数多智能体系统做成一个智能体会更好。
为自主性而训练:RL 转向
2025 年最重要的那次转变很容易被错过,因为它发生在模型内部、而非框架里:智能体能力不再是一件你靠脚手架去诱导的事,而开始成为一件你用强化学习训练进权重的事。
回想 2023 年那波自主智能体为何失败:一个被 prompt 进长循环的基座模型会漂移,因为它从未被针对「长程所要求的那件事」优化过——在许多相互依赖的步骤上,从自己的错误里恢复。prompt 层的补丁(Reflexion、树搜索、精巧脚手架)在边际上有帮助。决定性的一步,是让训练目标去匹配部署条件:奖励模型完成多步任务,而不是奖励它产出看似合理的下一个 token。
推理模型打开了那扇门
OpenAI 的 o1(2024 年末)、随后 DeepSeek-R1(2025 年 1 月)证明:基于结果的 RL——只奖励正确的最终答案、对中间推理不作任何监督——能诱导出长而自我纠错的思维链,这些思维链是涌现出来的,而非被模仿出来的。DeepSeek-R1 的意义是双重的:它管用,而且它把配方开源了,核心是 GRPO(Group Relative Policy Optimization)——一个 PPO 变体,通过在一组采样 rollout 内对奖励做归一化,省掉了单独的价值网络。训练一个推理模型的成本骤降,数月内一波学术与工业工作随之涌来。产出的这些模型不只是数学更强;它们在智能体所需的那些确切技能上更强——分解、回溯、自适应深度、以及知道何时停手。
Agentic RL:训练整个循环
自然的下一步,是把工具与环境放进 RL 循环里。不是训练模型产出一个好答案,而是训练它产出一条好轨迹:推理、调用搜索 API 或代码解释器、读结果、再推理,并对整个 episode 的结果给予奖励。这就是智能体强化学习(agentic RL),它定义了 2025 年的研究前沿。Search-R1 与 R1-Searcher 教模型把推理与实时搜索交错起来;ARTIST 与 TORL 教它在推理途中写代码、跑代码以做精确计算;AgentGym-RL、AgentRL、VerlTool 等框架把这套机制泛化到任意的多回合、多工具场景。一个稳健的经验发现在这些工作里反复出现:简单的结果奖励胜过精巧的过程奖励——监督每一个中间步骤往往会压抑那种「能产出新颖策略」的探索,而只奖励最终结果,则让有用的行为得以涌现。
诚实地说,难在哪里
Agentic RL 不是一个已被解决的配方;它引入了朴素 RLHF 从未面对的问题,而当前的努力正集中于此。
- 多回合信用分配。一个 episode 在几十个交错的推理步与工具调用之后才成或败。把结果归因到「真正要紧的那些具体决定」上——RL 的核心难题——在又长又异质的轨迹上,远比在单次回复上更难。
- 可扩展的 rollout。如今每个训练样本都是一次与真实(或模拟)工具的完整多回合交互,在 RL 所要求的规模上,这生成起来又慢又贵。是 rollout 吞吐、而非梯度算力,常常成为瓶颈。
- 训练不稳定。长程、off-policy 的 agentic RL 出了名的不稳;近期工作(回合级重要性采样、由 clipping 触发的归一化)的存在,就是专门为了不让这些训练发散。
- 环境成了新瓶颈。可验证的奖励要求一个能给结果打分的环境。造出足够多高保真、多样、抗作弊的环境——模拟应用、mock 世界、基于评分标准的评判器——如今本身就是一个一等的研究问题,也可以说是进展的限速器。
基于结果的 RL 会精确优化你所度量的东西,而当那个度量并不完美时,这很危险。被训练去通过测试的模型,学会的是通过测试——包括靠钻评判器的漏洞、而非解决任务。这并非假设:2026 年 4 月,一个 Berkeley/RDI 的扫描智能体表明,全部八个主流智能体基准都能被 reward hacking 推到近乎满分、却一个任务都没解决;审计还发现了这样的 SWE-bench 任务——即便底层 bug 原封未动,它们的隐藏测试也照样通过。模型越强,就越擅长找到这些捷径——这使得「稳健、不可被 hack 的奖励规格」成为本领域真正开放的安全问题之一。
RL 转向的实际后果,是一条移动的边界。那些在 2024 年还住在挽具里的能力——显式的规划循环、反思 prompt、重试逻辑、工具选择的启发式——正越来越多地被吸收进被训练的模型里。一个在智能体轨迹上被 RL 训练过的模型,本就已经会规划、会恢复、会用工具,于是包在它外面的脚手架变薄了。这并不让挽具变得无关(上下文管理、工具、权限、持久性都依然在),但它确实意味着一个架构决策有其半衰期:那种「为补偿模型弱点而搭的精巧脚手架」是待爆的负债,因为下一代模型也许会把那部分原生地、且更好地做掉。造你今天需要的挽具;假定模型明天会收回其中一部分。
可靠性与持久性
这是 demo 成为产品、或成不了产品的那一章。智能体那道令人不适的算术是:可靠性沿轨迹以乘法方式复合,而长轨迹对每一步的误差绝不宽容。一个每步 95% 可靠的智能体,在一个十步任务上只有约 60% 可靠,在二十步上只有 36%。你看到的那些头条能力数字,几乎总是在 50% 成功阈值下测得的——恰恰因为那是最容易估计的——但有用的工作往往要求 99% 或更高,而「50% 时很惊艳」与「99% 时值得信赖」之间的那道沟,正是把多数智能体困在试点炼狱里的那道沟。
要让一个 n 步顺序任务以概率 P 完成,每步可靠性 p 必须满足 p = P1/n。一个 20 步任务要达到 99% 的端到端可靠性,每步需要约 99.95%。这正是为什么一个智能体里最有价值的工程,很少是关于抬高能力峰值、而几乎总是关于抬高下限:降低那些不可恢复的每步失败的发生率。METR 对「究竟是什么驱动了智能体任务长度跨度的增长」的分析指向同一件事——增益主要来自可靠性与错误自适应的改进,而非裸推理。
非确定性是一等的系统属性
智能体在多个层面同时非确定:模型在采样、工具跨调用返回不同结果、环境(一个活的网站、一个变动的数据库)在漂移。同一个智能体、给同一个任务,在重复运行中可能成功、失败、或以不同方式失败。对系统工程师,这有硬后果:你无法靠重跑来复现一个 bug,无法对一条确切的动作序列做断言,也无法预先完整测试。缓解手段借自测试纪律——对结果状态断言,而非对产出它的那条轨迹断言(与端到端测试同一个直觉)——但底层那条属性永不消失,而围绕它做设计(幂等动作、验证步骤、有界的爆炸半径),是工作的一部分。
持久化执行:智能体是长跑的分布式工作流
一个严肃的智能体可能跑上数分钟、数小时、或跨越数天,中间夹着人类审批——这使它成为一个长跑的有状态工作流,并继承了此类工作流一贯的每一个问题。进程会崩、机器会重启、模型厂商会在半途限流。没有持久性,所有进展尽失。生态收敛到的范式是检查点(checkpointing):在每一步之后序列化智能体的状态,好让一个在第 7 步暂停(或被杀)的运行,在第 7 步恢复——可能是数天之后,在另一台机器上。LangGraph 把这内建其中——每个节点执行都产出一份可序列化的快照,写入 Postgres、Redis 或类似存储——而专用的持久化执行引擎(Temporal 那一路)越来越多地被垫在生产智能体之下,用于 exactly-once 语义、重试与恢复。2026 年一项调查发现,约 68% 的生产智能体部署如今包含一个专用的记忆/状态层,高于 2024 年的约 23%——持久性从研究上的珍玩,变成了入场的基本盘。
Human-in-the-loop 作为一个架构原语
对「不完美的可靠性 + 不可逆的动作」的正确回应,不是「把模型做到完美」,而是「把一个人放在对的检查点上」。这是一个设计原语,不是兜底:正是持久状态,让你有可能在一个有后果的动作(一次部署、一次付款、一次公开发布、一次权限变更)之前暂停智能体,把拟议的动作浮出来等待批准,并在一个「是」上恢复。工程问题在于放置——给不可逆、高爆炸半径的动作设卡,其余的放它跑——而 §10 的安全框架把这点具体化,它们定义了「哪些动作组合绝不可完全自主地运行」。
可观测性:你无法运维你无法追踪的东西
因为一次运行是一条又长、又分叉、又非确定的轨迹,调试与监控要求完整的执行轨迹(traces)——每一次 prompt、模型输出、工具调用、参数、结果,以及事情出错的那一个确切回合。追踪之于智能体,就像日志与分布式追踪之于微服务,是那个承重的可观测性原语,而工具链(LangSmith 及同侪)正是围绕它长起来的。这个分布式系统类比比「顺手」更深:安全研究者如今主张,智能体需要 EDR 与 SIEM 为传统基础设施提供的那种运行时插桩——工具调用异常检测、按任务上下文限定范围的凭据访问监控、记忆写入审计——因为一个被攻陷的智能体,看起来就像一个合法智能体在做些「略微不对」的事,唯有轨迹才能揭示它。多数部署仍缺这一层,而这很大程度上正是「生产事故难以捕捉、更难以诊断」的原因。
把智能体当作一个中心坐着一位会犯错的行动者的、非确定的分布式工作流。一个成熟分布式系统所需的一切——持久状态、幂等、带退避的重试、检查点、审批门、端到端追踪——智能体统统需要,外加一份额外负担:它中心组件的输出是概率性的、且可被对抗性操纵。三年后仍然屹立的框架,会是那些把这些基本功做对了的,而不是那些有着最巧妙 prompt 抽象的。
评估与度量
评估智能体实质上比评估模型更难,而本领域的基准同时既不可或缺、又深不可信。一个在 MMLU 这类知识基准上拿 94% 的模型,可能在一个人类觉得毫无难度的多步网页任务上失败,因为智能体的成功要求静态问答从不施压的那些能力:规划、工具使用的纪律、错误检测与恢复。问题从「模型能不能答出这个?」变成「这套系统能不能完成这个需要工具、状态与恢复的多步任务?」——而这一转变,击碎了从 LLM 纪元继承来的大部分度量机器。
能力轨迹
最清晰的单一信号,是编码智能体在 SWE-bench 上的轨迹——在真实 repo 里解决真实的 GitHub issue——因为它是结果验证的(补丁能否通过隐藏测试?),而非评判的。即便对下面的告诫打了折扣,这条曲线的形状依然明确而陡峭。
为什么这些数字会撒谎(四条结构性原因)
智能体基准远不如 LLM 基准稳定,而一个读排行榜的架构师,在信任任何单一数字之前,应把「为什么」内化于心。
- 是脚手架,不只是模型。同一个基座模型换上不同挽具,在 SWE-bench 上常有 15+ 分的波动——它如何检索代码、如何从失败的补丁里恢复、如何管理上下文,与裸模型质量同样要紧。一个「模型分数」其实是一个「模型+脚手架分数」,而两者极少被拆开。这是本纪元给架构师最深的一课:脚手架是能力的一等决定因素。
- 污染。SWE-bench 的 issue 早于许多模型的训练截止;一次 OpenAI 审计发现,最难任务里的多数,其测试即便在 bug 未被修复时也照样通过,而约三分之一的 issue 在自己的注释里就含着解法。Verified 子集减轻、但未消除这一点。
- LLM 当评判者的偏差。当 ground truth 难以编码时,基准退回到用一个模型来给部分分——而评判模型表现出位置偏差(约 60% 的时候偏爱第一个答案)、长度偏差与「随和」偏差,某些 2025–26 的审计报告称评判者错误率高于 50%。
- 环境漂移与不稳定。基准环境是冻结的;真实的网页、API 与应用不是。而非确定环境中的智能体任务本就不稳——同一个智能体,跨运行分数各异。
2026 年 4 月,一个 UC Berkeley / RDI 的扫描智能体演示:全部八个主流智能体基准——SWE-bench、WebArena、OSWorld、GAIA、Terminal-Bench 等——都能被 reward hacking 推到近乎满分,却一个任务都没解决。叠加上肉眼可见的饱和(WebVoyager 如今扎堆在 90% 以上,已不再能把「好」与「卓越」的系统分开),实际结论是:2026 年的头条智能体分数,必须附带方法论披露才有意义,而在你自己的工作负载上的可靠性,比任何排行榜都更重要。
度量可靠性,而不只是能力:pass^k
最有用的方法论贡献,来自 Sierra 的 τ-bench(工具–智能体–用户交互,带策略遵从),它让 pass^k(读作「pass-hat-k」)流行开来,与人们熟悉的 pass@k 形成刻意对照。pass@k 奖励 k 次尝试中任意一次成功(随尝试增多趋近 1),而 pass^k 要求 k 次相互独立试验中每一次都成功(随 k 增大趋近 0)。它报告的是「一个智能体能可靠地、每一次都解决」的任务比例——恰是生产真正在乎的那个指标,也恰是把「惊艳」与「靠得住」之间的距离暴露出来的那个。结果浮现出大量被 best-of-k 数字所掩盖的可靠性缺口。
| 基准 | 领域 | 评分方式 | 考验什么 |
|---|---|---|---|
| SWE-bench Verified | 软件工程 | 隐藏测试 | 在大型代码库里修真实 bug |
| GAIA | 通用助手 | 精确匹配 | 多步推理 + 工具使用,对人类却很简单 |
| τ / τ²-bench | 工具 + 用户对话 | 状态匹配、pass^k | 策略遵从、可靠性、双控 |
| WebArena | 浏览器 | 状态 / 功能 | 多步网页导航与表单 |
| OSWorld | 计算机操作 | 系统状态 | 整机桌面控制(最难;SOTA 仍在 80 出头) |
| Terminal-Bench | 命令行 | 任务结果 | 隔离容器里的 CLI 工作流 |
那个元指标:任务长度跨度
对进展最富启发的框定,抽离于任何单一基准之上。METR 的时间跨度(time-horizon)工作度量的是:一个智能体能在给定可靠性下完成的任务长度(以人类专业人士完成它需要多久来计)——即「50% 任务完成时间跨度」。它的核心发现是一条惊人的规律:这个跨度自 2019 年以来大约每 7 个月翻一番,任务长度与成功之间强相关(R² ≈ 0.83),且这一趋势自 2024 年起似乎加速到约 4 个月(按某些 2024 年后的窗口,约 3 个月)翻一番。具体地说:GPT-2 的跨度是秒级;Claude 3.7 Sonnet 约 50 分钟;2026 年的前沿以数小时到数十小时计。两条告诫让它保持诚实——80% 可靠性的跨度以相近速率增长、但坐落得远低于 50% 那条(又是那笔可靠性税),而从一个近期的短窗口外推是脆弱的。但作为把「我们能交出去多少」压进一个数字的方式,它是本领域最有用的标尺,而它指向的方向与其余一切相同:稳步拉长的自主性,被可靠性卡着脖子。
互操作性与协议
2023 年,一个智能体是一个 demo;2024 年,它是一个框架;到 2025 年初,它变成了一百种互不兼容的工具调用约定。每个框架都有自己描述工具、协调智能体、处理一次事务的方式——经典的「标准化前」的一团乱麻。真正了不起的是这个生态收敛得有多快,以及收敛到一个多么干净的分层上。Web 走完等距的一段路花了大半个十年;智能体栈用了约十八个月。
两个协议,一道干净的划分
社区最终敲定的框定完全正确,值得背下来:MCP 把智能体连到工具;A2A 把智能体连到同侪。一个工具是被调用并返回的。一个同侪是被委派并协商的。它们是互补的层,不是竞争者。
| MCP — Model Context Protocol | A2A — Agent-to-Agent | |
|---|---|---|
| 起源 | Anthropic · 2024.11 | Google · 2025.04 |
| 层次 | 纵向:智能体 → 工具与数据 | 横向:智能体 → 智能体 |
| 模型 | JSON-RPC 客户端–服务器;带类型的工具调用、资源、prompt | 同侪任务委派;经由签名的 Agent Card 做能力发现 |
| 语义 | 调用并返回(像一次 API 调用) | 委派并协商(像一次「会推理的服务」的 RPC) |
| 演进 | 月下载约 1 亿+;被 OpenAI(2025.03)、Google、Microsoft 采用;基于日期的版本号 | 捐给 Linux 基金会(2025.06);IBM 的 ACP 并入(2025.08);达到 v1.0,带签名身份(2026.04) |
MCP 那个最经得起时间的设计抉择,是它的谦逊:它只标准化「管道」、对智能体架构刻意保持沉默,而这恰恰让每个厂商都能采用它、无需交出设计主张。它的采用在 2025 年初越过了引爆点——那一刻,团队意识到「一个工具造一次就能服务每个智能体」——而「MCP server」这个词,进入了那些此前从没交付过一个集成的团队的词汇表。A2A 填上了 MCP 明确留在范围之外的那道协调缺口,标准化了异构智能体(可能来自不同厂商、跑在不同框架上)如何发现彼此的能力、如何交接工作。
治理把这一层收敛了
制度层面的故事是让人安心的那部分。相互竞争的努力没有碎裂,而是并入了中立治理:2025 年 12 月,Linux 基金会成立了 Agentic AI Foundation(AAIF),由 OpenAI、Anthropic、Google、Microsoft、AWS 与 Block 共同发起,作为 MCP 与 A2A(外加正在冒头的 WebMCP 浏览器层)的永久归宿。相互竞争的巨头,在一个技术生命如此早的阶段,就在一个中立基金会之下就共享标准达成一致——这不寻常,且实质性地为企业采用去了风险,理由与「企业当年信任 HTTP 与 Kubernetes」相同。其上坐着早期的支付层(x402、AP2),用于智能体发起的交易,仍不成熟。浮现出来的分层——MCP 管工具、A2A 管智能体、WebMCP 管浏览器、支付协议管商务——正在固化为一张「智能体网络(agentic web)」的管道。
安全研究者在 MCP 兴起数月内就示警:它带着任何「大规模工具调用层」都有的同样风险——prompt injection,以及被投毒的工具(一个恶意的 MCP server,其工具描述或输出携带被注入的指令)。标准化是净利好,但「一个工具造一次就服务每个智能体」也意味着「一个被攻陷的工具能触达每个智能体」。较新的规范加了 OAuth 2.1、PKCE 与签名 Agent Card,但那个组合问题——一次会话里来自多个来源的多个工具——恰恰是让 §10 的威胁「结构性、而非偶发」的东西。
安全:那个未解的问题
Prompt injection 之于智能体,正如内存安全之于 C:一个直接从设计中长出来、抵抗局部修补、并将与我们长久相伴的基础性漏洞。它正是为什么智能体部署最大的瓶颈不再是能力,而是对生产系统安全、可靠的访问。
根因简单,且至今在模型层无解:一个 LLM 在指令与数据之间没有稳健的分隔。它上下文里的一切——system prompt、用户请求、它抓取的一个网页、它在摘要的一封邮件、一个文件的内容——都作为 token 抵达,而模型是个流利的「指令跟随者」。它摄入的任何文本,都可能被当作命令来解释。这就是间接 prompt injection:一个能把文本送到智能体面前的攻击者(经由一个网页、一份文档、一封邮件、一个被投毒的工具)就能劫持它。一句「处理一下我的收件箱」授权的是「读取收件箱」——而不是「执行攻击者塞进某封邮件里的任何指令」。
致命三要素(the lethal trifecta)
Simon Willison 于 2025 年 6 月的框定,是本领域最清晰的安全心智模型,而且它对设计真正承重。当一个智能体在单次会话里同时集齐三项能力时,数据外泄就成为可能:
这并非理论。那个确切的范式——恶意指令让智能体访问私有数据、并把它嵌进一个出站请求里(经典做法是一张被渲染的图片的 URL,把数据发往攻击者的服务器)——自 2023 年以来已在一长串已上线产品上被演示过。EchoLeak(CVE-2025-32711)是针对一套生产级企业系统 Microsoft 365 Copilot 的第一个零点击实例:一封精心构造的邮件,其隐藏指令一旦被索引,就让助手在用户毫无动作的情况下把数据外泄。一个等效攻击后来命中了 Google 的企业栈。Google 自己 2026 年 4 月对 Common Crawl 的一次扫查,发现 prompt-injection 载荷散布在公开网络各处,恶意尝试在单个季度里上升约 32%。这威胁是被编目的,不是臆测的:OWASP 的《2026 Top 10 for Agentic Applications》把 prompt injection 映射到其十个类别中的六个。
设计上的回应:给能力做预算
既然你无法让模型免疫,那么经得起时间的防御就是架构性的——约束哪些能力可以共存。Meta 于 2025 年 10 月的 Agents Rule of Two 把三要素变成一份设计预算,Willison 也背书它是当前可得的最佳实用指南:
在单次会话里,一个智能体应当满足这三项属性中不超过两项:(A) 它处理不可信输入;(B) 它能访问敏感系统或私有数据;(C) 它能改变状态或对外通信。停在两项或以下,注入最高危的后果就结构性地够不着,因为没有任何单次会话握有完整的外泄流水线。当一个用例确实三项都需要时,该智能体就不应自主运行——它要求在任何有后果的动作之前有 human-in-the-loop 批准。
其余一切都与这条组合。最小权限:把每个智能体的数据与工具访问限定到任务,就像你限定一个 service account——一个智能体极少需要同时拥有整个 Gmail、整个 SharePoint 与整个数据库。沙箱化:让执行代码的、以及做 computer-use 的智能体跑在权限最小的隔离 VM 或容器里(Anthropic 对 computer use 的明确指引),好让一个被劫持的智能体的爆炸半径有界。对 §7 里那些不可逆的动作设人类门。以及运行时监控——完整执行轨迹、工具调用异常检测、凭据访问与记忆写入审计——因为一个被攻陷的智能体不是一个登录进来的人类攻击者;它是一个被悄悄改向的合法智能体,唯有插桩才能抓住它。威胁也在越过外泄而演化:研究者已展示跨智能体系统的横向移动(IdentityMesh)与多步「promptware」kill chain,所以如今防御的战场,是运行时那一层,而不只是架构。
没有已知办法能让一个 LLM 稳健地「无视被注入的指令、同时仍跟随合法指令」,因为两者都只是文本,而模型的流利恰恰是全部要点所在。在这一点改变之前——如果它真能干净地改变的话——智能体安全是一门遏制(containment)的手艺,而非修补的手艺。把系统设计成「一次劫持是可幸存的」,因为你无法把它设计成「一次劫持是不可能的」。
生产系统与生态
到 2026 年,调查数据讲了一个一致的故事:智能体从实验跨进了生产(约 80% 的受访团队报告已有生产部署,约 81% 计划扩展到更复杂的用例),而首要障碍不再是模型能力——约 46% 把「与既有系统的集成」列为头号挑战。难的部分,是对 CRM、工单系统、内部 API 与数据平台的安全、可靠访问。多数组织走一条混合路线(约 47% 把现成智能体与自研结合),这与此前每一波基础设施「实际如何被采用」如出一辙。
编码 — 证明了这一切的那个领域
软件工程是智能体最先交付日常、复合价值的地方,至今仍是这个范式最清晰的证明。这片图景按形态分裂。IDE 内嵌的智能体(Cursor——到 2026 年初达到约 20 亿美元 ARR——与 Windsurf)逐回合把人留在环里。自主 / CLI 的智能体(Claude Code、OpenAI 的 Codex 智能体、Devin,以及 SWE-agent、OpenHands、Aider 这类开放挽具)拿到一个任务就跑。这个品类也催生了本纪元第一个真正的文化现象——「vibe coding」,非工程师靠对话来造软件——以及它不可避免的反弹,因为生产团队发现,未经审查的 AI 生成代码会制造出自成一类的维护债。浮现出来的清醒框定是:「魔法」AI 编码的纪元,正让位给一个受管理、被验证、经济上理性的 AI 工程纪元。两条经久的工程教训在这里结晶:一旦超过几百个文件,代码库索引与检索往往比裸模型智力更要紧;以及,一个跑在开源权重上的开放挽具,能以闭源产品每任务成本的一小部分(有报告称约 1/20)拿下任务——只要你愿意自己扛起沙箱化与可观测性。
深度研究与「deep agents」范式
深度研究智能体(来自 OpenAI、Google、Anthropic)是另一个突破口,也正是那种「以读为主、可并行」的经典工作负载——多智能体架构在此真正划算(§5)。它们还泛化成了一张可复用的蓝图——同时撑起研究工具与编码工具的「deep agents」范式:一个规划器、一个用作持久工作状态的文件系统(记笔记即记忆)、用于有界并行活儿的隔离子智能体、以及持久记忆。这是上下文工程(§4)结晶成的一套架构。
计算机操作与浏览器智能体
最雄心勃勃的品类给了智能体一个通用动作接口——去操控任何人类能操控的软件,无需 API。方法按「智能体如何触达系统」分野。屏幕接地(screen-grounding)的智能体把屏幕当像素来读、按坐标点击(Claude computer use、OpenAI 的 CUA——后来成为 ChatGPT 的 agent 模式、UI-TARS)——触达面最大,但脆弱:一次元素误读就毁掉这一步,而长任务会随屏幕变化而漂移。终端与连接器(terminal-and-connector)的智能体,则在存在更干净路径(一个 MCP 连接器、一个直连 API)时,干脆跳过屏幕。2026 年胜出的生产范式明确是混合且有序的——正如某个已出货产品的规则所言,连接器优先、浏览器其次、屏幕最后——在有结构化访问处就用它,只有当别无他法时才退回到像素。整机桌面控制(OSWorld)仍是最难的前沿,SOTA 仍在 80 出头,对比两年前的约 15%;而多步错误恢复——第 3 步的一个失误级联穿过之后的十步——仍是主导性的失效模式,这正是为什么对有后果的任务,人类检查点仍不可让渡。
框架图景
一条经久的张力贯穿工具选择:厂商 SDK vs 通用框架 vs 从裸模型 API 起步。Anthropic 自己的指引——从直连 API 开始,因为框架藏起了 prompt、也鼓励过度工程——值得与另一个现实一起掂量:框架把来之不易的范式编码进去,确实省真金白银的时间。务实的读法是:先理解原语,当一个框架的抽象匹配你的问题时再采用它,并对任何你看不穿的层保持怀疑。
| 工具 | 类型 | 形态 / 定位 |
|---|---|---|
| LangGraph | 框架 | 由节点/边构成的有状态图;内建检查点与存储;最常见的生产级选择 |
| Claude Agent SDK | 厂商 | 把 Claude Code 的原语(循环、工具、子智能体、skills)打包,用于构建自定义智能体 |
| OpenAI Agents SDK | 厂商 | 轻量智能体 + handoffs + guardrails;由 Swarm 演化而来 |
| CrewAI / AutoGen / AG2 | 框架 | 多智能体协作与对话式编排 |
| smolagents | 框架 | 约 1k 行的「代码即动作」智能体;极简版 CodeAct 范式 |
| Pydantic AI / DSPy | 框架 | 类型安全的智能体;DSPy 把 prompting 当作一个可编译、可优化的程序 |
| Temporal / Inngest | 持久化 | 垫在智能体之下的持久化执行——检查点、重试、exactly-once |
| Mem0 / Zep / Letta | 记忆 | 长期记忆层:蒸馏事实、时序图、OS 分层 |
Agent Skills:不造新智能体也能获得专长
一个值得点名的 2025–26 范式是 Agent Skills——可移植的包(一个 SKILL.md 加若干资产),经由渐进式披露,按需把程序性的、领域专属的知识注入一个通用智能体,而不是为每个垂类另起一个专用智能体。它是对一个真实问题(如何在不臃肿其上下文与指令的前提下,让一个能干的智能体在许多领域拥有深度专长)的干净回答,并且是对「工作流优先」纪律的补充、而非替代——与「只在需要时才载入一个库」是同一个直觉。
开放问题与展望
三年过去,这个领域对自己的难题看得比对其解法更清楚。对一个正在决定往哪儿投入的架构师,下面这些是承重的开放问题——大致按「它们对真实世界价值的闸门作用有多大」排序。
这将走向何方
两种框定在竞争,而两者都对了一半。看多的那个——「智能体是新的微服务」——认为自主、可组合、由 LLM 驱动的组件,将成为软件架构的一个主要单元,由协议(MCP/A2A)来协调,正如服务由 RPC 与消息队列来协调。支持它的证据是实打实的:能力轨迹陡峭、无明显平台期;标准化以异乎寻常的速度收敛;而编码与研究智能体已在规模上交付复合价值。
让人冷静的那个框定则是:智能体身上一切难的地方,之所以难,是出于结构性原因,而这些原因不会仅凭能力就化解。可靠性对你以乘法方式复合;安全没有干净的修法;评估不可靠;而最有价值的任务,恰恰是那些「带着真实权限去触碰不可信内容」的任务——正是三要素的危险区。因此近期更可能的形状,不是「自主智能体无处不在」,而是一条不断变宽的「受监督自主」带:智能体处理越来越长、越来越有价值的任务,处在越来越收紧的遏制之内,人类守在有后果的检查点上——自动化前沿稳步推进,而高风险、对抗性输入的工作,会比 demo 所暗示的更久地停留在人类监督之下。
贯穿每一章,同一个事实反复浮现:模型是一种正在快速商品化的输入,而系统是围绕它的那副脚手架——上下文管理、工具接口、记忆、持久性、评估与遏制。这些都是工程学科,也正是架构师增添经久价值之处,恰恰因为它们不会被下一个模型 checkpoint 淘汰掉。一个巧妙 prompt 的半衰期是一代模型。一个工程良好的智能体系统——一个把上下文当稀缺资源来管理、把爆炸半径控制在界内、验证自己的工作、并能从崩溃中幸存的系统——的半衰期,要长得多。为那个而建。
经典文献
本综述之下的第一手来源,供想回到源头的读者。奠基性论文、塑造了实践的文章,以及那些标准。
基础与抽象
- ReAct: Synergizing Reasoning and Acting in Language Models — Yao 等人,ICLR 2023。那个经典的「推理–行动–观察」循环。
- Toolformer: Language Models Can Teach Themselves to Use Tools — Schick 等人,NeurIPS 2023。
- Reflexion: Language Agents with Verbal Reinforcement Learning — Shinn 等人,NeurIPS 2023。自我批评作为记忆。
- Executable Code Actions Elicit Better LLM Agents(CodeAct) — Wang 等人,ICML 2024。arxiv.org/abs/2402.01030
- MemGPT: Towards LLMs as Operating Systems — Packer 等人,2023。分层记忆 / OS 类比(如今为 Letta)。
- Mem0: Production-Ready AI Agents with Scalable Long-Term Memory — Chhikara 等人,2025。arxiv.org/abs/2504.19413
- LLM Powered Autonomous Agents — Lilian Weng,2023。经久的总览。lilianweng.github.io
实践 — 塑造了本领域的文章
- Building Effective Agents — Anthropic,2024.12。工作流 vs 智能体;五种模式。
- Effective Context Engineering for AI Agents — Anthropic,2025.09。anthropic.com/engineering
- How We Built Our Multi-Agent Research System — Anthropic,2025.06。以读为主扇出的 90.2% / 15× 案例。
- Don't Build Multi-Agents — Walden Yan / Cognition,2025.06。cognition.com/blog
- How and When to Build Multi-Agent Systems — LangChain,2025.06。调和这场辩论。langchain.com/blog
训练、安全与度量
- DeepSeek-R1: Incentivizing Reasoning Capability in LLMs via RL — DeepSeek-AI,2025(arXiv:2501.12948)。开源的推理-RL 配方(GRPO)。
- The Lethal Trifecta for AI Agents — Simon Willison,2025.06。simonwillison.net
- Agents Rule of Two — Meta,2025.10。把三要素当作设计预算。
- Measuring AI Ability to Complete Long Tasks — METR(Kwa 等人),2025。时间跨度指标。metr.org/blog
- τ-bench 与 τ²-bench — Yao 等人 / Barres 等人,2024–25(Sierra)。pass^k 可靠性。
- SWE-bench — Jimenez 等人,ICLR 2024;以及 GAIA — Mialon 等人,2023。定义性的智能体基准。
标准
- Model Context Protocol — Anthropic,2024.11。智能体↔工具。概览
- Agent-to-Agent(A2A) — Google,2025.04 → Linux 基金会 / AAIF。智能体↔同侪。
- Computer-Using Agent — OpenAI,2025.01。GUI 智能体动作接口。openai.com