OpenFang 给我的一个提醒：AI Agent 真正难的不是自主，而是治理

OpenFang 给我的一个提醒：AI Agent 真正难的不是自主，而是治理

这两天看了一个项目，叫 OpenFang 。它把自己定义成一个 Agent Operating System，不是聊天机器人框架，不是 Python agent library，也不是普通 multi-agent orchestrator，而是一个完整的 agent runtime platform。

说实话，这个定位很吸引人。

Rust、单二进制、WASM sandbox、memory、channel adapters、dashboard、approval gate、MCP、A2A......从工程包装上看，OpenFang 很明显不是"再写一个 demo"，而是试图把 agent 做成一个能长期运行、能受控执行、能跨渠道工作的系统。

但我看完之后，脑子里冒出来的一个更重要的判断反而是：

AI Agent 真正难的，从来不是 autonomy，而是 governance。

也就是说，问题不是"怎么让 agent 更像一个完全自主的智能体"，而是"怎么让它在真实世界里，安全、稳定、可审计地持续工作"。

OpenFang 恰好是一个很好的参考样本，因为它把很多人嘴里的"自主"，落到了一个更现实的层面：bounded autonomy。

---

一、很多人说的"自主"，其实只是更高等级的自动化

一提到 AI Agent，最容易让人兴奋的词就是：

• autonomous
• self-running
• self-improving
• hands-free
• AI employee

这些词当然有传播力，但技术上需要分得很清楚。

在现实系统里，所谓"自主"，至少可以分成三层：

第一层：响应式智能

你问一句，它答一句；你不问，它什么也不做。

这是大多数 chat agent 的状态。

第二层：流程内自治

你给它目标、工具和边界，它可以自己拆步骤、调工具、执行流程、整理结果。

这已经比普通聊天强很多，也是现在大量 agent system 的能力上限。

第三层：开放环境中的长期自主

它不仅执行任务，还能自己形成稳定目标、管理长期策略、处理环境不确定性、修正错误、维持价值一致性，并在高复杂场景中持续工作。

这个层级，今天大多数 agent 系统其实还远没到。

所以，当很多产品说自己在做"autonomous agents"时，真实情况往往是：

它们实现的是第二层------流程内自治，而不是第三层------开放环境中的完全自主。

这不是贬低，而是术语要用准。

---

二、OpenFang 的价值，不是证明了"完全自主"，而是把"有边界的自治"做得更像生产系统

OpenFang 最值得看的，不是它用了 Rust，也不是它列了多少个工具、多少个 channel adapter，而是它把 agent 的运行问题，放到了一个 runtime / platform / security 的框架里去思考。

它主推的概念叫 Hands。每个 Hand 不是简单 prompt 一下，而是一个长期运行的 capability package：

• 有 manifest
• 有 system prompt
• 有 skill knowledge
• 有 schedule
• 有 tool 权限
• 有 dashboard 可观测性
• 对敏感动作有 approval gate

这件事很关键。

它意味着 OpenFang 不是在卖"和 AI 聊天"，而是在卖：

让 AI 作为一个可配置、可调度、可约束、可汇报的 worker 持续运行。

这个方向是对的。因为企业真正需要的 agent，很多时候根本不是"陪聊"，而是：

• 定时巡检
• 主动采集
• 自动分析
• 跨渠道汇报
• 高风险动作前等待审批

这不是科幻意义上的自主，而是工程意义上的自治。

---

三、AI Agent 真正难的，不是让它更大胆，而是让它更可控

今天很多 agent demo 看起来已经足够惊艳：

• 会用浏览器
• 会调工具
• 会写代码
• 会查资料
• 会执行多步任务

但一旦要进真实业务环境，难点马上就变了。

你会发现，真正把 agent 卡住的不是"它聪不聪明"，而是下面这些问题：

• 它有没有拿到不该拿到的权限？
• 它调工具时能不能越权？
• 它会不会被 prompt injection 带偏？
• 它的输出有没有证据链？
• 它失败时有没有 fallback？
• 它产生了什么副作用，能不能审计？
• 它跨 session / 跨 channel 的记忆是否污染？
• 它是不是会进入 loop？
• 它的成本和调用边界谁来控制？

这些问题本质上都不是"模型智商问题"，而是：

runtime design、policy enforcement、security boundary、observability、auditability 的问题。

这就是为什么我越来越觉得，Agent 时代最重要的竞争焦点不会只是模型，而是 AgentOps / governance stack。

---

四、OpenFang 给出的答案，本质上是"governed autonomy"

看 OpenFang 的 repo，会发现它一直在强调这些能力：

• WASM dual-metered sandbox
• capability gates
• approval gates
• audit trail
• prompt injection scanner
• loop guard
• SSRF protection
• path traversal prevention
• taint tracking
• session repair

不管这些具体实现成熟度如何，至少它的 framing 非常明确：

agent 不是先放出去跑，出事了再补安全；而是从一开始就假设 agent 会出错、会越界、会被诱导、会形成副作用。

这是对的。

因为真正危险的从来不是"一个回答错了"，而是：

• 一个 agent 拿着工具链持续跑
• 有 shell / browser / network / memory / schedule
• 还能跨 channel 汇报
• 且没有良好的边界和审计

在这种情况下，agent 的风险已经更像一个"自动化 insider process"，而不是一个"回答问题的模型"。

所以 OpenFang 真正有价值的地方，不是"更自主"，而是它把这种风险当成了一等公民。

---

五、为什么"完全自主"不是现在最该追求的目标

很多人听到这里会说：那是不是 AI 永远不该更 autonomous？

不是这个意思。

问题在于，完全自主 这件事，在现阶段既不现实，也不一定是商业上最优先的方向。

1. 完全自主需要稳定的目标形成机制

现在的 agent，大多还是：

• 人类定义目标
• 人类授予权限
• 人类选择工具
• 人类设定 schedule
• 人类决定何时接管

只要这些关键环节仍然由人定义，系统的自主性就主要停留在执行层，而不是目标层。

2. 完全自主需要长期一致的世界模型

真正的长期自主，不只是完成一轮任务，而是要持续维持：

• 对环境的理解
• 对自己的能力边界理解
• 对目标优先级的调整
• 对不确定性的校正
• 对失败原因的抽象

今天的 agent，大多还做不到这件事。

3. 完全自主会迅速碰到现实中的责任边界

哪怕技术上更强，现实世界也不会轻易放开：

• 财务动作
• 安全动作
• 生产改动
• 外发内容
• 法律/合规相关动作

这些场景注定会要求：

• 审批链
• 权限边界
• 责任可追溯
• 人类兜底

所以对于企业来说，最优解通常不是"完全自主"，而是：

高自动化 + 强治理 + 清晰的 human override。

---

六、未来真正有价值的 agent 系统，应该长什么样？

如果把 OpenFang 作为一个参考样本，我觉得未来更靠谱的 agent runtime 应该至少具备下面几层：

1. 调度层（Scheduler）

支持：

• 周期任务
• 事件触发
• 条件执行
• 状态持久化

2. 能力层（Capability Layer）

支持：

• 工具注册
• 权限声明
• RBAC / capability gate
• 高风险动作审批

3. 记忆层（Memory Layer）

支持：

• 跨会话连续性
• relevance control
• compaction
• deletion / correction semantics
• 审计与可解释性

4. 治理层（Governance Layer）

支持：

• audit trail
• refusal logging
• policy validation
• cost / usage budget
• risk scoring

5. 观测层（Observability Layer）

支持：

• logs
• traces
• tool execution history
• latency/cost metrics
• quality feedback loop

6. 交互层（Human-in-the-Loop）

支持：

• 审批
• 驳回
• 回滚
• 中断
• 二次确认

只有这些层都补齐了，agent 才配谈"进生产"。

否则很多所谓 autonomy，最后都只是一个更脆弱、影响范围更大的自动化脚本。

---

七、对 AIOps / 平台工程来说，这个趋势意味着什么？

如果你本来就在做 DevOps / Platform / AIOps，这个趋势其实很值得重视。

因为 agent 系统越来越不像单纯 AI 应用，而越来越像：

• 一个新的 runtime
• 一个新的 automation plane
• 一个新的 policy enforcement surface
• 一个新的 governance object

也就是说，未来真正强的 AI 工程师，不一定是最会写 prompt 的那一批，而很可能是最懂下面这些的人：

• 系统边界
• 风险控制
• 工具治理
• 运行时设计
• 审计与可观测性
• 人机协作链路

从这个角度看，OpenFang 这种项目最值得学的，不是它有没有"完全自主"，而是：

它在提醒我们，agent 的核心工程问题，正在从模型能力，转向 runtime governance。

---

八、结语：比起追求"完全自主"，更值得追求的是"可控自治"

我越来越觉得，AI Agent 领域接下来最重要的突破，不一定来自某个模型更强，而更可能来自：

• 更好的 sandbox
• 更好的 approval design
• 更好的 audit trail
• 更好的 policy validation
• 更好的 memory discipline
• 更好的 runtime abstraction

这些东西听起来不性感，但它们才决定 agent 能不能真正进入生产。

所以如果要给 OpenFang 这个项目一个我自己的总结，我会这么说：

OpenFang 最值得看的，不是它离"完全自主 AI"还有多远，而是它已经把"有边界的自治"往生产系统推进了一大步。

未来真正能落地的 agent，不会是最自由的那个， 而会是 最可控、最可审计、最能被组织信任的那个。