你有没有发现:能跑的 Agent 很多,但能在真实项目里长期、稳定、安全干活的 Agent 很少?
区别根本不在循环或工具,而在后面这一套看不见的系统加固闭环。
从 S07 到 S11,我们没有堆砌花里胡哨的功能,而是用最稳健的工程方式,给前面搭好的 Agent 骨架装上安全闸门、扩展插槽、长期记忆、动态输入和自愈能力,让它从 "demo 级玩具" 变成 "生产级可落地系统"。
这篇文章,把五章内容彻底串成一张完整地图。读完你会真正理解:Agent 的长期生命力,来自这几道看不见的加固防线。
一、全文总览:五大系统加固闭环
- S07 权限闭环 ------ 安全执行的闸门:意图先过权限门,再变动作。关键:规则流水线、权限模式、黑白名单。本质:模型只能提议,不能直接决定执行。
- S08 Hook 闭环 ------ 不改主循环也能扩展:预留事件插口,主循环不修改,也能加新能力。原则:核心逻辑稳定,扩展逻辑外置。
- S09 记忆闭环 ------ 跨会话长期价值沉淀:只存跨会话仍有效、无法从当前工作推导的信息。边界:Memory ≠ Task ≠ Plan ≠ 全局规则。
- S10 提示词闭环 ------ 动态输入流水线:系统提示不是一整块死文本,而是多模块按需拼装。核心:稳定规则与动态信息分离。
- S11 错误恢复闭环 ------ 让 Agent 遇到问题也能续跑:错误不是例外,而是主循环的正常分支。关键:错误分类、恢复路径、重试预算。
二、逐章精讲:每一章解决什么 "致命问题"?
1. S07 | 权限闭环:给 Agent 的手装上安全锁
解决问题 :模型可能执行危险命令、越权读写文件、擅自操作系统,一旦出错就是灾难。核心突破:建立 "意图 → 权限校验 → 执行" 的强制流水线,把 "能不能执行" 的判断从模型手里收回到系统。
- 拒绝规则优先:高危操作(如
sudo、rm -rf)直接拦截 - 权限模式兜底:plan 模式只读不写、auto 模式放行安全操作、default 模式询问用户
- 黑白名单兜底:安全常规操作自动放行,灰色操作必须用户确认
- 特殊防护 Bash:不把它当普通文本,而是可执行动作,单独做风险检查
关键点:
- 权限不是 "有权 / 没权" 的布尔值,而是一套多步骤的判断流程
- Bash 是最高风险工具,必须单独加固
- 先挡高危,再看模式,再放行常规,最后才问用户
2. S08 | Hook 闭环:主循环不动,系统也能无限扩展
解决问题 :每加一个新功能就修改主循环,代码越写越乱,没人敢维护,系统越来越臃肿。核心突破:把主循环和扩展逻辑彻底分离,主循环只负责推进核心流程,扩展逻辑通过 "预留事件插口" 接入。
- 三大基础事件:
SessionStart(会话启动)、PreToolUse(工具执行前)、PostToolUse(工具执行后) - 统一返回约定:0 = 正常继续、1 = 拦截当前动作、2 = 补充消息再继续
- 扩展逻辑外置:打日志、二次校验、审计记录等需求,都可以写成独立 Hook 函数,不用改主循环
关键点:
- Hook 不是主循环里的零散 if/else,而是标准化的扩展接口
- 主循环只知道 "事件名",Hook Runner 才知道怎么调用扩展逻辑
- 先吃透 3 个基础事件,再慢慢扩展更多场景
3. S09 | 记忆闭环:让 Agent 越用越懂你,而不是越用越乱
解决问题 :Agent 每次新会话都从零开始,反复遗忘用户偏好、项目隐性约定、历史纠错;很多 "记忆系统" 变成垃圾堆,什么都存,越存越乱。核心突破 :给记忆系统立住边界:只有跨会话仍有价值、无法从当前代码重新推导的信息,才值得进入 Memory。
- 四类有效记忆:用户偏好、历史反馈纠错、项目隐性约定、外部资源指针
- 坚决不存:文件结构、临时任务进度、短期分支、代码细节、密钥凭证
- 存储设计:单条记忆独立 MD 文件 + 元数据头,配套索引文件,会话启动自动加载
关键点:
- Memory ≠ Task/Plan:前者是跨会话长期价值,后者是单次任务的临时状态
- Memory 只做参考,永远优先采信当前代码的真实状态
- 不把 Memory 当成 "绝对真相",避免被过时信息带偏
4. S10 | 提示词闭环:从 "写死大文本" 升级为 "可维护流水线"
解决问题 :新手把系统提示词写成一整块硬编码文本,工具列表、技能、记忆、环境状态变化后,难以维护、无法动态适配,Token 也白白浪费。核心突破:把系统提示词拆解为多个独立模块,按顺序按需拼装,告别 "一整块大字符串"。
- 六大拼装模块:核心身份说明 → 工具列表 → 技能元信息 → 长期记忆 → CLAUDE.md 指令链 → 动态环境信息
- 边界分离:稳定固定规则与每轮临时动态提醒分开,不混为一谈
- 统一接入:Memory、Skills、CLAUDE.md 各司其职,都通过统一流水线汇入模型输入
关键点:
- 系统提示词不是写出来的,而是 "组装" 出来的
- 拆分模块后,可单独维护、测试、缓存,也能动态适配会话状态
- 动态信息(如当前日期、工作目录)和长期规则(如项目约定)必须分开处理
5. S11 | 错误恢复闭环:让 Agent 遇到问题也能自己续下去
解决问题 :输出被截断、上下文超限、网络超时、接口限流等错误,一旦发生,主循环直接崩盘,长任务前功尽弃。核心突破:把错误从 "意外" 变成主循环的正常分支,建立 "错误分类 → 恢复路径 → 重试预算" 的自愈机制。
- 三类常见错误 + 对应恢复方案:
- 输出被截断:注入续写提示,告诉模型不要重复、不要重来,直接从断点继续
- 上下文过长:自动压缩旧对话为摘要,腾出会话空间再重试
- 网络 / 接口抖动:指数退避延时,有限次数重试
- 重试预算:给每种恢复路径设置最大尝试次数,防止无限循环卡死
- 恢复日志:明确标记恢复路径,让你看得见主循环到底在做什么
关键点:
- 恢复不是简单的 try/except,而是系统知道该怎么续下去
- 不同错误用不同恢复方式,该续写的不要压缩,该重试的不要直接失败
- 压缩不是 "删历史",而是把历史变成仍能支撑任务的摘要,保证连续性
三、整体加固路线:一张图看懂 Agent 如何从 "能跑" 到 "稳跑"
- S07 给 Agent 装上安全锁:管住执行动作,不让它乱搞
- S08 给 Agent 插上扩展槽:主循环不动,也能加新能力
- S09 给 Agent 装上长期记忆:沉淀跨会话的有效信息,越用越懂
- S10 给 Agent 装上动态输入流水线:提示词好维护、可扩展、能适配
- S11 给 Agent 装上自愈能力:遇到问题不崩盘,自动续跑
四、最终总纲:一个真正可长期跑的 Agent,离不开这五道防线
一个能上线、稳定输出、能处理复杂任务的 AI Agent,从来不靠模型更聪明,而靠一套看不见的系统加固闭环:
权限管住动作 + Hook 扩展能力 + 记忆沉淀价值 + 提示词动态适配 + 错误恢复兜底
这就是 S07-S11 送给你的:一套从 "能跑" 升级到 "稳跑、安全跑、长期跑" 的生产级 AI 智能体加固方案。