@QuinnyPig: 一直在思考一个真正的“代理原生云”应该是什么样的。提到这个，@Vercel 的 CEO 回复了…

一直在思考“智能体原生云”到底应该长什么样。我提到这事后，@Vercel的CEO回复说，他们就是那个答案。很酷！以下是他们（或 @Cloudflare，或某个尚未诞生的初创公司）必须达成的规范。

不会是 @awscloud。

讨论……

1. 有门控的变更。智能体不直接修改生产环境。它提交PR，触发一个Action，提出一个由人类（或另一个智能体）审查的更改。到目前为止，智能体还没有绕过这种模式——平台应该让这成为阻力最小的路径。

2. 别再让智能体每启动一个服务就让我找一遍API密钥。解决办法是密钥代理：平台持有密钥，智能体获取句柄，调用通过代理进行。一个被攻破的智能体无法泄露它从未持有的东西。

3. API必须一致。240个服务，各有各的动词、分页方式和区域怪癖，这就是为什么Claude Code在寻找正确命令时会卡壳，然后在错误的账号里执行它。

   智能体继承AWS的不一致税，税率比人类还高。

4. 智能体需要自己的身份。现在每个动作都通过人类的IAM角色洗白，所以审计日志显示“corey@duckbill 执行了此操作”，而事实是“Claude 凌晨2点的第三次重试执行了此操作”。 第一类智能体身份：有范围、可证明、有时限、可撤销。

5. 硬性预算上限，并且真正停止。不是AWS的“我们注意到你昨天花了4.7万美元，这里有个CloudWatch邮件”那种方式。在边界处自动关闭。一个Lambda卡在循环里，产生数据传输或推理费用，这是真实的故障模式；把它当作故障来处理！

6. 成本断路器，附带人工升级。智能体会话有配额。消耗速度超出预期 -> 通知人类，授权更多配额或直接终止。等到月底才发现，这就是每隔一周你就得面对一个5万美元的“哦不”媒体报道的原因。

7. 成本预览作为一等API。在任何改变状态的调用之前：“这将增加约340美元/月的固定成本，加上每千次请求0.09美元。”现在大多数定价基于用量，因此预览不能只说“X美元”。

   智能体不擅长AWS定价，因为AWS定价本身就差到不像是价格。

8. 为LLM可执行而设计的错误消息。不是“AccessDenied: User arn:aws:… 未被授权，因为不存在基于身份的策略允许此操作。” 更像是：“拒绝：此智能体缺少对‘users’表的dynamodb:Query权限；所有者可通过链接授予权限。”错误信息是指令，而不是谜题。

9. 爆炸半径作为基本概念。“此会话最多可花费X，最多接触N个资源，在Y环境中，30分钟后过期。”具备能力边界的会话，内建其中。现在每个智能体要么是上帝模式，要么被完全隔离。整个有趣的设计空间在两者之间。

10. 默认具备时间旅行。每个状态变更在某个窗口内是可逆的。“回滚过去20分钟”是一条命令，而不是一次通过CloudTrail招魂，最终你只能恢复昨天的快照，同时丢失四小时客户数据和智能体的错误。

11. 可观测性将操作->推理->成本关联。不是“Lambda X 触发了”，而是“智能体在尝试任务Y时调用了Lambda X，由请求Z触发，花费0.0003美元，在5美元的会话预算内。”这是AI原生的分布式系统dmesg。目前还没有人拥有。

12. 惯例优于配置，毫不留情。AWS在1000件事情上强制你做出明确选择，而其中95%明显只有一个正确选项。智能体原生平台应该对默认设置有强硬的意见，当需要询问时，询问人类，而不是独自胡乱尝试。

以上大多数之所以重要，只是因为智能体是半自主运行的。如果你手动输入提示并盯着每一步，你只需要一个不那么坑爹的CLI。有趣的工作在于当智能体无人值守运行，而你必须信任平台不会烧钱时，情况会发生什么变化。

哦，好眼力。

是的，这从来不是我的菜。真正的灌水者是为了热爱而玩。

我把我的AI垃圾安全地关在 http://shitposting.ai 里。

@QuinnyPig 说得太好了。

我们正在构建的执行层已经实现了2、3、4、11。 2 -> 实际上，为什么只限于API密钥？也可以用于登录。 3 -> 我们从一致规格开始，针对一组MCP、API、GraphQL，这也带来了很大不同！ 4 -> 解决起来很有意思。 11 -> 在产品上还没看到大量使用，但我们已经做了这个。

正在开发中 -> 8、5、6、7、9（按我们的执行顺序）

10和12很有意思，我很乐意进一步聊聊这些。