环境即服务：以智能体为接口

摘要

组织在构建智能体(Agent)工作环境上投入巨大——工具、数据管线、知识库、访问控制、操作流程——这些构成了一个智能体工作的基础。但一旦建成，如何将这些环境的能力分发给在环境之外工作的用户，是一个未被解决的问题。现有方案——平台 UI、REST API（MCP 是一种特殊的 API）、工具服务器——都在"功能有多强"和"用起来有多方便"之间做了妥协。

我们提出环境即服务（Environment as a Service，EaaS），一种通过在环境内部嵌入 AI 智能体并将其作为服务接口来分发环境能力的架构。调用方——通常是另一个代表用户行动的 AI 系统——通过自然语言与服务智能体通信。该智能体拥有对环境内工具、数据、知识和安全策略的间接访问权，处理请求并返回结构化结果。

这一设计决策——以智能体为接口——同时实现了三个通过工具级接口不可能同时达成的性质：

1. 能力抽象：调用方无需理解环境的工具栈、数据模型或操作流程。
2. 语义安全：安全边界由一个理解意图的智能体执行，而非仅检查权限——且调用方永远不接触领域凭证。
3. 知识放大：每一次交互都丰富环境积累的知识，惠及未来所有调用者，无论其入口在哪里。

我们进一步论证，EaaS 不仅是一种更好的架构，而且是一种必需的架构。在 AI Agent 环境本质上不安全的世界里——面临供应链攻击、提示注入（prompt injection）和凭证窃取的威胁——任何将工具或凭证分发到调用方环境的架构都是在分发攻击面（即可被攻击者利用的暴露点）。EaaS 是唯一能让外部用户用得上环境能力、同时不向调用方分发底层工具、凭证或攻击面的模式——因为跨越边界的唯一东西是语言。

我们以一个面向数据分析的生产级领域智能系统为案例阐述 EaaS，但该架构与领域无关。这一模式适用于任何存在丰富运营环境、且外部用户需要在不直接访问其接口的前提下获取其能力的场景。

---

1. 分发问题

当一个团队构建智能体工作环境时，他们实际上是在集聚一种惊人的能力密度：数据库和查询引擎、可视化工具、实验平台、监控仪表盘、ETL 管线、积累的标准操作流程，以及——越来越重要的——一整套在运营中沉淀下来的实践知识。环境之所以强大，恰恰在于一切都是连通的：查询引擎知道哪些表是可靠的，SOP 知道每种任务类型的正确工作流，知识库记得数月运营中发现的边界情况。

这种能力被锁在环境内部。

在 Jupyter Notebook 中工作的数据科学家无法获取它。在 IDE 中工作的工程师无法获取它。使用自己偏好的 AI 助手的产品经理无法获取它。要使用环境的能力，他们必须离开自己的工具、进入环境的界面、学习它的约定、在它的约束中工作。

这造成了一个组织层面的悖论：环境越强大，对在其外部工作的用户制造的摩擦就越大。 环境的能力既是最大资产，也是分发的瓶颈。

这个问题不是狭义的技术问题——它是架构问题。如何在不要求用户身处其中的情况下，分发环境的能力？

2. 现有方案及其局限

目前存在三种方案。每种做出不同的取舍，没有一种解决了根本张力。

2.1 平台 UI

最常见的方案：构建一个 Web 应用作为环境的前端。用户登录、通过 UI 交互、访问环境的全部能力。

这对在平台内工作的专职用户效果很好。但对偶尔使用的用户、偏好不同工具的用户、工作流横跨多个环境的用户来说，它是失败的。一个在 Notebook 中分析数据的数据科学家不愿意为了查一个指标定义就切换到一个独立的 Web UI，然后再切回去继续分析。

平台 UI 也是投入最高的方案：每个新能力都需要构建新的 UI 界面，UI 本身也成为维护负担。

2.2 API 和 SDK

工程化方案：将环境的能力暴露为 REST 或 GraphQL 端点，可选地封装成特定语言的 SDK。用户从自己的工具中调用 API。

这对定义清晰的原子操作有效——创建一个报表、执行一个查询、获取一个指标。但领域环境之所以有价值，恰恰在于它支持复杂的、需要判断力的多步骤工作流：选择正确的数据源、应用正确的指标定义、根据已知的边界情况验证结果、遵循特定任务类型的 SOP。

API 暴露的是动作。它不暴露判断力。一个不理解环境数据模型、指标定义和操作惯例的调用方，会错误地使用 API——不是因为 API 不好，而是因为领域专业知识无法被序列化到端点文档中。

2.3 工具服务器和 MCP

AI 原生方案：通过 MCP（模型上下文协议）等协议暴露环境的工具，允许 AI 系统发现并调用它们。调用方的 AI 智能体遍历可用工具、理解其 schema、编排它们来完成任务。

这是最接近 EaaS 的现有方案，值得精确理解它差在哪里。

编排负担落在调用方身上。 当一个 AI 系统发现一个有二十个工具的工具服务器——搜索报表、执行查询、获取卡片元数据、创建草稿、管理管线——它必须决定使用哪些工具、以什么顺序、用什么参数。这需要调用方 AI 不具备的领域知识。它不知道"先搜索索引，再获取元数据，再运行报表"是正确的工作流。它不知道哪个数据源对于留存查询更可靠。它不知道报表优化的 SOP。

安全在工具级别，不在意图级别。 工具服务器按工具执行访问控制：这个 token 能调用这个端点吗？这无法区分"查一下上周留存率"和"导出所有用户邮箱"。两者都是对同一个查询工具的调用，只是 SQL 不同。

知识无法传递。 即使环境积累了数月的实践知识——指标定义、数据源可靠性评估、边界情况警告——这些知识在工具接口中无法获取。调用方的 AI 是在没有知识的情况下运作的。

简言之，MCP 和工具服务器暴露的是没有上下文的机制。它们给调用方提供工具，但不给如何使用的知识、何时使用的判断力、以及什么不该做的安全意识。

这一差距是结构性的，不仅是程度上的。差异的本质在于智能相对于服务边界的位置。在 MCP 中，智能（编排、判断力、领域知识）必须存在于调用方侧——服务提供机制，调用方提供意义。其次，MCP 在结构上无法暴露知识：它暴露的是带有 schema 和描述的工具，但"这个数据源在周一不可靠"或"这个指标上季度被重新定义了"这类知识无法表示为工具 schema，只能表示为智能体在工作时推理的上下文。值得注意的是，没有什么阻止一个 MCP server 暴露一个由智能体支撑的单一 ask 工具——但这样做实质上就是 EaaS，以 MCP 作为传输协议来交付，而不是上文所批评的将多个领域工具暴露给调用方编排的模式。

3. 环境即服务

我们提出一种不同的方案：将环境本身作为服务暴露——通过一个在环境内部运行的 AI 智能体。

3.1 以环境为服务单元

关键的概念转变在于什么构成服务边界。

在 API 中，服务单元是函数：一个端点、一个操作、一个响应。

在工具服务器中，服务单元是工具：一个能力，可发现可调用。

在 EaaS 中，服务单元是环境：完整的运营上下文——工具、数据、知识、流程、安全策略——由一个理解所有这些的智能体中介。

调用方不与单个工具交互。调用方通过环境的智能体与环境交互。这个区别的重要性，就像雇一个专家和订一套工具的区别。专家带来判断力、上下文和积累的经验。工具只带来机制。

3.2 以智能体为接口

EaaS 的决定性设计决策是：调用方与环境之间的接口是一个 AI 智能体。

这个智能体不是工具的薄封装。它是一个完整的推理系统：

• 读取环境的知识后再决定如何处理请求。它在使用任何工具之前，先查阅积累的实践知识——指标定义、数据源可靠性评估、已知的边界情况。
• 基于领域理解选择和编排工具。它知道每种请求类型的正确工作流、每个步骤的合适工具、以及步骤应当进行的顺序。
• 根据领域期望验证结果。它可以检测异常的查询结果、标记数据陈旧性、与已知基线交叉引用。
• 通过语义理解执行安全策略。它评估的是调用方在要什么，不仅仅是调用方想用什么工具。
• 返回调用方可以直接消费的结构化结果。智能体做工作；调用方拿答案。

关键洞察是：这不仅仅是一个便利层。以智能体为接口从根本上改变了服务的性质。

在工具接口下，服务的质量上限由调用方的领域知识决定。一个不理解工具的调用方会用错工具，无论工具本身有多好。

在智能体接口下，服务的质量上限由环境的领域知识决定——如第 5 节所论证的，这种知识随时间复合增长。调用方只需要描述意图。智能体提供专业能力。

3.3 双 AI 委托模式

EaaS 自然催生了一种新的计算模式：两个 AI 系统通过自然语言协作，各自精通自己的上下文。

用户 ←→ 调用方 AI ←→ EaaS 智能体
        （用户上下文）    （领域上下文）

调用方 AI——运行在用户的环境中（Notebook、IDE、终端、或另一个 AI 助手）——理解：

• 用户当前的任务和工作上下文
• 用户的偏好和沟通风格
• 用户已经尝试过什么
• 如何在用户的工作流中呈现结果

EaaS 智能体——运行在领域环境内部——理解：

• 可用的工具及其正确使用模式
• 领域的知识库、指标定义和 SOP
• 数据源可靠性、已知边界情况和验证流程
• 安全策略和访问控制

两个 AI 都不需要理解对方的领域。调用方 AI 不需要知道环境中的仪表盘工具怎么工作。EaaS 智能体不需要知道用户在运行什么 Notebook。自然语言是它们之间的协议，这是充分的，因为每个系统都在意图层面运作，而非机制层面。

这个模式与函数调用、API 组合或工具编排有本质区别。那些模式要求调用方在结构层面理解被调用方的接口。双 AI 委托模式只要求在语义层面的理解——要什么，而非怎么做。

来看一个具体例子。一个数据科学家在 Jupyter Notebook 中问他的本地 AI 助手："我们上周的 7 日留存是多少？和上个月比怎么样？"

没有 EaaS，本地 AI 需要：发现该查询哪个工具、理解留存指标的定义、知道该用哪张表、写正确的 SQL、处理比较逻辑、验证结果。它不具备这些知识。

有了 EaaS，本地 AI 发一条自然语言请求给 EaaS 智能体。EaaS 智能体查阅环境的知识库获取留存指标定义，选择合适的已保存报表或写一个经验证的查询，执行它，与历史基线比较，返回一个包含数字、对比和注意事项的结构化结果。本地 AI 将这些格式化到 Notebook 中。

每个 AI 做了它最擅长的事。都不需要理解对方的环境。

这个模式意味着，在客户端侧，EaaS 最好暴露为单一工具——无论集成机制如何。调用方 AI 看到一个能力：'问环境。'不是'搜索报表'、'执行查询'、'获取元数据'——只是'问'。当你暴露多个工具的那一刻，就把编排责任推回给了调用方——而这恰恰是 EaaS 要消除的。

4. 语义安全边界

EaaS 引入了一种与工具级接口有本质差异的安全模型。我们称之为语义安全边界：一个基于请求含义而非其机械形式做出访问决策的安全周界。

4.1 从动作级到意图级的安全

API 和工具服务器中的传统安全运作于动作级别：

• 这个 token 能调用这个端点吗？
• 这个用户能读这张表吗？
• 这个角色能执行这个工具吗？

这是必要但不充分的。同一个工具——一个 SQL 查询端点——既能用来"查上周留存率"，也能用来"导出所有用户 PII"。两者在语法上完全相同：使用不同 SQL 的查询工具调用。动作级安全无法区分它们。

EaaS 的安全运作于意图级别。服务智能体在执行前评估每个请求的含义：

• 调用方在要什么？
• 这个请求与调用方的角色和典型使用模式是否一致？
• 结果是否会包含调用方不应获取的敏感信息？
• 这个请求是否匹配与数据窃取、权限提升或策略违规相关的模式？

这只有在接口是一个理解自然语言的 AI 智能体时才可能。一个工具端点接收结构化参数，无法推理意图。一个智能体接收自然语言请求，可以评估其目的、其合理性、以及与调用方历史的一致性。

4.2 凭证隔离

在 EaaS 中，调用方的 AI 永远不接触领域凭证。数据库密码、API key、服务 token、连接字符串——全部留在环境边界内。调用方仅持有一个短生命周期的身份 token——这在认证意义上是凭证，但不携带任何领域级权限：它不能查询数据库、调用内部 API、或直接访问任何服务。调用方以人的身份认证；服务智能体在内部将该身份映射到适当的凭证。

这消除了困扰工具级接口的一整类安全风险：

• 无凭证泄露：调用方的环境中从不包含数据库密码或 API key。没有什么可以泄露。
• 无过度授权：每个调用方获得与其身份匹配的访问级别，由服务智能体执行，而非信任调用方使用正确的凭证。
• 无凭证蔓延：环境管理一组内部凭证。用户用短生命周期的身份 token 认证，而非服务凭证的副本。

在工具服务器模型中，分发能力就需要分发凭证——或构建复杂的代理认证层，而这些层本身就是攻击面。在 EaaS 中，凭证边界和服务边界是同一个东西。

4.3 绑定身份的短生命周期访问

EaaS 认证模型围绕三个原则设计：

1. 每个请求绑定到真实的人类身份。 不是共享的 API key，不是服务账号，而是具体的人。这使得细粒度的访问控制和完整的审计追踪成为可能。

1. 访问 token 短生命周期。 典型的 token 有效期为八小时——一个工作 session——意味着被泄露的 token 在造成持续损害之前就会过期。用户在每个工作日开始时通过基于浏览器的 OAuth 流程认证。

1. 环境控制身份到权限的映射。 当请求带着用户身份到达时，服务智能体在内部决定该用户可以访问什么。这个映射维护在环境内部，对调用方不可见。

这个模型有意类似 gcloud auth login 或 gh auth login 的工作方式：通过浏览器以自己的身份认证，获得一个短生命周期的 token，使用到它过期为止。用户已经熟悉这个模式。新的地方在于：token 授予的不是对原始 API 的访问，而是经由一个智能体中介每一次交互的访问。

4.4 环境内部的分层防御

语义安全边界不是单一检查点。在环境内部，安全分层运作：

1. 入口拦截：请求级验证、频率限制、异常检测。语法畸形、异常大、或在异常模式下到达的请求，在到达智能体之前就被标记。

1. 意图评估：服务智能体——或专门的安全智能体——评估请求对于调用方的身份和角色是否合适。这是语义层：理解请求意味着什么，而非仅仅要求什么。

1. 执行限制：智能体使用限定在经认证用户范围内的凭证和权限执行。即使智能体的推理被攻破，也无法超越用户的授权访问级别。

1. 输出过滤：在结果返回之前，一个过滤流程确保敏感信息——凭证、内部服务地址、超出用户权限的 PII——不包含在响应中。

1. 定期审计：后台进程审视积累的请求和响应历史，发现单次请求评估可能遗漏的模式：渐进式数据窃取、系统性探测、或使用模式偏移。

这种纵深防御（多层叠加的安全保护）在 EaaS 中是自然的，因为服务智能体控制着整个请求生命周期。在工具服务器模型中，每个工具各自负责自己的安全，跨工具的安全关注点（如检测多步骤的窃取模式）就会从缝隙中漏掉。

5. 知识放大效应

领域环境不仅包含工具和数据。随时间推移，它们可以积累知识——运营中沉淀下来的认知，关于事物如何运作、正确方法是什么、陷阱在哪里。一项独立的工作——自演化知识引擎（Self-Evolving Knowledge Engine，SEKE）——探索了如何使这种积累自主化：不依赖人工策编，而是让智能体从自身的工作中学习领域知识，将其组织到一棵结构不断演化的语义树中，通过对抗性审查精炼，并在人类设定的结构性规则框架内运行。核心论题是：通用智能 + 能力接口 + 领域知识 = 领域智能——一个拥有知识引擎的系统可以无需定制训练或手工知识库而自举成为领域专家。（完整论述参见《从智能体到领域智能：自演化知识引擎》。）

当 EaaS 背后的环境包含这样的知识积累系统时，EaaS 就会产生强大的放大效应。

5.1 更多入口，同一个知识池

没有 EaaS 时，只有环境原生界面的用户为知识积累做贡献。每一次交互都反馈到知识系统——但只通过一个渠道，即环境原生界面。

有了 EaaS，每一个外部调用方也在贡献：

• 一个从 Jupyter Notebook 查询的数据科学家发现某个指标定义已经变了。EaaS 智能体的工作轨迹捕获了这一点，反馈到知识系统。
• 一个从 IDE 提问的工程师揭示了一个数据源可靠性问题。这成为知识。
• 一个产品经理的 AI 助手提出了一个新颖的问题，迫使 EaaS 智能体探索一条前所未走的路径。探索的结果——包括死胡同——都被捕获。

知识系统不区分来自原生 UI 的请求和来自 EaaS 的请求。所有交互都产生工作轨迹。所有工作轨迹都供给知识进化循环。更多入口意味着更多交互、更多元化的问题、更快的知识积累。

5.2 飞轮

这创造了一个自我强化的循环：

更多入口（EaaS）
→ 来自多元上下文的更多交互
→ 更丰富的知识捕获素材
→ 更好的知识库
→ 更好的服务质量
→ 更多用户采用 EaaS
→ 更多入口

这是一个正反馈循环。但值得注意的是，知识系统本身通过负反馈运作：错误产生不正确的结果，现实施加反推（用户质疑答案、查询返回与预期不符的数字），知识随之被修正。正循环在于采用和输入多样性；负循环在于知识质量。两者共同产生一个在覆盖范围和准确性上同时增长的系统。

5.3 跨上下文的知识迁移

EaaS 实现了一种在隔离的工具访问中不可能存在的知识迁移形式。当一个使用平台 UI 的用户发现了一个工作流优化，这个知识进入知识树。当一个 Notebook 用户后来通过 EaaS 遇到类似任务时，智能体检索并应用该知识——即使两个用户从未交互过，且使用完全不同的工具。

知识不锁定在任何单一用户的环境中。它生活在服务的环境中，通过智能体的中介对每一个调用方可用。这与文档（用户必须找到并阅读）或 API 变更日志（描述的是机制，不是判断力）有本质区别。知识在相关时由智能体自动应用——对调用方不可见，但塑造着每一次响应的质量。

6. 参考架构

尽管具体实现因领域而异，EaaS 有一个一致的架构结构。

环境侧包含领域特定的操作工具、数据源、积累的知识、SOP 和安全策略、以及运行服务智能体的运行时。

API 层接收带有身份 token 的自然语言请求，支持流式传输以应对长时间运行的操作，并返回结构化结果（文本、表格、图表等），可被人和 AI 系统同时消费。

认证层遵循与 gcloud auth login 或 gh auth login 相同的模式：用户通过浏览器认证，获得短生命周期 token，使用到过期为止。环境在内部将用户身份映射到适当的访问权限。

客户端集成最简单的形式是一个命令行工具——类似云平台 CLI 的方式。更丰富的集成（SDK、MCP 封装等）也是可能的，但不改变架构的本质：调用方发送自然语言，接收结构化结果。

请求的完整生命周期为：调用方发送请求 → 入口拦截验证身份 → 服务智能体接收请求并在环境上下文中推理和执行 → 输出过滤移除敏感信息 → 结构化结果返回 → 工作轨迹供给知识系统。

7. 安全必然性：为什么 EaaS 不是可选项

此前的论证将 EaaS 呈现为一种更好的架构——更强的能力、更优雅的设计、更有利于知识积累。但存在一个更强的主张：在 Agent 环境从根本上不安全的世界里，EaaS 是唯一安全的环境能力分发方式。

7.1 Agent 环境的不安全性

今天的 AI Agent——Codex、Claude Code、Cursor、Copilot 及其后继者——在用户的本地环境中以广泛的能力运行。它们可以安装包、访问网络、读写文件系统、执行任意代码、与外部服务交互。这不是设计缺陷，而是必要条件。Agent 需要这些能力才能有用。

但同样是这些能力，使得 Agent 环境本质上不安全。威胁模型不是假设性的：

供应链攻击。 当 Agent 执行 pip install 或 npm install 时，它信任包仓库。一个被污染的包——通过 typosquatting、维护者账号接管或依赖混淆注入——就获得了在 Agent 环境中的代码执行权。这不是理论：针对包仓库的供应链攻击已有充分记录，且频率在增加。Agent 放大了这一风险，因为它们安装包比人工开发更积极、审查更少。

恶意工具提供者。 一个 MCP server、一个插件、一个 Skill、一个扩展——Agent 加载的任何第三方能力都成为 Agent 可信计算基的一部分。一个恶意的 MCP server 可以通过提示注入注入指令、通过工具响应窃取数据、或以用户不可见的方式操纵 Agent 的行为。

通过数据的提示注入。 当 Agent 读取外部内容——网页、文档、API 响应、甚至数据库结果——这些内容可以包含对抗性指令。如果 Agent 解释执行了这些指令，攻击者就获得了对 Agent 行为的间接控制，包括其对工具和凭证的使用。

环境窃取。 一个能读取环境变量并访问网络的 Agent，可以在一次操作中窃取凭证。不需要复杂的漏洞利用——读取 os.environ 并发送一个 HTTP 请求就够了。Agent 依赖链中任何被污染的组件都可以静默地做到这一点。

令人不安的结论是：我们应该假设，任何具有网络访问和包安装能力的 Agent 环境最终都会被攻破。 攻击面太大、供应链太深、防御太弱。大规模的 Agent 原生攻击——针对运行 AI 编码助手的数百万开发者机器——尚未大规模发生，但执行起来极其简单。广泛攻击的缺失反映的是攻击者的优先级，而非攻击者的无能。

7.2 能力分发即攻击面分发

这对能力的分发方式有直接后果。

当一个组织将能力分发到 Agent 环境——通过 API、SDK、MCP server 或工具集成——它就是在分发攻击面。每一个分享给用户环境的凭证，都是被攻破的环境可以窃取的凭证。每一个暴露给用户 Agent 的工具，都是被攻破的 Agent 可以滥用的工具。

考虑分发方式的谱系：

直接分发凭证（API key、数据库密码）。最常见也最危险的方式。凭证一旦到达被攻破的环境，攻击者就拥有了与合法用户相同的访问权——通常没有频率限制、没有行为分析、没有意图评估。从一个开发者机器泄露的数据库密码，直接给了攻击者生产数据的访问权。

通过代理访问分发能力（工具服务器、MCP）。更好一些：调用方不持有原始凭证。但工具本身成为攻击面。一个被攻破的 Agent 如果拥有查询工具的访问权，就可以通过该工具执行任意 SQL。一个被攻破的 Agent 如果拥有部署工具的访问权，就可以推送恶意代码。工具提供能力但不提供判断力——而被攻破的调用方没有判断力。

通过细粒度权限分发能力（范围限定的 token、逐工具的 ACL）。更好，但仍然不够。细粒度权限限制了每个工具能做什么，但无法限制工具被用来做什么。一个限定在特定表上的只读查询 token，仍然允许被攻破的 Agent 从那些表中窃取所有数据。权限在动作级别是正确的；使用在意图级别是恶意的。

这些方案都没有解决根本问题：如果调用方的环境被攻破，分发到其中的任何能力都会被用来对付你。 无论这种能力是凭证、工具还是精细范围的权限，都是如此。

7.3 EaaS 的安全架构

EaaS 通过将能力保留在环境内部来解决这个问题——不向调用方分发工具、不分发服务凭证、不分发查询接口。

在 EaaS 中，调用方的环境中与领域服务相关的内容恰好只有两样：

1. 一个向端点发送自然语言文本的函数
2. 一个短生命周期的身份 token

没有凭证。没有工具。没有查询接口。没有部署能力。没有 MCP server。没有任何被攻破的环境可以用来直接访问领域系统的东西。

即使调用方的环境被完全攻破——每个包被植入后门、每个 MCP server 是恶意的、Agent 本身被劫持——攻击者能做的只有：

• 发送自然语言请求，通过 ask() 函数。这些请求经过 EaaS 的安全层：入口拦截、意图评估、执行限制和输出过滤。"导出所有用户 PII" 的请求会被语义评估并拦截，无论措辞多么精巧。

• 使用身份 token，在其剩余的有效期内。Token 会过期。无法被提权。它只授予对自然语言接口的访问权，不授予对任何底层系统的访问权。

• 读取 EaaS 智能体返回的响应。这些响应已经经过敏感内容过滤。凭证、内部地址和未授权数据永远不会出现在响应中。

攻击面从"用户 Agent 能访问的一切"坍缩为"一个短生命周期的身份 token 通过一个评估意图的自然语言接口能做到什么"。这不是边际改善，而是风险的类别性降低。

7.4 服务智能体的基础设施级沙箱

一个自然的质疑随之而来：如果 Agent 环境本质上不安全，那 EaaS 的智能体——它也是一个 AI Agent——不是同样脆弱吗？答案是否定的，原因是架构性的，不是意愿性的。

EaaS 智能体运行在集中管控的基础设施中，而非用户的机器上。仅此一点就使得一类在用户环境中不可能实施的沙箱措施成为可能。

通过代理注入实现无凭证执行。 在用户环境中，Agent 需要凭证来访问服务——数据库密码、API key、服务 token——这些凭证必须存在于 Agent 能触及的某处：环境变量、配置文件、密钥存储。在 EaaS 中，智能体进程自始至终不持有任何凭证。智能体的所有网络请求都通过一个反向代理路由，代理检查请求、确定目标服务、在转发前于代理层注入适当的凭证。智能体向"仪表盘 API"发送请求；代理添加认证头。智能体向"数据库"发送查询；代理添加连接凭证。智能体的进程内存、环境变量和文件系统中包含零凭证材料。

这意味着，即使服务智能体被完全攻破——通过恶意提示注入、数据携带的提示注入、或假设性的推理漏洞——攻击者获得的是一个结构上不可能泄露凭证的 Agent，因为它从未持有过凭证。

通过外部执行器实现能力限制。 在用户环境中，Agent 拥有广泛的系统访问权：它可以运行 shell 命令、直接访问网络、读取任意文件。限制这些是不现实的，因为用户需要 Agent 做通用工作。在 EaaS 中，智能体的能力可以通过一个外部执行器（Executor）进程来严格限制——例如，智能体的所有操作请求通过一个固定的 Unix Socket 接口发送给执行器，由执行器——一个经过加固的非 AI 进程，拥有有限且可审计的允许操作集——来决定是否执行。在这种模式下，智能体不能执行 shell 命令、不能直接发起网络调用、不能访问其工作空间之外的文件系统。

允许的操作集是小且显式的：运行特定工具、读取特定知识文件、写入结果产物。执行器拒绝任何集合之外的请求。智能体不能安装包、不能打开任意网络连接、不能读取 /etc/passwd 或 ~/.ssh/。它的能力包络由执行器的白名单定义，而非操作系统的权限。

为什么这在用户环境中不可行。 这里需要精确地陈述这种不对称。不是说用户环境的 Agent 在理论上不能被沙箱化——同样的代理注入和执行器限制技术原则上可以应用于任何 Agent。问题在于，在用户层面实施沙箱的成本会制造一个与它试图缓解的安全风险同等量级的组织风险。

成本在两个层面运作：

建设沙箱是昂贵的。 每个开发者的机器都需要一个凭证注入代理、一个带有策编操作白名单的外部执行器、以及管理、更新和监控这些组件的基础设施。这不是一次性搭建：沙箱必须随着 AI 工具的演进、新 MCP server 的采用、工作流的变化而演进。工程投入与用户数量乘以环境多样性成正比——这个缩放因子使得企业级部署的成本过高。

执行（enforce）沙箱的成本更加昂贵。 用户能绕过的沙箱就不是沙箱。执行意味着限制员工能运行什么 AI 工具、这些工具如何访问网络、能安装什么包。在实践中，这意味着限制那些使 AI Agent 对通用工作有价值的核心能力。一个对开发者的 AI Agent 实施严格沙箱的组织，实质上是在节流自身的 AI 转型。

这造成了一个组织层面的、而非技术层面的困境：

• 安全团队希望沙箱化用户 Agent 以防止凭证泄露和能力滥用。
• 工程团队需要不受限制的 AI Agent 来保持生产力并采用新工具。
• 管理层需要组织通过 AI 采用实现转型——落后是生存性风险。

通过施加重沙箱来阻止 AI 转型的风险，可能等于甚至超过安全事故的风险。两者都是严重的组织风险，只是时间尺度不同：数据泄露造成即时损害；AI 转型停滞逐步侵蚀竞争力。

这就是根本性的不对称：EaaS 智能体可以低成本地被沙箱化，因为其目的狭窄且基础设施集中管控（建设一次、服务所有用户）；而用户环境的 Agent 只能以按用户缩放的成本被沙箱化，且这种沙箱会限制使 AI 采用有价值的核心能力。 EaaS 利用这种不对称，将领域工作移入一个极端沙箱化经济可行的环境，同时让用户的 Agent 自由地做通用工作——无需持有领域凭证或能力，也无需任何沙箱。

其结果是一个在三个独立层面运作的纵深防御：

1. 调用方从未持有凭证或能力（7.3 节）
2. 服务智能体也从未持有凭证——代理注入和执行器限制从架构上确保了这一点
3. 自然语言接口在任何操作到达执行器之前评估意图（7.5 节）

攻击者需要同时突破所有三个层面：获取有效的身份 token、构造通过意图评估的自然语言请求、并以某种方式绕过执行器的操作白名单。每个层面都是独立可防御的，组合起来形成本质上强于任何单层安全模型的防御体系。

需要强调的是：以上描述的是 EaaS 所允许的最严格的沙箱形态。即使组织选择不实施如此极端的限制——例如，仍然允许智能体直接访问网络或拥有更宽松的操作集——由于 EaaS 智能体运行在集中管控的服务端基础设施上，组织总是可以在服务端实施比用户环境更严格的安全策略。这是 EaaS 架构的一个根本性优势：安全策略的严格程度是一个可调节的旋钮，而非一个固定的约束。在用户环境中，这个旋钮几乎不存在。

7.5 自然语言作为安全边界

以智能体为接口这一设计的一个深层后果是：自然语言本身起到了安全边界的作用。

当系统的接口是 API 时，攻击者的语言是 API 的语言：SQL、HTTP、结构化函数调用。这些是精确的、机器可解释的、可利用的——SQL 注入、参数篡改、请求伪造都是利用结构化接口精确性的攻击。

当接口是由推理智能体中介的自然语言时，攻击者的语言是人类语言——而服务智能体会解释、评估、并可能拒绝。传统的注入攻击类别不适用：

• 传统 SQL 注入不适用：调用方从不写 SQL。EaaS 智能体基于其对请求的理解、使用自身对正确表、schema 和查询模式的知识来生成查询。攻击者无法注入 SQL 片段，因为没有 SQL 通过接口传递。
• 凭证窃取被结构性阻止：调用方无法请求凭证，因为 EaaS 智能体的安全策略禁止返回它们，而且——如 7.4 节所述——智能体自身也从未持有凭证。
• 基于参数的权限提升不适用：没有参数可以篡改。服务智能体从经认证的身份——而非请求中的任何内容——确定适当的访问级别。

这不意味着自然语言接口对所有攻击免疫。恶意提示注入可以试图操纵服务智能体的行为。但防御同样在语义层面：智能体可以被指示识别和拒绝对抗性模式，而且——关键的是——智能体的安全策略作为系统级约束运行，自然语言请求无法覆盖它们。

安全边界不仅是过滤器。它是一个理解意图的推理系统。这是与访问控制列表、网络策略或凭证范围限定本质不同的防御方式。

7.6 必然性论证

我们现在可以以最强的形式陈述 EaaS 的安全论证：

1. Agent 环境是不安全的，且随着 Agent 获得更多能力、供应链变得更复杂，会变得更不安全。
2. 分发到不安全环境的任何能力最终都会被利用。
3. 因此，让 Agent 用得上这些能力的唯一安全方式，是将其保留在安全环境内部，只暴露自然语言接口。
4. 该安全环境内的服务智能体自身也可以被沙箱化——通过代理注入剥离凭证、通过外部执行器限制在有限操作集——因为其目的足够狭窄以允许极端限制。
5. 这正是 EaaS 所做的。

结论不是 EaaS 是一种更好的能力分发方式。而是 EaaS 是唯一能让外部用户用得上环境能力、同时不向调用方分发底层工具、凭证或攻击面的方式。 被攻破的客户端仍然可以发送经授权的自然语言请求——但损害被语义安全层、执行器的操作白名单和 token 的短生命周期所限定。这是相对于"用户能访问的一切"的类别性降低，而非所有风险的消除。

不采用 EaaS 或等效架构的组织，在 Agent 原生攻击普遍化之后将面临三元困境：

• 不沙箱地分发能力——接受凭证和工具在被攻破环境中的安全风险。
• 沙箱化用户环境——接受节流 AI 采用的组织风险，以按人头和环境多样性缩放的成本。
• 完全封锁能力——接受环境能力不可用的效率风险。

每条路都承担着显著代价。安全事故是即时且可见的。AI 转型停滞是缓慢且不可见的——但随时间复合。被封锁的能力是对组织效能的持续拖累。

EaaS 通过将能力与访问分离来消除这个三元困境。能力留在一个集中管控、深度沙箱化的环境中——建设一次，在所有用户间摊销。用户环境保持完全自由：无沙箱、无限制、无凭证、无环境工具。连接两者的是通过一个评估意图的智能体的自然语言。没有危险的东西越过边界。没有限制性的东西施加在用户侧。

8. 局限性与取舍

EaaS 并非没有代价。几个取舍值得诚实地承认。

延迟。 双 AI 委托模式增加了一个往返：调用方 AI 发送请求，EaaS 智能体推理和执行，结果返回。对于直接 API 调用可以在毫秒内完成的简单查找，EaaS 引入了数秒或数分钟的延迟。对于分析性和多步骤任务——其替代方案不是更快的工作，而是更差的工作——这是可接受的，但使 EaaS 不适合替代服务实时应用的低延迟数据 API。

智能体推理错误。 EaaS 智能体是一个 AI 系统。它可能误解请求、选错工具、写出错误的查询、或返回有缺陷的分析。与确定性的 API（要么成功要么干净地失败）不同，智能体可能以微妙的方式失败——返回看似合理但错误的答案。这一风险通过环境的知识系统（编码了验证流程和已知的边界情况）和审计层（可以检测长期的错误模式）得到缓解，但无法消除。调用方应以对待人类同事分析一样的批判性判断来对待 EaaS 的结果。

冷启动。 一个没有积累知识的环境所提供的 EaaS 服务，其质量仅取决于智能体的通用推理能力加上可用的工具。知识放大效应（第 5 节）需要时间和使用来建立。部署 EaaS 的组织应预期一个服务质量逐步提升的自举期。

运营成本。 运行 AI 智能体作为持久的服务接口比托管静态 API 更昂贵。每个请求消耗推理算力，复杂的多步骤请求消耗更多。这种成本结构有利于高价值、低频次的分析任务，而非高频次、低价值的查找。组织必须权衡这与替代方案的成本：构建和维护逐用户的工具集成、管理分布式凭证、或完全放弃能力分发。

对基础模型能力的依赖。 EaaS 的质量上限受服务智能体所使用的基础模型的推理能力约束。随着基础模型的进步，EaaS 服务质量随之提升——但架构的强度取决于智能体推理、工具执行和知识检索这条链上最弱的环节。

中心化风险。 EaaS 将能力、凭证、知识和审计数据集中在一个受管环境中。这种集中是其安全优势的来源——但它也创造了一个高价值目标。服务环境的被攻破影响所有用户，而非仅仅一个。拥有环境访问权的运营者的内部滥用，是分布式架构不存在的风险。多租户隔离、服务端访问控制和运营安全实践必须严格，服务端泄露的影响范围必须被认真对待。EaaS 用分布式的、逐用户的风险换取了集中的、基础设施级的风险——这在基础设施管理良好时是有利的取舍，但不应被视为理所当然。

这些是真实的约束，不是理论上的顾虑。它们定义了 EaaS 是正确选择的运行包络：高价值的领域任务、具有积累知识的环境、以及替代方案不是"更快的 API"而是"完全无法获取环境能力"的场景。

9. 结论

环境即服务是一个简单的想法，却有深远的后果：在领域环境的边界放一个 AI 智能体，让它成为接口——既是人的接口，也是其他 Agent 的接口。当人与它交互时，它是一个理解问题并返回答案的领域专家。当另一个 AI Agent 与它交互时，它是一个接收意图并返回结构化结果的领域服务。接口是同一个；只有调用方不同。本文聚焦于后者——Agent 到 Agent 的场景——因为这是现有架构处理得最差、EaaS 优势最具决定性的场景。

这一个决策解决了分发问题——用户从自己的工具访问环境的全部能力，无需学习环境的内部细节。它创造了新的安全模型——工具级接口不可能实现的语义化、意图级的安全。它放大了知识积累——每一个调用方、从每一个上下文，都在供给同一个知识系统。而且，它是唯一不分发攻击面的能力分发架构——这一性质在 Agent 环境成为供应链攻击和提示注入的主要目标时，从可取变为必需。

这个架构在概念上是直接的，但在实现上并非简单。它需要一个值得分发的环境、一个能在其中运作的智能体、以及一个接收自然语言并返回结构化结果的 API。这些组件今天已经存在。新的是对一个事实的认识：环境能力的正确服务抽象不是工具、不是端点、不是协议——而是智能体。

当环境包含知识积累系统（如 SEKE）时，EaaS 与知识引擎相互增强：SEKE 通过加深知识使 EaaS 更有价值，EaaS 通过增加交互使 SEKE 更有效。两者在分发与积累两个层面同时创造复合优势。

EaaS 与 SEKE 共同描述了一个完整的领域智能系统——它通过工作构建自己的专业能力，并让这种专业能力对任何能描述自己需要什么的人触手可及——用自然语言、从任何工具、通过单一接口。

---

本文的思想来自于构建和运营一个面向数据分析的生产级领域智能系统。环境即服务不是一个理论提案——它是一个从分发能力给跨多种工具和工作流的用户这一真实经验中设计出来的架构。