06-14
从桌面到云端:为 AI Agent 构建基础设施时我们学到的两课
本文为 CREAO 团队分享的一线实践经验,聚焦于将 Agent 从个人桌面迁移至云端多租户沙箱时所必须面对的核心架构差异。文章核心论点有二:其一是必须将变化速率不同的组件(用户环境与平台运行时代码)解耦,通过快照冻结用户环境,并设计了一个约 300 毫秒的原子热插拔流程来更新运行时代码,从而在不破坏用户状态的前提下实现平台高频部署;其二是严格将凭证隔离在执行边界之外,采用网络层 IP 白名单与每次运行签发的短生命周期 JWT 双重校验,通过一个运行在沙箱外的主机侧 API 桥接器注入密钥,确保即使沙箱内代码被完全攻破,攻击者也无法获取长期凭证。文章提供了具体的命令、校验序列和实施细节,适合正在将 Agent 产品化的后端与基础设施工程师阅读。