核心职责:解决 LLM 原生的上下文窗口限制、失忆问题、上下文腐烂问题,实现 Agent 的跨会话、长周期、结构化记忆。
4. 可观测与治理模块
推理池化管理:实现模型推理请求的池化、排队、批量处理,提升推理吞吐量;支持模型的预热、保活,降低推理延迟;支持推理请求的超时控制、重试机制。
架构设计核心要点Checkpoint 断点续传机制:每一步执行完成后,自动将当前状态、上下文、中间结果持久化到状态存储,支持崩溃后 100% 还原执行现场,断点重启,避免长任务从头执行。循环防护机制:内置最大执行轮次、Token 预算管控、超时控制、死循环检测(重复执行相同操作)、上下文腐烂检测,触发阈值后自动熔断或降级。流式执行与进度上报:支持长任务的流式进度输出,实时上报执行状态、当前步骤、剩余预算,解决长任务 “黑盒运行” 的用户体验问题。异常容错机制:每一步执行都内置异常捕获,支持按异常类型配置重试策略、回滚策略、降级策略、人工介入策略,而非直接终止任务。
核心职责:Agent 所有外部能力的标准化封装、注册、调度、执行与回收,是 Agent 突破模型边界的核心载体。
实现了「执行 - 评估 - 优化 - 沉淀」的完整学习闭环自动技能生成:当 Agent 完成涉及 5 步以上工具调用的复杂任务后,会自动从执行经验中提取核心流程,生成符合agentskills.io开放标准的结构化技能文档,无需人工编写代码或 Prompt;技能持续优化:技能在后续使用中,会根据执行结果自动迭代、优化流程,提升执行成功率;社区生态共享:官方推出了技能市场,用户可分享、安装社区优质技能,目前已收录 200 + 开箱即用的技能。
4、权限审计与动态变更:所有权限的申请、变更、使用,都记录在审计系统中;支持权限的临时授权、过期自动回收。
3、治理与迭代体系:内置任务失败复盘、异常根因分析、执行效果评估能力;支持基于历史执行数据,自动优化提示词、工具调用策略、循环规则,实现 Agent 的自迭代。
原生内置了完整的分层记忆体系,解决了传统 AI “会话结束即遗忘” 的痛点,基于SQLite + FTS5全文检索 + LLM摘要实现,跨会话记忆召回准确率达 95% 以上:会话记忆:当前对话的实时上下文,滚动摘要压缩,控制 Token 消耗;持久记忆:跨会话的事实、偏好、项目背景,永久存储,支持全文检索;技能记忆:从经验中沉淀的可复用流程,即结构化技能文档,可随时调用;用户画像记忆:自动学习用户的工作习惯、沟通风格、偏好设置,实现真正的 “越用越懂你”。
4、熔断与限流:内置工具调用的熔断机制,当工具调用失败率超过阈值时,自动熔断;针对高频调用工具,内置限流策略,避免打爆下游系统。
四层持久化记忆引擎(Context 工程落地)
1. 核心执行引擎模块(Agent 的心脏)
架构设计核心要点上下文智能路由:摒弃全量上下文注入的粗放模式,基于当前执行步骤、任务目标,智能筛选、压缩、召回相关上下文,最大化保留有效信息,最小化上下文窗口占用,解决上下文腐烂问题。记忆生命周期管理:内置记忆的过期清理、脱敏归档、GC 机制,避免记忆无限膨胀,同时满足合规要求。结构化状态存储:将任务进度、子任务完成情况、依赖关系等结构化状态,独立存储在关系型数据库中,而非纯文本上下文,支持精准的任务调度与状态回溯。
核心职责:实现 Agent 实例、模型资源、算力资源的统一调度与管理,支撑 Agent 的规模化部署与水平扩展。
1、主体权限管理:为不同 Agent、不同用户、不同业务场景,分配独立的权限主体,实现权限的隔离。
核心能力:Agent 实例池化管理、弹性扩缩容、模型推理流量调度、算力资源的配额管理、多租户资源隔离、故障实例的自动迁移与恢复。生产级特性:兼容 K8s 容器化部署,支持多集群、多可用区部署;支持多租户的资源配额与隔离,满足企业级多业务线的复用需求;支持故障自动转移,实现高可用部署。
一套配置即可接入 14 + 主流消息平台,部署一次即可实现全渠道可用:原生支持:CLI、Telegram、Discord、Slack、WhatsApp、Signal、SMS 等;社区适配:飞书、企业微信、微信等国内平台的第三方适配;核心特性:跨平台对话连续性、语音备忘录转录、多端消息同步。
2、工具执行沙箱:所有工具执行均在独立沙箱中运行,尤其是 Shell、代码解释器、文件操作等高危工具,实现路径隔离、权限隔离、资源隔离,避免 Agent 越权操作或污染宿主环境。
3、参数校验与结果清洗:工具调用前,Harness 自动校验入参的合法性、合规性、权限范围,拒绝非法参数;工具执行后,自动清洗结果中的敏感信息、冗余内容,格式化后注入上下文,避免无效内容占用上下文窗口。
核心原理:强制模型在每一步推理中都必须遵循预定义的结构化思维模板,而非自由发挥,将 ReAct 范式做了标准化、工程化落地;核心能力:维护任务状态机、协调工具调用、管理记忆读写、异常自动重试与兜底,保证复杂多步任务的执行稳定性。
核心特性:支持规则的动态更新、灰度发布;支持违规行为的分级处置(告警、拦截、熔断、人工介入);支持等保、GDPR、行业合规要求的定制化规则。
3. 权限管控模块
2、细粒度操作权限:针对工具、API、数据、资源,实现操作级的权限管控(如文件只读 / 读写、API 的 GET/POST 权限、数据库的查询 / 修改权限)。
三、管控平面五大核心模块(Harness 的灵魂)
多层防护体系:输入层防护:用户请求的敏感词检测、注入攻击检测、恶意指令识别、合规校验,拒绝非法请求。推理层防护:模型 Prompt 注入防护、系统提示词防篡改、模型输出的合规校验、敏感信息过滤、幻觉识别。执行层防护:高危操作拦截、违规行为识别、越权操作阻断、执行结果的安全扫描。输出层防护:最终交付内容的合规校验、敏感信息脱敏、格式规范校验。
核心职责:解决 Agent 的黑盒运行问题,实现全链路可观测、可追溯、可复现、可优化。
Hermes Agent
完全模型无关,支持 200 + 主流大模型,一键切换,无需修改业务逻辑:支持商用模型:OpenAI、Claude、Gemini、DeepSeek、通义千问、文心一言等;支持开源模型:通过 Ollama、OpenRouter、Nous Portal 接入本地部署的大模型;核心特性:自动模型路由、失败自动降级、Token 消耗统计与优化。
全链路Trace与可观测系统(审计、监控、调试)
生产级 Harness 标准架构(三大平面 + 七大核心模块)
5. 资源调度模块
核心职责:基于零信任架构,实现 Agent 的细粒度权限管控,是企业级 Agent 的核心准入门槛。
闭环自进化学习系统(核心差异化竞争力)
执行平面是 Harness 管控规则的落地载体,是 Agent 执行任务的核心链路,所有模块的行为均受控于管控平面。标准执行范式(增强 ReAct 状态机)生产级 Harness 摒弃了原生 ReAct 的无边界循环,采用有限状态机(FSM) 固化执行流程,所有状态流转必须经过 Harness 校验:初始化 → 感知(Observe)→ 推理(Think)→ 决策校验(Harness拦截)→ 执行(Act)→ 结果验证 → 状态持久化 → 循环/终止
全模型兼容层
2、全链路日志与追踪体系:基于 TraceID,实现从用户请求→任务拆解→每一次 Loop 执行→每一次模型调用→每一次工具调用→最终结果交付的全链路日志追踪,所有日志不可篡改,支持执行过程的 100% 复现。
多平台统一消息网关
原生内置 40 + 开箱即用的工具,同时提供 6 种隔离执行环境,兼顾灵活性与安全性,完全符合 Harness Engineering 的最小权限原则:内置工具:网页搜索、文件操作、终端命令、多模态视觉、图像生成、TTS、浏览器控制等;执行环境:本地、Docker、SSH、Daytona、Singularity、Modal,所有工具调用都在沙箱中隔离执行,避免越权操作与系统风险;兼容标准:原生支持 MCP(Model Context Protocol)协议,可接入海量第三方 MCP 工具。
mission-control:多 Agent 管理面板,支持小团队多 Agent 的统一管控与监控。全链路可观测:完整的执行 Trace 日志、审计记录,支持全流程回放、调试、问题排查。
1. 任务管控模块
推理成本管控:内置 Token 消耗的统计、预算管控、限流策略;支持模型的智能路由(简单任务用小模型,复杂任务用大模型),在保证效果的前提下,最大化降低推理成本。
1、监控指标体系:核心指标包括任务成功率、平均执行耗时、Token 消耗、工具调用成功率、异常率、熔断次数、SLA 达标率,支持实时大盘、告警通知。
1、标准化工具注册中心:支持工具的元数据注册、可用性探活、版本管理、动态上下线,兼容 OpenAPI、MCP、Function Call 等主流协议,实现工具的一次注册、全平台复用。
Agent Harness Engineering(生产级Agent = (LLM推理内核 + 能力组件)× Harness管控系统)
核心职责:负责所有 Agent 任务的全生命周期管理,是业务需求与 Agent 执行之间的桥梁。核心能力:任务拆解与 DAG 编排、优先级调度、依赖管理、子任务分发、多 Agent 协同调度、任务状态追踪、终止与回滚控制。生产级特性:支持任务的定时执行、周期执行、事件触发执行;支持复杂任务的 T-DAG(有向无环图)编排,实现子任务的并行、串行、依赖执行;支持任务的暂停、恢复、终止、回滚操作。
一、推理平面三大核心模块(Harness 的底层支撑)
2. 工具与能力管理模块(Agent 的手脚)
3、实时鉴权机制:每一次工具调用、资源访问,都必须经过 Harness 的实时鉴权,鉴权不通过直接拦截,禁止预授权的全局权限。
安全沙箱与工具系统
二、执行平面三大核心模块(Harness 的执行载体)
核心职责:构建 Agent 的全链路安全护栏,确保 Agent 的所有行为符合业务规范、法律法规、企业安全要求。
模型网关:统一的模型调用入口,支持多模型厂商、多模型版本的兼容,实现模型的动态切换、故障转移、流量分发;内置 Prompt 的标准化、防篡改、敏感信息过滤。
HEX(Hermes Execution) 结构化推理引擎(核心执行底座)
3. 记忆与上下文管理(Agent 大脑记忆)
2. 安全合规模块(Guardrails)
