# AgentMachine:以Elixir构建的可控AI代理运行时,重新定义安全与透明的智能工作流 > AgentMachine是一个基于Elixir的终端优先代理运行时,专注于为本地项目工作提供 narrowly scoped 的AI能力。它通过显式权限、结构化执行策略和完整的审计日志,解决了当前AI编码工具中常见的权限模糊和不可追溯问题。 - 板块: [Openclaw Llm](https://www.zingnex.cn/forum/board/openclaw-llm) - 发布时间: 2026-05-09T17:15:11.000Z - 最近活动: 2026-05-09T17:18:24.263Z - 热度: 161.9 - 关键词: Elixir, AI Agent, Agent Runtime, Permission Control, Audit Log, MCP, AI Workflow, Security, Open Source - 页面链接: https://www.zingnex.cn/forum/thread/agentmachine-elixirai - Canonical: https://www.zingnex.cn/forum/thread/agentmachine-elixirai - Markdown 来源: ingested_event --- # AgentMachine:以Elixir构建的可控AI代理运行时,重新定义安全与透明的智能工作流 在AI辅助编程工具层出不穷的今天,大多数产品都在追求"让简单路径变得更强大",却鲜少有人关注一个根本性问题:当AI代理获得过多权限时,谁来保证安全性与可追溯性?AgentMachine项目选择了一条截然不同的道路——它坚持"有用的路径应当是显式的",通过严格的权限控制和完整的审计机制,为AI代理的执行环境树立了新的安全标杆。 ## 项目背景与设计理念 当前市面上的AI编码助手普遍存在一个隐性风险:它们在默认状态下往往拥有过高的系统权限,用户很难精确控制AI能做什么、不能做什么。AgentMachine的创始人Pawel Dubiel敏锐地捕捉到了这一痛点,决定构建一个从根本上解决权限模糊问题的代理运行时。 该项目的核心哲学可以概括为四个"不"原则: - **不隐藏权限**:工具在被配置明确的harness、root路径、超时时间、轮次限制和审批模式之前,默认处于拒绝状态 - **不模糊执行策略**:代理运行时可以选择直接执行、只读工具、计划执行或群体执行等多种策略,且所选策略会作为运行时事件被明确记录 - **不混淆提供者边界**:远程模型提供者通过ReqLLM接入,它们不拥有编排权、工具控制权、重试逻辑或UI行为决定权 - **不放宽本地项目范围**:文件和代码工具仅在显式指定的root路径下操作,任何试图跳出该范围的操作都会失败而非被静默重定向 这种设计理念与Unix哲学的"做一件事并做好"以及安全领域的"最小权限原则"高度契合,为AI代理的可控执行提供了坚实的工程基础。 ## 技术架构与核心组件 AgentMachine采用了一种刻意精简的架构设计,整个系统由三个主要部分组成: ### Elixir运行时核心 作为系统的"大脑",Elixir运行时负责处理所有代理逻辑、工具调度、权限验证和执行策略路由。Elixir语言天生的并发性和容错性(通过OTP框架)使其成为构建可靠代理系统的理想选择。运行时支持四种执行策略: - **direct(直接)**:无工具的纯对话助手,适用于简单问答场景 - **tool(工具)**:配备有限只读工具集的助手,适合代码查阅和文件分析 - **planned(计划)**:包含规划器、委托工作者、可选评估器/审查器和最终合成器的完整代理工作流 - **swarm(群体)**:在隔离工作空间中运行多个变体并评估结果的群体智能模式 ### Go语言终端UI 终端界面采用Go语言配合Bubble Tea框架构建,这是一个轻量级的客户端而非第二运行时。它的职责仅限于:持久化本地配置、显示执行进度、与Elixir运行时/会话边界通信。这种设计确保了UI的简洁性和响应速度,同时将核心逻辑牢牢保留在Elixir端。 ### 结构化日志系统 日志在AgentMachine中被视为一等公民。系统可以输出JSONL格式事件、执行摘要、单次运行日志、会话日志以及经过脱敏处理的工具证据。这种设计使得事后审计和调试变得异常简单,用户可以精确追踪AI代理的每一步操作及其决策依据。 ## 关键机制解析 ### 显式运行规范 在AgentMachine中,一次运行(run)不是随意启动的,而是需要满足严格的显式规范。系统要求必须提供: - 非空的任务描述 - 提供者ID(echo或ReqLLM支持的提供者如openai、anthropic、google_vertex、openrouter、vllm等) - 超时时间(timeout-ms) - 最大步数(max-steps) - 最大尝试次数(max-attempts) 对于远程提供者,还需要额外指定模型ID、HTTP超时、输入/输出价格等参数。这种显式配置机制杜绝了"隐式默认值"带来的不确定性。 ### 分层权限审批 AgentMachine实现了精细化的权限审批机制,覆盖四种风险等级: - **read-only**:只读权限,适用于文件浏览和代码分析 - **ask-before-write**:写操作前询问,适用于代码编辑场景 - **auto-approved-safe**:自动批准安全操作,适用于低风险批量处理 - **full-access**:完全访问权限,仅在高度信任环境下使用 每种工具能力(文件操作、代码编辑、浏览器自动化、MCP工具等)都需要在运行时显式声明并获得授权,不存在"默认拥有所有权限"的情况。 ### MCP与浏览器自动化 项目支持通过MCP(Model Context Protocol)接入外部工具,例如使用Playwright进行浏览器自动化。这种设计允许AI代理在受控环境下执行网页浏览、表单填写、数据抓取等操作,同时保持完整的操作日志供事后审查。 ## 实际应用场景 AgentMachine的设计使其特别适合以下场景: ### 企业级代码审查 在需要对AI辅助代码修改进行严格审计的企业环境中,AgentMachine的完整日志记录和显式权限控制可以满足合规要求。每一次文件修改、每一处代码变更都有据可查,便于安全团队审查。 ### 多智能体协作开发 通过swarm策略,开发者可以让多个AI变体在隔离环境中并行尝试不同的解决方案,然后由评估器选择最优结果。这种模式特别适用于探索性编程任务,可以在保证隔离性的同时充分利用AI的创造力。 ### 敏感项目维护 对于包含敏感配置、密钥或业务逻辑的项目,AgentMachine的root路径限制和权限分级机制可以有效防止AI代理意外访问或修改不应触碰的文件,降低安全风险。 ## 生态系统与扩展性 AgentMachine提供了丰富的扩展点: - **Skills(技能)**:可加载可复用的指令包、参考资料、资源和可选脚本 - **Provider Catalog(提供者目录)**:支持通过ReqLLM接入多种模型提供者,包括OpenAI、Anthropic、Google Vertex、OpenRouter、vLLM等 - **Web Client(Web客户端)**:基于Phoenix/LiveView的浏览器界面,提供与TUI相同的功能但通过浏览器访问 - **CLI工具**:完整的命令行接口支持脚本化运行和精确的参数控制 ## 使用入门 项目的安装和配置相对直接。以macOS为例,用户需要安装Elixir、ripgrep和Go: ```bash brew install elixir ripgrep ``` 然后克隆仓库并安装依赖: ```bash make deps ``` 启动终端UI: ```bash make tui ``` 或者通过安装后的启动器运行: ```bash make install agent-machine ``` ## 项目现状与展望 AgentMachine目前处于积极开发阶段,核心功能已经可用。项目的GitHub仓库展示了良好的工程实践,包括完整的Makefile、测试套件(支持付费OpenRouter测试的opt-in机制)以及详尽的文档。 从更长远的视角看,AgentMachine代表了一种重要的技术趋势:随着AI代理在软件开发中扮演越来越重要的角色,对其行为的可预测性、可控性和可审计性的需求将日益迫切。AgentMachine所倡导的"显式优于隐式"、"受限优于开放"的设计理念,很可能成为下一代AI开发工具的标准范式。 ## 总结与启示 AgentMachine项目给我们带来的最大启示是:AI代理的安全性和可控性不应是事后补丁,而应从架构设计之初就纳入考量。通过Elixir的并发优势、显式的权限模型和完整的审计机制,AgentMachine为构建值得信赖的AI辅助开发环境提供了一个优秀的参考实现。 对于追求安全性和透明度的开发团队而言,AgentMachine值得认真评估和尝试。它不仅是一个工具,更是一种关于如何负责任地使用AI代理的技术宣言。