AI Engineering Weekly

它把"如何让自主 agent 安全地花钱/交易"从抽象讨论变成可复制的参考架构：隔离账户 + 预授权额度 + MCP 工具 + 反欺诈监督。Stripe、Amazon、Google 都在抢"agent 支付基础设施"这一层，安全边界的设计正成为竞争点。

给任何能执行有副作用操作（支付、下单、发邮件）的 agent 设计"隔离钱包"模式——独立身份 + 预授权的有限额度 + 单笔可选人工确认，把爆炸半径锁死在预存余额内，而非授予对主账户的完整权限。

价值 250 亿美元的播客行业完全跑在 2002 年的 RSS 协议上。对做竞品监控、文件追踪、研究摘要的 agent 团队，有 feed 的站点"30 秒接入"，没 feed 的只能靠"每次改版就崩"的脆弱爬虫——十个爬虫等于十个要看护的故障点。

给 agent 优先消费的数据源建一张"有无 RSS"清单，有 feed 的先接、没 feed 的最后接（或推动对方提供）；如果你在发布给 agent 读的内容，务必提供干净的 RSS——作者实测新加的 feed 一周内被两个聚合器零外联自动收录。

当团队把大量代码委托给 agent，代码评审的瓶颈从"逻辑对不对"转移到"这是不是 AI 糊弄出来的"。一个确定性、可进 CI、亚秒级的分数门槛，比让人逐行盯 AI 输出更可扩展，也更稳定（无 LLM 在运行路径，结果可复现）。

在 CI 里加一道 aislop scan 门禁，低于阈值（默认 failBelow: 70）就 fail；同时挂 per-edit hook 到 Claude Code / Cursor，让 agent 每次改完即时自检，把异味挡在提交前而非评审时。

这把"agent 写的代码不可控"问题往上游推了一层——如果 spec 是人类可审、LLM 可读的单一事实源，评审与回归的锚点就从易变的代码挪到了稳定的规格。SQL 最初叫 SEQUEL（Structured English Query Language），这个"用接近自然语言表达意图、让机器处理执行"的梦想已有 50 年。

对反复重写的 agent 流水线，先沉淀一份结构化 spec（输入/输出契约、约束、失败模式）作为唯一事实源，让 Claude Code / Codex 从 spec 生成实现而非从散落的 prompt 生成；把评审重心放在 spec 而非 diff。

这直击 agent 数据幻觉的根因——不是模型不行，而是上下文缺了"团队认可的口径"。self-improving context 模式让 agent 的上下文随使用变好，而无需人工持续策展。

给跑在 SQL 数仓上的 agent 接一层语义/指标层（而非直接喂裸表），把指标定义、join 关系、团队术语沉淀进去；ktx 设计为只读、纯本地运行，可作为 Claude Code / Codex / Cursor 的 MCP 工具直接接入。

当你要跑一支微 VM agent 舰队，集中式数据库层会成为耦合点和单点；per-agent SQLite 更简单、更便宜、隔离更好。这重新校准了"agent 编排一定要上重型状态后端"的默认假设。

评估 agent 编排的状态层时，先问"工作流状态有多大、并发模式是否突发"——若是，给每个 agent/任务一个本地 SQLite + Litestream 备份，而非默认上共享 Postgres；注意 Litestream 是异步复制，卷丢失时恢复可能落掉最新写入，关键状态需额外保护。

安全审查是 AI 最容易产生高危幻觉的领域之一；一个大厂愿意开源、且内建自验证与 SAST 交叉印证的生产级框架，给"如何让 agent 在高风险领域可信"提供了可抄的架构（覆盖 C/C++、Rust、Go、Solidity 等十种语言）。

给安全/质量类 agent 设计"交叉验证层"——不要直接采信 LLM 单次判断，而是用确定性工具（SAST、测试、fuzzer）为每条发现收集证据后再上报；Metis 支持 OpenAI / vLLM / Ollama / llama.cpp，可本地化部署避免代码外泄。

这标志着企业 agent 从"临时 copilot 对话"走向"常驻自主体"。当 agent 能在后台不被提示地行动，"它以谁的身份、被授了什么权、出事如何回滚"比"它能做什么"更决定能否上生产。（背景：微软付费 Copilot 用户从 1 月的 1500 万增至 5 月的 2000 万+，但仅约 3% 的 M365 客户付费订阅该加购项。）

给常驻/自主 agent 分配独立、可治理的机器身份（而非复用人类账号或共享密钥），并配合策略下发、opt-in 证明与可审计的行为日志；把"身份与权限边界"作为上线 gate，而非事后补。