AI Agent 正从技术概念快步走向生产应用。然而当开发者试图将原型推向生产环境时往往发现从跑通 Demo到稳定上线每一步都是对基础设施的真实考验。更聪明的模型解决不了这道鸿沟——企业真正需要的是一个能全面承接底层复杂性的基础设施平台。这正是阿里云 AgentRun 的出发点。 自 2025 年 12 月正式发布以来AgentRun 以生态开放、灵活组装为设计理念为 AI Agent 提供从开发、部署到运维的全生命周期管理。在已落地的企业客户中平均 TCO 降低 60%。与此同时托管式 Agent 正在成为行业共识。Anthropic 推出 Claude Managed Agents进一步印证了这一方向的确定性——越来越多的平台开始把 Agent Loop、沙箱隔离、会话管理这些底层复杂性从开发者手里接管过来开发者只需声明需要一个什么样的 Agent剩下的推理、工具调用、上下文管理交给平台承接。这套托管范式的核心设计已逐渐收敛通常围绕四个概念展开Agent 定义声明模型、系统提示词、可用工具创建一次多个会话复用运行环境Agent 的容器模板定义网络策略、文件系统等隔离边界会话将 Agent 与运行环境绑定代表一次完整的任务执行事件流会话内的消息通道实时推送用户输入、模型回复、工具调用一次典型的执行流程是声明 Agent → 初始化运行环境 → 创建会话 → 发送消息 → 接收事件流。作为一站式 Agentic AI 基础设施平台阿里云 AgentRun 在这条主线上走得更深模型无关是基础——通义千问、DeepSeek、智谱AI、自部署开源模型均可自由接入企业级能力是重点投入——数据不出域、多租户隔离、全链路可观测、Serverless 原生弹性。这些在真实落地中反复被客户验证的能力构成了 AgentRun 区别于通用托管产品的核心差异。二、AgentRun 如何定义托管 AgentAgentRun 的几个核心抽象可以和上述托管范式对应起来超级 Agent内置 Agent Loop 的可执行对象对应Agent 定义 内置运行时Agent Runtime 与 Sandbox运行环境和隔离沙箱底层是阿里云函数计算FC会话管理一次任务对应一个会话持有上下文、中间状态、事件流MCP 工具 与 Skills 市场工具级扩展 任务级扩展两条路径并存模型服务 ModelService模型代理层解耦 Agent 逻辑和模型选择记忆与知识库长期记忆和 RAG 检索作为 Agent 常驻上下文使用流程上和其他托管平台一致声明一个超级 Agent、创建会话、发送消息、接收事件流。差异落在能力拆分的粒度、模型接入方式、以及企业场景的深度支持上。三、AgentRun 拥有的差异化能力是什么Claude Managed Agents 把 Agent 托管需要的几件核心事情做齐了Agent 定义、Environment 容器沙箱、Session 会话、Events 事件流再加上绑定 Claude 模型与一组内置工具Bash、文件操作、Web 搜索。这套组合足以支撑大多数通用场景也把托管 Agent 的产品范式清晰地立了起来。AgentRun 在同一条主线上因为定位是云平台视角的运行时在四个地方做了更深一些的投入运行时与沙箱基于阿里云函数计算 FC启动到毫秒级内核级隔离下能装下代码解释器、浏览器自动化、Computer Use 这类更重的能力模型服务做到厂商无关通义千问、DeepSeek、OpenAI、自部署开源模型可以自由切换和组合工具与技能同时支持 MCP 和 Skills 市场覆盖工具级和任务级两个粒度会话与记忆把长期记忆和知识库作为 Agent 常驻的一等上下文业务层不用再自建一套。3.1 Agent运行时与Sandbox更低的隔离层级Agent 运行时与 Sandbox 底层基于阿里云函数计算FC。每个沙箱与运行时独立内核启动在毫秒级。这样设计有两个原因一是多租户隔离更彻底。不同租户、不同会话的沙箱从内核就是隔离的不存在容器逃逸的风险面。二是沙箱能装下更重的能力。代码解释器需要挂 Jupyter Kernel、浏览器自动化需要 Headless Chromium、GUI 自动化需要完整桌面环境。这些在 MicroVM 里做资源控制和兼容性空间更大。目前 Sandbox 内置的能力Bash 与文件系统完整 Shell 环境文件上传下载双向打通代码解释器Python、Node.js、Java 的 Jupyter Kernel执行状态跨多轮保留浏览器自动化基于 CDP over WebSocket支持完整 Chromium 控制Computer Use桌面级 GUI 操作能力3.2 厂商无关的模型服务将模型选择留给用户AgentRun 不绑定特定模型厂商。通过模型服务层同一个 Agent 可以在通义千问、DeepSeek、OpenAI、自部署开源模型之间切换也可以按任务类型路由到不同模型。这是云平台视角产品的一个自然选择。面向不同行业和合规要求的客户模型无关是一种基础能力成本敏感场景优先走小模型必要时 Fallback 到大模型代码生成、长文本理解、多模态处理各自适合的模型不同合规场景对数据出境有硬性要求只能使用境内或自部署模型AgentRun的模型服务统一承载这些策略同时提供 Token 级限流、多模型 Fallback、调用级成本归因。业务代码不感知底层模型变化切换模型是配置层面的事。3.3 MCP 与 Skills工具级扩展与任务级复用工具是 Agent 完成实际任务的双手。AgentRun 提供两条互补的路径MCP原生支持标准协议生态里已有的 MCP Server 直接接入粒度小、组合自由Skills 市场任务级能力单元上千种经过测试的预置技能网页检索、文档解析、数据可视化、SaaS API 对接一次勾选挂到 Agent 上使用私有 Skills 托管同样打通支持上传 Python / Node.js 包或用 Markdown 声明式语法描述AI 自动生成脚手架托管时做代码安全扫描。来源不确定的 Skill 可挂到独立 Sandbox 运行异常被 MicroVM 隔离在沙箱内。Skills 基于 Serverless 按需加载配合find-agentrun-skills工具链打通本地开发与云端托管。3.4 会话与记忆会话事件流通过 SSE 推送前端或上游应用可以实时拿到 Agent 的回复、工具调用、思考过程。会话的上下文、中间状态、文件产物都会持久化支持后续恢复。记忆独立于会话。短期记忆跟随会话长期记忆跨会话保留用户偏好、历史结论、跨任务的知识知识库承载 RAG 场景的完整链路文档切片、向量化、检索召回。多轮对话或长时间任务这类需求业务层不用再自己搭一套。四、企业级场景AgentRun 的深水区能力作为建立在阿里云上的托管 Agent 产品AgentRun 的定位决定了企业级能力必须做深。这一节集中展开几个方向也是我们在项目落地中反复被客户提到的关键点。4.1 数据不出域VPC 与专有网络金融、政务、医疗类行业对数据主权的要求非常硬。Agent 不能把企业内网数据传给外部服务同时又需要访问内部数据库、中间件和内部 API。AgentRun 基于函数计算的网络能力提供三种模式PUBLIC完全公网访问PRIVATE完全 VPC 内不接公网混合既能访问公网也能打通 VPCAgent 可以直接访问企业 VPC 内的数据库、中间件、内部 API请求链路在阿里云内部闭环。专有云和边缘部署形态也在规划中。4.2 统一凭证管理Agent 调用外部 API 时凭证是绕不开的一环。如果留给业务层自行处理AK/SK 和 Token 很容易散落在 Prompt 和工具代码里难以审计和轮换。AgentRun 把 Credential 作为一级资源支持 OAuth2、API Key、JWT、Basic Auth、AK-SK、自定义 Header 等多种类型。凭证统一创建、绑定到工具或技能上、按需禁用和轮换传输与存储全程加密。这个抽象的价值在落地中体现得很直接出问题时凭证可以快速禁用审计要求来时操作链路有据可查不同环境之间的凭证隔离也不用靠手工维护。4.3 RAM 集成与多租户AgentRun 对接阿里云 RAM 权限体系。不同子账号、不同团队看到的 Agent、工具、模型资源各自隔离权限粒度可细到资源级。多租户场景下每个租户的会话、文件、凭证在数据层完全隔离运行时由 MicroVM 沙箱保证隔离。这套能力对于 SaaS 类产品或大型集团内部多业务线共用 Agent 平台的场景尤其重要。4.4 可观测性OpenTelemetry 全链路Agent 在生产环境的问题大多不是代码 Bug而是 Prompt 触发了意外行为、模型输出不稳定、工具链路某一环超时。没有全链路 Tracing排查非常困难。AgentRun 集成 OpenTelemetry生产环境可以看到每一次模型调用的耗时、Token 消耗、命中的模型每个工具调用的入参、出参、延迟任务整体成本按 Agent、会话、工具维度归因数据接入日志服务后可以直接用于告警、成本报表、性能分析。对于大规模使用的 Agent 系统这一层往往决定了能不能规模化。4.5 模型治理ModelService 除了模型无关还承担了企业级的模型治理职责多 Key 负载均衡避免单个 Key 触发限流主备模型 Fallback一个模型不可用时自动切换Token 级限流和并发控制防止成本失控调用级成本归因能追溯每一次推理的费用对规模化使用模型的企业来说这一层是刚需。没有它配额被耗尽和成本失控都是时间问题。4.6 Serverless 原生弹性