咱就是说AI Agent 这玩意儿现在挺火的，但你要是没个好的边界控制，迟早出事儿。

我在Zuo业务 Agent 项目的时候，就遇到了这个问题。

为了解决这个问题，我就用上了 Harness 这个框架。

什么是 Harness？

Harness，中文是"马具"——给马套上缰绳，让它跑得快但不失控。

我们用这个词来命名我们的 Agent 边界管控框架。

它的核心思想是：让 AI Agent 在可控的边界内自主执行，而不是无限制地"自由发挥"。

说实话，一开始我们也没想这么多，就是觉得需要个安全防护框架呗。

但Zuo着Zuo着，发现这玩意儿还挺复杂的，得考虑各种风险。

Harness 的架构设计

Harness 不是一个业务模块，它是一个横切所有工具调用链路的安全中间层，由四层 Guard 组成，采用纵深防御思路：在不同阶段分别拦截不同类型的风险。

L1 意图检测，L2 技Neng包扫描，L3 操作风险控制，L4 资源保护。

每一层dou实现同一个接口：interface IGuardLayer { check: Promise<HarnessDecision>;}

这个设计让四层Ke以被统一调度，也hen容易在某一层出问题时快速降级。

其中 L1 和 L2 并行执行，L3 和 L4 串行执行。

任意一层 BLOCK 或 HITL_WAIT，后续层跳过——这是短路求值。

L1 意图检测：防注入、防滥用

IntentGuard 内部是一条四环检测流水线：

输入文本 → Base64解码、Unicode还原 → 正则规则集匹配Yi知攻击模式 → kan历史消息，累积风险分 → 仅当前三环未命中高威胁时用 LLM 语义兜底 → 综合Zui终威胁等级

设计上有几个有趣的取舍：

取舍一：语义检测是可选的。规则Yi经高置信度命中时跳过 LLM 调用——因为Yi经确定是攻击了没必要再花钱确认一遍。

取舍二：整体 fail-open。IntentGuard 出现异常或超时默认放行，因为 L3 OperationGuard 会在工具执行前再Zuo一次geng精准的检查，两道防线之间有冗余。

取舍三：观察模式。上线初期我们不敢直接拦截，开了 observe 模式——检测但不拦截，只记日志，先收集一段时间的误报数据，再调整规则，再开启拦截。

HITL：让人参与决策

HITL 是我们整个框架里用户感知Zui强的机制。

. simple 模式适合"当前用户自己确认"的场景。比如 Agent 要提交一个审批单，弹出确认框，用户点"确认"，WebSocket 实时通知 Agent 继续执行。

standard 模式适合"需要特定审批人批准"的场景。比如某个高权限操作必须由负责人审批。这时 Harness 会向配置的审批人发送即时消息通知，审批人回调确认后Agent 恢复执行。Token 有 TTL，超时自动拒绝。

L3 操作风险控制：Zui后一道关卡

. fail-closed 策略

OperationGuard 出现异常时默认拒绝。因为这是Zui后一道关卡，Ru果这里出了问题还放行，可NengYi经产生了实际副作用。

热开关：生产出了问题怎么办

上线初期我们非常担心误报。Ru果 IntentGuard 误判了一个正常请求，用户会直接被拦截，体验非常差。

所以每个 Guard 层dou有三种运行状态，通过配置中心实时切换，无需重启服务：enabled、disabled、observe。

Harness 的演进过程

Harness 从一个"临时加的安全校验"演化成今天这个四层防护框架，大概花了三个月时间，经历了好几轮重构。

"为什么百度不收录" 可Neng有hen多原因，比如网站权重太低、内容不够优质、robots.txt限制等。你Ke以检查一下你的网站设置和内容质量，或者尝试提交网站地图来提高收录率。

. . 日志太多怎么办？. BLOCK 决策 → 只写触发拦截的那一层日志ALLOW → 只写一条汇总日志HITL 事件 → 写完整事件日志工具调用 → 写调用记录.. Harness Agent ,你可Neng需要关注这些点……. Harness EngineeringZui佳实践:. .. .. Ru果你们团队也在Zuo Agent 平台，希望这篇文章对你有所启发。. Agent 不应该是无限制的自动化执行器，它应该是一个在清晰边界内工作的可信助手.

---