1、前言 —— 你敲了一行字,然后魔法发生了
你打开 Claude Code,敲了一行字:"帮我修一下这个 Bug,Hello.cs 的构造函数参数好像写错了。"回车。几秒钟后,它找到了问题,给出了修复方案。你端着咖啡,感觉自己是科幻电影里的主角。但你知道刚才那几秒钟里,背后到底发生了什么吗?你的 Claude Code 对着 API 狂轰滥炸,发了 1、2、3、4 、n次请求。它不是魔法师——它是一个强迫症患者,反复做着一件极其无聊的事:一个 while 循环。
如果你对 AI 领域稍有接触,一定被下面这些名词轰炸过:LLM、Prompt、Context、Memory、Agent、MCP、Skill、RAG、LangChain、Workflow……它们到底是什么?为什么每年都有一堆新概念冒出来?这些名词之间到底是什么关系?
这篇文章的目标很简单:带你拆开 AI Agent 这个黑盒,用最直白的人话讲清楚每个概念的来龙去脉。不堆砌术语,不讲正确的废话。每一个概念,我都会告诉你它解决的是什么问题、为什么会出现、以及它和其他概念的关系。
剧透一句:所谓"智能体",就是所有不需要智能的部分拼在一起,给中间那个真正需要智能的 LLM 打工。所有的花活,最终都是在帮我们更高效地往 Prompt 里塞信息。
2、你管这叫"智能"?它只是在猜下一个字
先说一个反直觉的事实:大语言模型(Large Language Model,简称 LLM)做的事情,本质上就是"文字接龙"。你输入"魏杨杨真的",它预测下一个字最可能是"帅"。拼上去变成"魏杨杨真的帅",再预测下一个字……就这么一个字一个字往下接。从头到尾,底层逻辑没变过:给我上文,我给你下一个字。那你肯定想问:如果它只会猜字,为什么它能写代码、做翻译、跟你聊哲学?答案是:当模型的参数量大到一定程度(百亿、千亿级别),猜字这个看似愚蠢的行为突然"涌现"出了理解能力。就像一个小孩学了足够多的词语搭配之后,突然能组织出有逻辑的句子了。这种从量变到质变的飞跃,AI 圈叫它"涌现"(Emergence)。为了跟之前的小模型做区分,人们在前面加了个"大"字——大语言模型,Large Language Model,这就是 LLM 这个词的由来。
所以每次你看到 AI 妙语连珠,请记住:它只是在不断地猜下一个字。只不过它猜得太准了,准到你不觉得它在猜。Claude Code 能写出完整的 .NET Controller,不是因为它"懂"编程——而是因为它见过太多 Controller 代码,知道"在这个上下文里,下一个 Token 大概率是 ActionResult"。但这有一个致命缺陷:LLM 的知识停留在训练截止的那一天。你问它"今天深圳天气怎么样",要么告诉你不知道,要么胡编一个数字还煞有介事地说"根据最新气象数据……"。这个问题,会引出我们后面要讲的所有概念。
3、Prompt、Context、Memory —— 这些热词其实是你自己"发明"的
假设你有一个 LLM(我们叫它"小L"),你是老板。每次你给这个员工布置任务,这个任务文本就叫 Prompt(提示词)。比如:"把这段话翻译成英文。"
很快你发现 Prompt 可以拆成两部分:背景信息 + 具体指令。"我是一名.NET程序员,擅长什么技术、技术团队怎么样"是背景信息;"翻译这段话"是具体指令。你给背景信息起了个名字叫 Context(上下文)。恭喜,你已经创造了第二个 AI 热词。
但真正的问题来了:小L只能一问一答。你追问"刚才说的那个方案能再详细一点吗",它说"什么方案?我不记得了"。因为每一次对话都是独立的,一问一答结束就结束了。
聪明的你想到一个办法:每次沟通前,把之前所有的对话历史全部塞进 Context 里面。这样虽然每次对小L来说仍然是"一问",但这"一问"里面已经包含了完整的对话脉络。你给这个跨轮次的 Context 起了个新名字叫 Memory(记忆)。第四个词,诞生。
但 Memory 会越滚越大。当你跟小L聊了三十轮之后,整个对话历史可能已经有几万字——超出了 LLM 能处理的上下文窗口。于是你又想了一个办法:让 LLM 自己把之前的对话总结成几百字的摘要,用摘要代替原文塞进 Memory。这就是 Memory Compression(记忆压缩)。
你看,你用三个概念——Prompt、Context、Memory——把一个原本只会一问一答的智障,包装成了能跟你多轮深入讨论的"智能助手"。牛马员工,养成。
Claude Code 启动时自动读取 CLAUDE.md 文件,本质就是在初始化 Context。你每次跟它对话的完整历史,就是它的 Memory。当你看到"上下文即将超出,正在总结"那个提示时,就是 Memory Compression 在工作。
4、Agent —— 不是"智能体",是"打工体"
有了 Prompt/Context/Memory,小L现在已经能跟你聊天了。但它只能"说",不能"做"。你问"今天天气怎么样"——它不会上网。你让它"帮我改一下这个文件"——它没有操作文件系统的能力。LLM 是一个纯粹的文本处理器,任何非文本的交互它都做不到。
你的第一个本能反应是:自己当传话筒。小L说"我需要知道天气数据",你就去网上查,查完喂给它。它说"我应该修改第 42 行",你就去编辑器里改。
但很快就崩溃了——到底谁是牛马?于是你把"上网查资料""读文件""执行命令"这些逻辑写成一套程序,让程序自动在 LLM 和外部世界之间传话。在外人看来,你还是输入一个问题就拿到了答案,但中间多了一个帮你干活的神秘程序。这个程序看起来好像拥有智能——它甚至能操作工具!你激动地给它起了个高级名字:Agent(智能体)。
但说真的,早期的一些 Agent 简单到什么程度呢?核心逻辑就是:"如果 LLM 返回的文本里包含 'search:' 关键词,就把后面的内容当搜索词,调一下搜索 API,把结果拼回去。"——就这。从现在的视角回看,这简直是名词诈骗。
我给 Agent 一个诚实的定义:Agent 就是所有"不需要智能"的部分拼在一起,给中间那个真正需要智能的 LLM 打工。LLM 不会读文件?Agent 帮它读。LLM 不会联网?Agent 帮它搜。LLM 不会执行命令?Agent 帮它跑。Agent 本身没有任何"智能"——它只是一个调度器,永远在问 LLM:"接下来干什么?"
5、拆开黑盒 —— Agent 的肚子里只有一个 while(true)
上面讲得很好听,但口说无凭。我们上抓包工具,实打实地看一次。设置一个简单任务:有两个 C# 文件,Hello.cs 和 User.cs。Hello.cs 里调用了 User 的构造函数,但参数个数传错了。让 Claude Code 帮我们找到这个 Bug。任务简单到你可能觉得 Claude Code 一步就能定位。现实是——它发了 1234 次 API 请求。
第 1 轮:Agent 把三样东西打包发给 LLM:(1)、你的问题"帮我找到 Bug" (2)、一长串系统提示词告诉 LLM"你是一个编程专家,你要找出并修复用户的代码问题" (3)、17 个可用工具的清单和用法说明(读文件、写文件、搜索文件、联网搜索……)。LLM 收到这一大坨信息后,并不直接告诉你 Bug 在哪。相反——它开了一个"检查单",返回一条 JSON:"调用 Read 工具,读取 Hello.cs"。
第 2 轮:Agent 乖乖执行:读取 Hello.cs 的完整内容。然后把历史记录(你的原始问题 + LLM 上轮开的检查单 + 刚才读到的文件内容)整包发给 LLM。LLM 看完说:"光看 Hello.cs 不够,搜一下所有引用了 User 的文件。"
第 3 轮:Agent 执行搜索,把找到的文件列表发回去。LLM 说:"读取 User.cs。"
第 4 轮:Agent 读取 User.cs,连同 Hello.cs 的内容和所有历史一起发给 LLM。这次 LLM 终于看到了完整的两个文件——"Hello.cs 给 User 构造函数传了 2 个参数,但 User 的构造函数只定义了 1 个参数。这就是 Bug。建议修改方案是……"
看懂了吗?这个模式可以无限循环:收集上下文 → 发给 LLM → LLM 不说答案而是开"下一步检查单" → Agent 执行检查 → 结果塞回上下文 → 再发给 LLM → 循环……直到 LLM 最终给出答案为止。
这就像医生问诊:你说头疼→医生开 CT→你做完 CT 拿结果回来→医生看 CT 结果开血检→你做完血检回来→医生终于确诊。Agent 就是那个"永远在问下一步该做什么"的程序。
6、Claude Code 源码级拆解 —— Agent 循环只占 5% 的代码
上面说的是 Agent 的核心循环逻辑。但如果去看 Claude Code 的源代码(一期泄露了约 50 万行 TypeScript),你会发现一件有趣的事:核心循环本身只占了大约 5% 的代码。剩下 95% 全是在解决"循环跑起来之后,怎么保证它不跑偏"的问题。
一、权限系统(7 层纵深防御)。这不是一个简单的"允许/拒绝"开关,而是七层层层递进的防线:第 1 层全局禁止列表(硬编码的危险操作如 rm -rf);第 2 层目录边界(禁止操作项目目录外的文件);第 3 层只读自动放行(Read、Grep、Glob 静默通过,不打扰用户);第 4 层安全模式白名单(git commit、dotnet build 这些明确安全命令自动放行);第 5 层 ML 分类器,这是最精妙的部分。一个独立的轻量模型,从海量真实用户交互日志中学习(用户批准了哪些命令、拒绝了哪些命令),能在命令执行前评估风险等级;第 6 层会话级用户授权(当前会话中你明确允许的操作模式);第 7 层高风险显式确认(删库、强制推送等操作必须你亲手点击确认)。任何一层都能独立阻止一个操作。
更厉害的是,Anthropic 可以通过远程特性开关(Statsig feature flags)一键关闭全球所有用户的"绕过权限"模式:如果某个权限模式出了问题,不需要客户端更新,瞬间就能完成全球范围的紧急响应。还有拒绝追踪+熔断机制:连续 3 次或累计 20 次工具拒绝会自动降级到手动确认模式。
二、上下文管理系统(5 层压缩流水线)。上下文窗口是有上限的(约 20 万 Token),Agent 循环跑了成百上千次之后,上下文会爆。Claude Code 的解决方案是一套从便宜到昂贵的 5 层压缩策略:①每消息大小上限(Budget Reduction,零成本);②裁剪不相关历史(Snip);③运行时微压缩(Microcompact,清除过时工具结果但保留缓存命中);④上下文折叠(Context Collapse,把历史块归档为元数据占位符,不销毁数据);⑤自动总结重写(Auto-Compact,让 LLM 把整个原始历史总结成结构化的 Markdown 快照——这是最后手段,因为要花 API 费用)。这套流水线的哲学是:先用便宜的本地操作,实在不行再花 API 钱做重写总结。而且 Auto-Compact 有熔断——连续 3 次失败就停止重试(真实数据中曾出现 1279 个会话连续失败 50+ 次,浪费了大量 API 调用)。压缩完成后还会重新注入最多 5 个关键文件(每个最多 5K Token)和 Skill 指令(最多 25K Token),确保模型不丢失关键上下文。
三、扩展机制(4 级递进)。Hooks(零上下文成本,27 种事件类型,可以拦截工具调用和会话生命周期)→ Skills/CLAUDE.md(低成本,项目级知识注入,层级式:系统→用户→项目→本地)→ Plugins(中等成本,10 种组件类型的可安装包)→ MCP Servers(高成本,7 种传输类型,外部工具即插即用)。
四、子 Agent 编排(3 种协作拓扑)。Subagent 简单委托("帮我搜一下 XXX")、Team/Swarm 协作模式(Leader+Worker 自主认领任务)、Coordinator 编排模式(研究→综合→实现→验证四阶段流水线)。子 Agent 可以跑在 Git Worktree 隔离环境里——每个子任务拥有独立的文件系统副本,做完合并结果,失败的直接丢弃。这是一种优雅的隔离设计。
五、工具执行系统(并发感知)。不是等 LLM 返回完整响应才开始执行——流式执行器(StreamingToolExecutor)在 tool_use 块到达时就立刻开始执行。并发安全的工具(Read、Grep、Glob)并行执行;互斥的工具(Bash、Write、Edit)串行执行以避免竞态条件。光 Bash 工具就拆分成了 18 个文件做 8 层安全检查。
六、会话持久化(追加写入,不复原权限)。Session 用 JSONL 追加写,每条事件人类可读、版本可控。但关键设计——权限数据跨会话不复原。每次新会话,信任从零开始重建。子 Agent 的完整对话记录保存在隔离的侧链 JSONL 文件中,只有摘要返回主会话。
七、终端 UI(React + Ink)。用 React 组件渲染终端 ANSI 序列——流式输出、Diff 高亮、多区域布局、进度动画。状态管理用 Zustand 风格的 Store。
7、Agent 安全 —— 当你的 AI 可以 rm -rf 的时候
前面提到权限系统,这里展开讲一下——因为这可能是 Agent 架构中最被低估的部分。
Agent 有操作文件系统、执行命令、访问网络的能力。如果没有任何安全机制,用户一句"帮我清理一下临时文件",Agent 可能执行了 rm -rf /。这不是开玩笑,在生产环境中,Agent 的安全架构直接决定了你是用 AI 提效还是在系统里埋了一颗定时炸弹。
Claude Code 的安全设计哲学有三个关键词:"Deny-First(否决优先)"、"Graduated Trust(渐进信任)"、"Defense in Depth(纵深防御)"。
否决优先的意思是:宁可错误地阻止一个安全操作,也绝不能错误地放行一个危险操作。渐进信任的意思是:Agent 一开始什么都不能做,随着用户逐步授权,能力边界逐步扩大——而不是一上来就给它 root 权限。纵深防御我们已经讲过了——7 层独立防线,任何一层都能拦截。
信任是分级的——从 plan(只能读不能改)到 default(大部分操作需审批)到 acceptEdits(接受编辑自动放行)到 auto(ML 分类器自动判定)到 dontAsk 到 bypassPermissions(完全信任)。这不是非黑即白的二元开关,而是一个信任光谱。你可以在不同项目、不同场景下选择不同的信任级别。
8、RAG 检索增强生成 —— 与其让 LLM 胡编,不如给它翻书
说完了 Agent,我们再回来解决 LLM 本身的一个核心问题——幻觉(Hallucination)。
你问 LLM"公司上个季度的销售额是多少",它不知道,但它会编一个数字,而且编得理直气壮。更可怕的是——有时候编的数字刚好落在合理范围内,你不查证根本不会怀疑。在企业场景,这是致命的。
解决方案很朴素:在问 LLM 之前,先查一下相关资料,把查到的内容作为参考资料一起塞进 Prompt。这就是 RAG(Retrieval Augmented Generation,检索增强生成)。为什么叫这个名字?因为它的流程就是三步——先检索(Retrieval),用检索结果增强(Augmented)Prompt,再让 LLM 生成(Generation)回答。
但是传统的关键词搜索在这里有个硬伤:"销售额"搜不到"营收","怎么做红烧肉"匹配不到"如何烹饪红烧肉"。于是有了向量搜索(Vector Search):用 AI 把文字转成一串数字(Embedding 向量),语义越相近的文字,向量之间的距离就越近。你搜"怎么做红烧肉",系统找到"如何烹饪红烧肉"的向量距离只有 0.08——哪怕表层一个关键词都没对上。
文档分块(Chunking)是 RAG 中最关键的工程决策之一。块太大——检索精度下降,LLM 收到一堆噪音。块太小——信息碎片化,丢失上下文。2025-2026 年的研究趋势非常清晰:
第一代"固定 Token 数切块"已经被淘汰——无视语义边界,一刀切在句子中间。第二代"递归分块"是当前主流——按段落、句子层级递归拆分,保留文档结构。第三代"语义分块"正在兴起——先把所有句子 Embedding,再根据语义相似度找自然边界,Max-Min 算法决定是否将下一句加入当前块。最前沿的第四代"查询自适应分块"——根据用户查询动态决定块的大小和抽象层级,用强化学习训练一个 Planner 来预判最优分块策略(SmartChunk,ICLR 2026)。
一个反直觉的研究发现:通用检索模型(Nomic、E5、BGE-M3)在大多数场景下优于领域专用模型(如 SciBERT)。化学领域的系统研究测试了 25 种分块配置 × 48 种嵌入模型的组合,结果通用模型普遍胜出。还有几个见效快的高级技术值得了解:Contextual Retrieval 在索引时为每块加一段 LLM 生成的文档级上下文描述,可以减少约 49% 的检索失败;ColBERT 做逐 Token 嵌入而非逐块嵌入,用 MaxSim 评分实现更细粒度的匹配;RAPTOR 构建层级摘要树,叶子节点是原文块,父节点是 LLM 生成的摘要,对"大局观"类查询效果极好。
生产环境的 RAG 流水线通常不止一步:文档摄入 → 智能分块 → 元数据增强 → 向量嵌入 → 存入向量数据库(Milvus / PGVector / SQL Server 向量索引)→ 查询时向量化 → 混合检索(向量语义匹配 + 关键词精确匹配互补)→ 重排序(Cross-Encoder 对候选结果精细打分)→ 拼进 Prompt → 发给 LLM。
理解了 RAG,你就明白了为什么企业知识库问答、智能客服、合同审查这些场景离不开它。因为你不敢用没有 RAG 的 LLM 去回答业务问题——你分不清它哪句是真的,哪句是编的。
9、MCP 模型上下文协议 —— AI 界的"USB-C 接口标准"
好,现在你理解了 Agent 的基本原理:LLM 说"我要调某某工具",Agent 就去调。但这里有一个工程上的大问题:最开始的实现方式,是把每个工具的集成逻辑硬编码在 Agent 主程序里。
这导致了著名的"M × N 集成地狱":N 个 AI 模型要对接 M 个外部工具,总共需要 N × M 套定制集成。5 个模型 × 10 个工具 = 50 套集成。每加一个工具,每个模型都得写一遍集成代码。每换一个模型,所有工具的集成方式可能都不一样。
这就像每台手机都有一个自己独特的充电口——你出门得背一包线。MCP(Model Context Protocol,模型上下文协议)就是 AI 界为了解决这个问题而生的"USB-C 标准"。
MCP 由 Anthropic 于 2024 年 11 月开源发布。到 2026 年 3 月,月下载量已达 9700 万次,80% 以上的世界 500 强企业在部署 AI Agent。OpenAI、Google、Microsoft、AWS 全部加入支持。2025 年 12 月,Anthropic 将 MCP 捐赠给了 Linux 基金会旗下的 Agentic AI Foundation(与 Block 和 OpenAI 联合创立)。MCP 已经不再是一个厂商标准,而是行业标准。
MCP 的架构设计非常简洁——三个角色、三个原语、四步通信。
三个角色:
Host(主机)—— 用户直接面对的 AI 应用。Claude Desktop 是 Host,Cursor 是 Host,你自己写的 ChatBot 也是 Host。Host 负责管理连接、编排调用、执行安全策略。
Client(客户端)—— 嵌入在 Host 内部的协议组件。每个 Client 和一个 MCP Server 保持 1:1 的有状态连接。一个 Host 可以同时跑多个 Client,每个连不同的 Server。Client 负责 JSON-RPC 序列化、能力协商和路由。
Server(服务器)—— 一个轻量级进程,把外部系统(文件系统、数据库、REST API、SaaS 平台如 GitHub / Slack / Salesforce)的能力包装成标准化的"工具",暴露给 AI 模型。推荐一个 Server 只管一个职责边界。
三个原语(Primitives):
Tools(工具)—— 模型控制的可执行操作。每个 Tool 用 JSON Schema 定义输入输出。LLM 根据用户请求和工具描述决定何时、如何调用。例如"查询数据库""创建 Jira 工单""发邮件""调天气 API"。
Resources(资源)—— 应用/用户控制的只读上下文数据。通过 URI 标识(如 config://weather/settings)。Host 决定何时将这些数据暴露给模型的上下文窗口。例如文件内容、数据库记录、API 响应、配置数据。
Prompts(提示模板)—— 用户控制的可复用提示词模板。对多步骤工作流(代码审查、数据查询)编码结构化的交互模式。用户可以选择触发。
四步通信流程:①能力协商——Client 和 Server 握手交换支持的特性;②工具发现——Client 发送 tools/list,Server 返回可用工具清单和参数 Schema;③工具调用——LLM 决定调某个工具,Client 发送 tools/call,Server 执行并将结果返回给模型;④人工审批——破坏性操作需要用户显式确认才能执行。
传输方式:本地用 stdio(Host 把 Server 当作子进程启动,通过标准输入输出通信),远程用 HTTP+SSE(Server-Sent Events 流式传输),2026 年的方向是走向无状态的 Streamable HTTP(SEP-1442),让 MCP 也能适应云原生架构。
一个必须澄清的问题:MCP 和 API 是什么关系?它们解决的是完全不同的问题。API 是"LLM 和你的程序怎么通信"——是对话通道。MCP 是"Agent 和外部工具怎么通信"——是工具集成标准。打比方:API 是服务员(厨房间传菜),MCP 是 USB 标准(设备间通信)。两个维度,不在一个层次上比较。
MCP 能取代 LangChain 吗?不能。LangChain 帮你编排多步骤 AI 流程("先干什么后干什么"),MCP 帮你标准化工具接口("怎么发现和调用工具")。它们处理的是不同层次的问题。你可以用 LangChain 编排一个流程,流程中的某个步骤去调用一个 MCP 工具——它们是配合关系,不是替代关系。
关于安全:MCP 是传输协议,不是安全模型。独立的渗透测试研究(2025 年 4 月)发现了多个潜在风险:恶意工具注册(冒充合法工具名)、通过 Resources 中的恶意数据操纵工具选择(Prompt 注入变种)、OAuth Token 明文存储在配置文件中、很多实现在默认状态下没有认证机制。生产环境最佳实践:MCP Server 部署在 VPC 内,绝不暴露公网;强制 OAuth 2.1 认证;每个 Server 单独控制权限 RBAC;代码审查社区 Server;结构化审计日志。
关于未来:简单通用的工具(文件读写、联网搜索)会逐步内建到 Agent 框架里,不再需要独立的 MCP Server。但专业化的、垂直领域的工具会长期以 MCP 服务的形式存在。2026 年 1 月还发布了 MCP Apps 扩展——Server 可以返回交互式 UI(HTML/JS),在沙盒 iframe 中渲染,通过 postMessage 做双向 JSON-RPC 通信。还有实验性的 tasks 原语允许 Server 立即返回持久句柄而后台继续执行(长耗时任务场景)。
10、Skill —— 给 Agent 装上"肌肉记忆"
用过 Claude Code 的人都会注意到一个文件——CLAUDE.md。你在里面写项目背景、代码规范、常用命令、注意事项……Claude Code 每次启动自动去读。很多人觉得这就是一个"配置文件",但它背后的概念要深远得多——这就是 Skill(技能)的最朴素形态。
让我用一个场景说明 Skill 要解决什么痛点:你的团队每周都要执行"客户需求分析"这个任务。流程是固定的——从客户原始邮件中提取行业、预算范围、功能需求、技术约束、交付周期五个维度的信息,输出成固定格式的需求文档。
没有 Skill 的时候:你每次从零开始写 Prompt。"你是产品经理……请从以下客户邮件中提取五大维度信息……输出格式如下……注意如果客户没有提到预算要用'待确认'标注……"一段提示词七八百字,拿起来就烦。更要命的是——Token 是烧钱的。每次重复同样的背景说明,这些 Token 就是白白消耗的。如果你的团队每天执行 10 次这个任务,光背景说明一个月就能烧掉几百万 Token。
有了 Skill 之后:你把整套流程封装成一个标准模块。里面有:固定的 Prompt 模板("你是产品经理……"那一段)、数据提取逻辑(五个维度的提取规则)、输出格式规范(需求文档的 Markdown 模板)、常见边缘情况的处理指南。以后每次触发"客户需求分析",Agent 自动加载这套"标准作业程序",按部就班执行。你不用再费口舌——Agent 已经知道你是谁、做什么、怎么做、什么格式输出。
Skill 的价值是双重叠加的——省时间 + 省钱。省时间是因为高频任务一键启动,不需要每次都做"新人培训"。省钱是因为省下来的 Token 日积月累是一笔不小的开支——一段每次重复 800 字的背景说明,一天 10 次,一个月 30 天,就是 24 万字的 Token 消耗。这只是一个 Skill。如果你有 5 个高频 Skill,月省的 Token 就是百万级别。
Skill 和 MCP 的区别是什么?这是最容易混淆的地方。MCP 是工具接口的标准化——解决"Agent 怎么调用外部工具"。Skill 是工作流程的封装——解决"Agent 怎么高效完成某类任务"。执行一个 Skill 的过程中可以去调 MCP 工具——它们互不冲突,反而互补。
Skill 和 SubAgent 的区别?Skill 是"流程模板"——定义了一类任务的标准作业程序,Agent 在执行任务时加载它。SubAgent 是"隔离执行"——把子任务独立到一个干净的上下文中执行,结果只返回摘要给主 Agent。Skill 解决的是"效率+成本+质量",SubAgent 解决的是"上下文污染+任务隔离"。
关于 Skill 的未来:我认为 Skill 本身也是中间产物。将来你可能只需要用自然语言描述一次工作流程,Agent 自动把它固化为 Skill。做了几次同类型的任务后,Agent 自己就能总结出 Skill 模板。但不管形式怎么变,"固化高频流程以提效降本"这个需求是永恒的——人懒得重复,AI 也不应该重复。
11、API —— 你以为是高科技,其实就是个"服务员"
API 这个词——Application Programming Interface,应用程序接口——听上去硬核得要命。但我给你翻译成人话:服务员。
你去餐厅,跟服务员说"来一份红烧肉"。服务员把需求传给厨房,厨房做好了,服务员端回来。在整个过程中:你不知道厨房用的是什么锅、什么火候、厨师是哪里人。你只需要会跟服务员说话。你的工具(嘴巴)和厨房的实现(做菜)通过服务员解耦了。
AI、API 一模一样。你用 Claude Code(工具端)想调 GPT-4(模型端),中间需要一个"服务员"传话。你把 OpenAI API Key 填进去,工具就能通过这个通道去调对应的模型。你把 API Key 换成 DeepSeek 的,同样的工具就去调 DeepSeek。
工具是工具,模型是模型,中间的连接靠 API。理解这一点,你就理解了为什么 Agent 可以不绑死在单一模型上。这也是为什么出现了那么多"一键切换底层模型"的工具——原理很简单:对上层暴露统一的调用接口,对下层适配不同模型的 API 格式。不是什么高深的技术,但确实非常实用。
一个常见的坑:Prompt Caching(提示缓存)是最被低估的成本优化手段。缓存的 Token 价格可能只有非缓存的十分之一。但缓存的命中条件是——请求的前缀必须完全匹配。如果你每次把动态内容(如对话历史)放在静态内容(如系统提示词)前面,缓存就命不中。正确的做法是把不变的指令和工具定义放前面,把变化的对话内容放后面。这个简单的顺序调整,能让你的 API 成本大幅下降。
12、LangChain / Workflow / Skill —— 三代流程编排的演化
假设你要让 AI 帮你完成一个固定多步骤任务:从英文 PDF 提取内容 → 翻译成中文 → 保存成 Markdown。怎么让 Agent 跑完整个链条?答案的变化恰恰映射了三代技术的演化:
第一代:LangChain —— 纯代码编排。每一步用代码显式串起来:调 PDF 解析库 → 调翻译 API → 调文件写入。极度稳定,结果可预期。但改任何一个步骤都要改代码、重新部署。对不懂编程的人完全没门。
第二代:Workflow —— 低代码拖拽。在页面上画流程图,每个节点是一个操作,节点之间拖线连接。比 LangChain 好修改——不用动代码,拖几下就行。非技术人员也能上手。但它仍然应对不了文件格式组合爆炸——PDF、Word、HTML、PPT 的组合太多,不可能每种画一套流程图。
第三代:Skill —— Agent 自主选择 + 固化模板。提前把各种转换脚本放在目录里,写一个说明文件描述整体流程。Agent 接到任务后,根据实际文件格式自己决定用哪个脚本。既保留了 Agent 的灵活性(不用为每种格式组合写死流程),又通过固化关键步骤保证了可靠性(翻译和保存的脚本是写死的不会跑偏)。
这个演化揭示了一条清晰的光谱:越往左越僵硬但越稳定,越往右越灵活但越不可控。LangChain 在最左——纯代码,结果可预期但毫无灵活性。纯 Agent 在最右——完全放飞,它可以为了一个简单任务自己写几百行代码还跑出奇怪的异常。Skill 在正中间——既有固化流程的可控性,又有 Agent 自主选择脚本的灵活性。对于绝大多数生产环境,Skill 是当前最佳平衡点。
值得注意的是,2026 年 Agent 框架的共识也印证了这一点:Agent(LLM 驱动的控制流)和 Workflow(开发者定义的确定性控制流)是两个互补的模式,不应该互相替代。对于步骤固定、不需要推理判断的任务——Workflow。对于需要根据中间结果动态调整策略的任务——Agent。强行用 Agent 跑一个流程固定的任务,相当于雇了一个博士去拧螺丝——又贵又不靠谱。
13、.NET 开发者如何落地这一套?
看完这么多概念,你可能想问:我是写 .NET 的,这些跟我的日常开发有什么关系?关系很大——AI 不是要替代你现有的架构,而是增强它。下面这张图展示了一个融合 AI 能力的 .NET 生产级微服务架构全景。
从外到内来看这张图:
接入层:Vue3、Mobile App、Blazor 等前端通过 CDN + DNS 到达 API Gateway(Ocelot 或 YARP),网关统一处理限流、认证、路由、日志。WAF 防火墙挡住常见攻击。
负载均衡层:Nginx 或 K8S Ingress 将请求分发到下游服务实例,支持轮询、最少连接、IP Hash 等策略。配合健康检查自动踢掉故障节点。
微服务层(K8S 集群 + Docker 容器):每个服务独立部署为一个 Docker 容器,由 K8S 编排调度。用户服务、订单服务、商品服务、支付服务、通知服务——标准的业务微服务拆分。此外还有:AI Agent 推理服务(基于 Semantic Kernel,处理开放式推理和工具调用)→ 数据分析服务(ML.NET 做机器学习预测)→ 搜索服务(Elasticsearch 全文搜索 + 向量语义搜索的混合搜索)→ 定时任务服务(Quartz.NET 处理后台 Job)→ 日志监控服务(Serilog + OpenTelemetry + Prometheus 采集全链路追踪)。
消息队列层(RabbitMQ / Kafka):服务间异步解耦的核心。支付成功后发消息 → 订单服务更新状态 → 通知服务发邮件——这些不应该是同步调用链。消息队列提供削峰填谷、事件驱动、最终一致性保障,还有死信队列处理失败消息。
缓存层(Redis Cluster):热点数据缓存、AI 推理结果缓存(避免重复调用 LLM 烧钱)、Session 存储、分布式锁。Redis 是降本的核心——AI 的一次推理结果存进 Redis,下次同样的查询直接从缓存返,Token 钱就省了。
服务治理(Consul / K8S Service Discovery):服务发现、配置中心、健康检查、熔断降级、链路追踪。微服务数量一多,没有治理就是灾难。
数据层(SQL Server 主从 + MySQL 分析库 + ES + MongoDB):SQL Server 主库处理所有写操作,通过主从复制将数据同步到两个只读从库——读请求在从库上负载均衡,实现读写分离。新版 SQL Server 原生支持向量索引,直接在库里做 AI 语义搜索,不需要额外部署向量数据库。MySQL 作为分析库存储报表和数据仓库查询。Elasticsearch 提供全文+语义混合搜索。MongoDB 存储日志和非结构化数据。
基础设施层(K8S + DevOps):Docker 容器化所有服务,Kubernetes 编排调度和自动伸缩。Harbor 私仓管理镜像。GitLab CI/CD 自动化构建、测试、部署。Prometheus + Grafana 监控告警可视化。ELK Stack 日志收集分析。Istio 服务网格处理东西向流量。HashiCorp Vault 管理密钥。
AI 能力不是某一层的专属——它贯穿全栈。接入层用 AI 做智能限流和异常检测,服务层用 Agent 做自主推理和工具调用,消息层用 AI 做内容审核和智能路由,数据层用向量搜索和 RAG 知识检索,运维层用 AIOps 做故障预测和自愈。AI 是增强每一层的能力,而不是推翻重建。
但是——不要为了追 AI 的热闹把简单问题复杂化。大多数 CRUD 系统,三层架构足够。AI 的高射炮应该打真正有复杂度的地方:海量文档的知识检索、非结构化数据的智能提取、需要推理判断的异常检测、自然语言驱动的高级查询。
14、总结 —— 剥开所有的包装纸,里面只有一坨工程代码
用最直白的语言,一次性把所有的概念串在一起:
LLM(大语言模型)—— 心脏。它只会文字接龙。但当参数大到千亿级别,接龙接出了智能。
Prompt(提示词)—— 你跟 LLM 说的一切。包含背景、指令、格式要求。
Context(上下文)—— Prompt 里的背景信息。"我是一名.NET程序员"就是 Context。
Memory(记忆)—— 跨轮次的 Context。把之前的聊天记录塞进下一轮,让 LLM 假装记得你。
Agent(智能体)—— 身体。一个 while(true) 循环——收集信息→发 LLM→解析指令→执行工具→重复。LLM 不会读文件?Agent 帮它。Agent 自身没有智能,它只是 LLM 的手和脚。
Agent 的核心秘密不是循环本身,是循环之外的那 95%。7 层权限防御、5 层上下文压缩、并发感知的工具执行器、4 级扩展机制、3 种子 Agent 协作拓扑——这些基础设施才是区分"Demo"和"生产级"的关键。
RAG(检索增强生成)—— 外挂知识库。先查资料再回答。让 LLM 说的话有据可查。2026 年共识——固定大小分块已死,语义分块和查询自适应分块是趋势。通用检索模型往往优于领域专用模型。混合检索(向量+关键词)是标配。
MCP(模型上下文协议)—— 神经系统。Agent 和外部工具之间的 USB-C 接口标准。三个角色(Host、Client、Server)、三个原语(Tools、Resources、Prompts)、四步通信。2026 年月下载 9700 万,由 Linux 基金会治理。MCP 不是安全模型——生产环境强制认证+权限控制+审计日志。
Skill(技能)—— 肌肉记忆。高频任务的标准作业程序。省时间(不用每次"新人培训")+省钱(Token 复用)。实习生变老员工的秘诀。
API(应用程序接口)—— 血管。就是一个服务员——帮你把话传给厨房(LLM),再把菜端回来。
LangChain / Workflow / Skill / Agent —— 流程灵活性光谱。从左到右越来越灵活、越来越不可控。Skill 在中间,是当前生产环境最佳平衡点。
如果要给所有概念一个终极概括:这些技术的共同本质,就是在不断地、更高效地往 Prompt 里面塞信息。RAG 是从知识库里检索信息塞进去。Skill 是把标准化流程信息塞进去。MCP 是把外部工具返回的结果塞进去。Memory 是把历史对话信息塞进去。所有的花活,最终的目的地都是同一条——把那条 Prompt 变长、变丰富、变精准。因为 LLM 只能从 Prompt 里"看到"世界。Prompt 里有什么,它就知道什么。Prompt 里没有的,它要么不知道,要么胡编。
真正需要"智能"的,始终只有 LLM 本身。其余的一切,都是工程。
PASS:如果你想成为一个成功的人,那么请为自己加油,让积极打败消极,让高尚打败鄙陋,让真诚打败虚伪,让宽容打败褊狭,让快乐打败忧郁,让勤奋打败懒惰,让坚强打败脆弱,只要你愿意,你完全可以做最好的自己。
.jpg)