夜雨聆风- 引言 -
2026年6月3日,可观测性平台Coralogix宣布拿下2亿美元F轮融资,估值直接飙到16亿美元。领投方是Advent和加拿大养老金计划投资委员会,11个月前他们刚融了1.15亿美元E轮。
这笔钱要干的事很明确:给AI Agent建一层监控体系。
就在前一天,微软在Build 2026大会上发布了一个叫MXC的东西。全称Microsoft Execution Containers,一个直接嵌入Windows操作系统的AI Agent沙箱。OpenAI和NVIDIA已经上车。
一个从应用层往下看,一个从操作系统往上看。两条路线,指向同一个判断:AI Agent的自治能力已经跑在了管控能力前面。
📌 小结:Coralogix 2亿美元融资和微软MXC沙箱同一周发布,标志着AI Agent监控从「可选项」变成了「必选项」,资本和平台巨头同时押注这个方向。
🔻
● ● 你用的AI Agent,其实是个黑盒
KPMG的最新调研说,88%的组织正在探索或试点AI Agent。Gartner预测到2028年,超过三分之一的企业应用会内置Agent能力。
但你去问工厂里的IT负责人,十个有九个不敢让Agent真正自治。
为什么?
传统软件的行为是可预测的。
一个MES系统接收工单、下发指令、记录数据,每一步都有明确的输入输出。出了问题,查日志就行。
AI Agent完全不是这么回事。
它接到一个自然语言目标,自己拆任务、自己调工具、自己决定执行顺序。中间的推理链路对用户来说是完全不可见的。你觉得它是在帮你优化排产计划,实际上它可能正在以你没想到的方式调用ERP接口,甚至碰了不该碰的财务数据。
安全研究已经多次证明,通过提示词注入、恶意工具调用、数据伪装成正常工作流,AI Agent可以被诱导做出你完全不想看到的事。
核心矛盾就在这里:Agent越自主,越有用;越有用,越危险。
你给它权限少了,它干不了活。你给它权限多了,它可能给你搞出安全事故。这个两难困境,就是Coralogix和微软各自想解决的问题。
📌 小结:AI Agent的推理链路对用户是不可见的黑盒,自主权和安全性之间的矛盾是阻止工厂放手让Agent自治的核心障碍。
🔻
● ● Coralogix的路线:从外面盯着你干活
Coralogix的做法可以理解为「装监控探头」。
他们的核心逻辑是:不管Agent在干什么,我把它的一举一动都记录下来,实时分析,出了问题立刻告警。
这家公司2014年在以色列成立,主做可观测性。传统的可观测性盯的是服务器、数据库、微服务这些基础设施,核心数据是指标、事件、日志和链路追踪,业内叫MELT数据。
但AI Agent时代,这套体系不够用了。
因为Agent产生的不是简单的请求-响应模式,而是多步骤的推理链。一个Agent可能先调一个搜索工具,再调一个数据库接口,然后把结果喂给另一个Agent做二次推理,最后才输出一个决策。中间任何一步出错,你用传统的链路追踪根本拼不出来完整画面。
Coralogix的解法是构建一个专为Agent时代设计的可观测性架构。全量数据接入、实时流分析、开放格式、客户自有存储。他们的5000多家企业客户里,已经有一半以上在用自家的Olly AI Agent或者接入自己的模型来做事件排查。
据闻,Coralogix正在悄悄构建一整套工具:实时检测Agent幻觉、追踪失控的Token消耗、标记安全违规、在Agent「暴走」之前发出预警。
说白了,就是给AI Agent装一个行车记录仪加疲劳驾驶检测。
这条路线的优势是不侵入Agent本身。 你用什么框架、什么模型、什么推理方式,我不关心。我只管从外面盯着你,你干坏事我就叫。
劣势也明显:它是事后的、被动的。告警响起来的时候,Agent可能已经干了三秒、五秒、十秒钟的坏事。在生产环境里,这几秒够让一条产线宕机了。
📌 小结:Coralogix走的是外部可观测性路线,不侵入Agent本身,全量记录实时分析。优势是兼容性强,劣势是被动响应,对工业场景的实时性要求可能不够。
🔻
● ● 微软MXC的路线:在操作系统层面画圈
微软的MXC走的是完全不同的路。
Coralogix是从外面盯着Agent,MXC是直接在操作系统层面给Agent画一个圈,你只能在这个圈里活动。
具体来说,MXC是一个策略驱动的执行层,嵌入Windows操作系统内部。开发者和IT管理员写一份策略文件,声明这个Agent可以访问哪些文件、哪些目录、哪些网络资源。然后操作系统内核在运行时强制执行这些边界。
不管Agent自己想干什么,操作系统说不行就是不行。
VentureBeat报道了一个很直观的演示:微软工程师在预览活动中让一个开源Agent框架尝试删除桌面上所有文件。Agent乖乖去执行了,但沙箱直接拦住了。桌面上看起来干干净净,实际上所有文件完好无损,因为「容器不允许」。
MXC最聪明的设计是「可组合沙箱频谱」。 它不是一个固定的沙箱级别,而是根据风险等级动态调整:
轻量级场景,比如一个只读当前项目目录的代码助手,用进程级隔离就够了。高风险场景,比如一个执行从网上下载的任意代码的Agent,直接给你上微型虚拟机。
同一个SDK、同一份策略文件,映射到不同的隔离级别。你不用为每种Agent单独搭一套安全架构。
MXC还给每个Agent绑定了一个强身份标识。要么是本地ID,要么是通过Microsoft Entra发放的云端身份。Agent执行的每一个操作都可以追溯到具体身份,可以被审计、被治理。
这个设计直接解决了一个工厂最头疼的问题:权限管控。
你的MES系统调一个Agent做质检数据分析,这个Agent只能看到质检数据库的读权限。它不能碰ERP的财务数据,不能访问产线PLC的写入接口,不能往外面发邮件。操作系统层面锁死,不是靠Agent自觉。
📌 小结:MXC从操作系统层面给Agent画权限边界,策略驱动、内核强制执行。动态沙箱级别适配不同风险场景,强身份绑定让每个Agent操作可审计。
🔻
● ● 工厂要落地,三层架构缺一不可
这两条路线不是二选一的关系。工厂真正要部署AI Agent,至少需要三层架构叠在一起用。
第一层:执行隔离层。
这是MXC解决的问题。在你的工厂网络里,Agent必须运行在受限环境中。它能调什么工具、能读什么数据、能写什么接口,在策略文件里白纸黑字写清楚,操作系统帮你兜底。
尤其是那些直接对接产线设备的Agent,比如调PLC参数、改MES工单、操作SCADA系统的,这一层绝不能省。产线安全和人身安全挂钩,容不得半点闪失。
第二层:可观测性层。
这是Coralogix在解决的问题。即使你在执行层做了严格限制,你仍然需要知道Agent每天在干什么。哪些调用量最大、哪些推理链最容易出错、Token消耗有没有异常飙升、有没有频繁触碰权限边界。
这一层的价值不只是告警,更在于趋势分析。你跑了三个月之后回头看数据,会发现某些Agent在特定场景下反复出错,这时候你可以针对性优化或者降级它的权限。
工业环境的好处是场景相对收敛。你不是在开放互联网上让Agent随便跑,你是在质检、排产、设备维护这些明确的工作流里部署它。场景收敛意味着你可以把策略文件写得非常精准。
第三层:治理框架层。
Gartner在2026年5月的一份研究里提出了一个重要观点:不要对所有Agent施加统一管控。应该按自治程度分级,不同级别的Agent对应不同的信任边界和管控要求。
微软在Build上开源了两套工具呼应这个思路。一套叫ASSERT,帮你评估Agent行为是否满足安全和运营要求。另一套叫ACS(Agent Control Specifications),提供了一套开放的治理策略标准,可以在不同框架和平台之间移植。
你如果关注这个领域的话,应该能感觉到:从「能不能用AI」到「怎么管住AI」,这是2026年企业数字化最大的转折。
只有30%的组织在Agent治理上达到了成熟水平。剩下70%的工厂,Agent已经在跑了,但管控体系还停留在为人类用户设计的年代。
📌 小结:工厂落地AI Agent需要三层架构:执行隔离层兜底安全,可观测性层提供洞察,治理框架层实现分级管控。70%的组织治理成熟度不够,这是最大的风险敞口。
🔻
● ● 写在最后
回到开头的那个问题:当Agent开始管理Agent,谁来守住安全底线?
答案不是某一个产品或某一个平台。
Coralogix用2亿美元赌的是「可观测性即安全」,让你看见一切。微软用MXC赌的是「操作系统即管控」,让你画死边界。Gartner用分级治理告诉你,不同Agent需要不同力度的缰绳。
你不能再把AI Agent当成一个普通软件来管了。传统软件是工具,你说让它干啥它就干啥。AI Agent是同事,它有自己的判断和行动逻辑。管理工具和管理同事是完全不同的两套体系。
你不会让一个新来的操作工直接上手PLC不给培训吧?AI Agent也一样,先画好权限边界,再放它进场。
📌 总结:AI Agent监控需要执行隔离、可观测性、治理框架三层叠加。Coralogix从外部盯,MXC从内部锁,Gartner按自治程度分级管。工厂真正的挑战不是技术选型,而是从「管理工具」到「管理数字同事」的认知升级。
你们工厂现在跑AI Agent了吗?权限是怎么管控的?欢迎在评论区聊聊。
⚡
以上,如果觉得有用,点个赞、在看、转发三连,我们下次聊。
🏭 工厂实战 | 💡 行业观察 | 🏗️ 系统架构
