ANOLISA:阿里 Agentic OS 如何重塑 AI Agent 运行的环境
ANOLISA:阿里 Agentic OS 如何重塑 AI Agent 运行的环境
ANOLISA:阿里 Agentic OS 如何重塑 AI Agent 运行的环境
摘要
- 研究表明:ANOLISA(Agentic Nexus Operating Layer & Interface System Architecture)是阿里巴巴基于 Anolis OS 打造的 Agentic OS,旨在为 AI Agent 工作负载提供最佳实践实现。
- 证据倾向于认为:ANOLISA 包含四大核心组件——Copilot Shell(AI 终端助手)、Agent Sec Core(OS 级安全核心)、Agent Sight(eBPF 可观测工具)和 OS Skills(运维技能库),覆盖了 AI Agent 的交互、安全、监控和运维全链路需求。
- 实际上:通过 RPM 一键安装(
sudo yum install copilot-shell agent-sec-core agentsight anolisa-skills),运行cosh命令即可启动 AI 驱动的终端助手,大幅降低了 AI Agent 的使用门槛。
什么是 ANOLISA?
ANOLISA 全称为 Agentic Nexus Operating Layer & Interface System Architecture,是阿里巴巴团队在 GitHub 上开源的项目,代表了 Anolis OS 向 Agentic OS(智能体操作系统) 演进的重要方向。
传统的服务端操作系统主要服务于人类用户和传统应用程序,而 ANOLISA 的核心理念是:让操作系统原生支持 AI Agent 工作负载。它不仅仅是一个工具,更是一套为 AI Agent 量身定制的操作系统架构。
核心架构概览
ANOLISA 由四大核心组件构成,各组件各司其职、协同工作:
| 组件 | 说明 | 基于技术 |
|---|---|---|
| Copilot Shell | AI 驱动的终端助手,支持代码理解、任务自动化和系统管理 | Qwen Code v0.9.0 |
| Agent Sec Core | OS 级安全核心——系统加固、沙箱隔离、资产完整性校验与安全决策 | loongshield + GPG + SHA-256 |
| AgentSight | 基于 eBPF 的 AI Agent 可观测工具——零侵入监控 LLM API 调用、Token 消耗与进程行为 | eBPF + SQLite + SLS |
| OS Skills | 运维技能库,涵盖系统管理、监控、安全、DevOps 和云集成 | 本地 + 远程 Skill 编排 |
核心组件详解
1. Copilot Shell:AI 驱动的终端助手
Copilot Shell 是 ANOLISA 的交互入口,构建于阿里通义千问团队的 Qwen Code(v0.9.0)之上。它将自然语言与代码操作无缝结合,让运维和开发人员可以用日常语言描述任务,由 AI 自动完成执行。
核心能力:
- 自然语言编码:用自然语言描述变更需求,即可实现代码修改、功能实现和缺陷修复。
- 代码分析与导航:理解整个项目结构并回答代码相关问题。
- 多工具编排:在单一会话中集成文件操作、Shell 命令、搜索、Web 浏览、LSP 和 MCP 工具。
- Git 工作流自动化:自动化处理提交、创建分支、冲突解决和发布说明。
- 多 Provider 支持:支持千问 OAuth、阿里云百炼、OpenAI 兼容 API、Anthropic 和 Google GenAI。
快速启动:
# 安装
sudo yum install copilot-shell
# 构建
cd src/copilot-shell
make build
# 启动交互模式
cosh
Copilot Shell 采用 npm workspaces 单体仓库架构,包含 packages/cli(终端 UI 层)、packages/core(后端核心)和 packages/test-utils(测试工具)三个子包。
2. Agent Sec Core:OS 级安全核心
随着 AI Agent 逐渐获得文件系统 I/O、网络访问、进程管理等 OS 级执行能力,传统的应用安全边界已不再适用。Agent Sec Core 应运而生,构建了从系统加固到安全决策的三层防御体系。
安全原则:
- 最小权限:Agent 仅获得完成任务所需的最低系统权限。
- 显式授权:敏感操作需要用户明确确认,禁止静默权限提升。
- 零信任:Skill 之间互不信任,每个操作独立认证。
- 纵深防御:系统加固 → 资产验证 → 安全决策,任一层被攻破不影响其他层。
- 安全优先于执行:安全与功能冲突时,安全获胜;存疑时视为高风险。
三层安全检查架构:
┌─────────────────────────────────────────────┐
│ Agent Application │
├─────────────────────────────────────────────┤
│ Security Decision (Risk Classification) │
├─────────────────────────────────────────────┤
│ Phase 3: Final Security Confirmation │
├─────────────────────────────────────────────┤
│ Phase 2: Asset Protection (GPG + SHA-256) │
├─────────────────────────────────────────────┤
│ Phase 1: System Hardening (loongshield) │
├─────────────────────────────────────────────┤
│ Linux Kernel │
└─────────────────────────────────────────────┘
风险分级处理:
| 级别 | 示例操作 | 处理方式 |
|---|---|---|
| 低风险 | 文件读取、信息查询、文本处理 | 允许(沙箱隔离) |
| 中风险 | 代码执行、包安装、外部 API 调用 | 沙箱隔离 + 用户确认 |
| 高风险 | 读取 .env/SSH 密钥、数据泄露、修改系统配置 | 阻止,除非明确批准 |
| 极高风险 | 提示注入、密钥泄露、禁用安全策略 | 立即阻止 + 审计日志 + 通知用户 |
强制禁止访问的路径: /etc/ssh/、~/.ssh/、/etc/shadow、/etc/gshadow、API Token 存储路径、数据库凭据等。
沙箱策略模板:
| 模板 | 文件系统 | 网络 | 适用场景 |
|---|---|---|---|
read-only | 整个文件系统只读 | 拒绝 | 读取操作:ls、cat、grep 等 |
workspace-write | cwd + /tmp 可写,其余只读 | 拒绝 | 构建、编辑、需要写入文件的脚本执行 |
danger-full-access | 无限制 | 允许 | ⚠️ 仅限特殊场景 |
3. AgentSight:eBPF 驱动的 AI Agent 可观测性
AgentSight 是基于 eBPF(Extended Berkeley Packet Filter)技术构建的可观测性工具,为 AI Agent 提供零侵入的监控能力。
核心特性:
- 零侵入监控:通过 eBPF 内核探针捕获事件,无需修改 Agent 代码或配置。
- SSL/TLS 流量解密:基于 uprobe 拦截 OpenSSL/GnuTLS 库调用,获取明文 HTTP 流量。
- LLM Token 精确计数:集成 Hugging Face tokenizer,支持千问等系列模型的精确 Token 统计。
- AI Agent 自动发现:扫描
/proc并监控 execve 事件,动态检测运行中的 AI Agent 进程。 - 流式响应支持:解析 SSE(Server-Sent Events),追踪流式 LLM 响应。
- 审计日志:完整的 LLM 调用和进程操作审计跟踪。
- 云集成:原生导出至阿里云 SLS(简单日志服务)进行集中日志分析。
- GenAI 语义事件:为 LLM 调用、工具使用和 Agent 交互构建结构化语义事件。
数据处理流水线:
┌──────────┐ ┌────────┐ ┌────────────┐ ┌──────────┐ ┌───────┐ ┌─────────┐
│ Probes │─▶│ Parser │─▶│ Aggregator │─▶│ Analyzer │─▶│ GenAI │─▶│ Storage │
└──────────┘ └────────┘ └────────────┘ └──────────┘ └───────┘ └─────────┘
eBPF事件 HTTP/SSE Req-Resp Token/Audit 语义事件 SQLite /
(内核) 提取 关联 提取 事件 SLS导出
eBPF 探针类型:
| 探针 | 源文件 | 功能 |
|---|---|---|
sslsniff | sslnsiff.bpf.c | 拦截 SSL_read/SSL_write,获取加密连接的明文 |
proctrace | proctrace.bpf.c | 追踪 execve 系统调用,捕获命令行参数,构建进程树 |
procmon | procmon.bpf.c | 轻量级进程监控,捕获创建/退出事件(用于 Agent 发现) |
快速使用:
# 前台模式启动追踪
sudo agentsight trace
# 守护进程模式 + SLS 导出
sudo agentsight trace --daemon \
--sls-endpoint <endpoint> \
--sls-project <project> \
--sls-logstore <logstore>
# 查询 Token 消耗
agentsight token
# 审计事件查询
agentsight audit --summary
# 发现系统中的 AI Agent
agentsight discover --verbose
环境要求:
| 组件 | 版本要求 |
|---|---|
| Linux 内核 | >= 5.8(需 BTF 支持) |
| Rust | >= 1.70 |
| clang / llvm | >= 11 |
| libbpf | >= 0.8 |
4. OS Skills:运维技能库
OS Skills 是 ANOLISA 的运维能力集合,提供涵盖系统管理、监控、安全、DevOps 和云集成的精选技能库。这些技能以本地 + 远程 Skill 的形式组织,支持优先级编排(项目 > 用户 > 扩展 > 远程),确保 Agent 在执行运维任务时拥有完整的能力支持。
一键安装与快速体验
ANOLISA 的一大优势在于极简安装,所有组件均可通过 RPM 包管理器一键部署:
# 安装所有组件
sudo yum install copilot-shell agent-sec-core agentsight anolisa-skills
# 启动 Copilot Shell(AI 终端助手)
cosh
这意味着即使是运维经验有限的开发者,也能在数分钟内完成 AI Agent 操作系统环境的搭建。
技术洞察:为什么 Agentic OS 值得关注?
ANOLISA 的出现反映了当前 AI 领域的一个重要趋势——AI Agent 正从”对话助手”演进为”能执行复杂任务的智能体”,而这一演进对操作系统层面提出了全新的要求:
- 安全隔离:Agent 需要操作系统提供细粒度的权限控制和沙箱能力,防止恶意操作或误操作造成系统级风险。
- 可观测性:Agent 的决策过程不透明,需要 eBPF 等内核级技术提供无侵入的监控能力。
- 原生交互:传统 CLI 界面难以满足 Agent 的自然语言交互需求,需要 AI 原生的终端体验。
- 技能编排:Agent 需要调用各种工具和系统接口,操作系统需要提供标准化的技能编排机制。
ANOLISA 正是阿里巴巴在这方面的最佳实践尝试,它将开源社区在 AI Agent 领域积累的经验与 Linux 操作系统深度融合,为下一代 AI Agent 的运行提供了一套完整的技术栈。
总结
ANOLISA(Agentic Nexus Operating Layer & Interface System Architecture)代表了阿里在 Agentic OS 领域的探索成果。通过 Copilot Shell(交互入口)、Agent Sec Core(安全核心)、AgentSight(可观测性)和 OS Skills(运维技能库)四大组件的协同,它为 AI Agent 的运行提供了从交互到安全、从监控到运维的完整支撑。
作为开源项目,ANOLISA 不仅为开发者提供了一个功能完整的 AI Agent 操作系统参考实现,也为整个行业在 Agentic OS 方向的标准制定和技术演进贡献了重要力量。
项目地址: https://github.com/alibaba/ANOLISA
许可证: Apache License 2.0