过去两年，关于 AI 智能体的讨论几乎都围绕模型能力展开——推理能力、代码能力、榜单排名。然而，在真实系统中，模型从来不是孤立存在的，它只是执行链路中的一个组件。从模型理论上能做什么，到系统最终稳定产出什么，中间隔着一整层工程结构：提示策略、工具调用、记忆管理、执行环境以及反馈机制。

这道鸿沟，决定了 AI 商业落地的生死。

这一点可以用 LangChain 工程师 Viv Trivedy 提出的一个简单公式来概括：

     Agent = Model + Harness

在这个等式里，大模型决定了智能的下限与可能性，而包裹在模型外面的 Harness（脚手架 / 系统框架），才真正决定了执行的上限与最终结果。

这在工程实践中被反复验证：同一个 Claude Opus 模型，在原生环境下可能表现平平；但在定制的 Harness 下，Viv 团队仅通过调整系统结构，就将其性能排名从前 30 拉升到了前 5。

正如 HumanLayer 在其关于 Harness Engineering 的文章中总结的：很多时候，问题不在模型本身，而在系统的配置方式。

任务如何拆解、状态如何维护、输出如何验证，这些结构性设计往往比模型本身更关键。很多被感知为智能涌现的现象，本质上是系统协调能力的结果。

Coding Harness 究竟解决了什么问题？

目前最成功的 Agent 集中在代码领域。

从工程角度看，Coding Harness 解决的，是模型无法持续工作的问题。

模型更像一个间歇性工作的组件：它会遗忘上下文、丢失状态、输出不稳定，也可能在任务尚未完成时提前结束。它擅长单步推理，但很难独立推进长链路任务。

Harness 的作用，在于将模型的离散输出组织为一个可持续运转的闭环，从而实现高吞吐的自动执行。

这依赖一整套协同机制：外部存储维持状态，上下文管理保证推理连续，执行环境负责运行代码，验证回路捕获错误，任务规划组织流程，循环控制防止提前停止。执行、反馈和记忆被连接起来，形成一个可以自我推进的闭环。

这些机制共同打通了执行、反馈与记忆三条关键链路，把原本断断续续的人机协作流程，重构为一个可以持续运转的自动化闭环系统，从而实现稳定、长时间、高吞吐的自主执行。

从这个视角看，很多看似繁琐的设计（沙盒、验证机制等），本质上是在减少对人工干预的依赖。因为在自动化的 Loop 里，每一次等待人工确认，都是极其昂贵的时间损耗。

只有把人类从具体的执行流中剥离出去，系统才能真正实现高吞吐的自我推进、自我纠错和自我维持。

从 Coding Harness 到金融级 Harness：从追求吞吐到防范

在软件工程的语境中，这套设计能够成立，有一个隐含前提：代码世界的错误是可逆的。

系统崩溃了可以重启，错误代码可以修复，状态可以恢复。在这样的前提下，最优策略自然是快速迭代——执行、失败、修复、再执行。Coding Harness 本质上是在为模型构建一个「允许犯错的实验室」，将模型原本间歇性的推理能力组织为一个可持续运转的闭环，以支撑长链路任务。吞吐的提升，来自系统对错误的吸收能力。

但这一前提，在金融系统中并不成立。

一笔交易一旦签名并广播，便进入不可回滚的结算流程。没有安全的重试空间，也无法恢复到执行之前的状态。错误不再是过程的一部分，而是最终结果。原本用于提升系统鲁棒性的机制，尤其是重试，在这里会改变性质，因为每一次额外尝试，都是新的风险暴露，同时伴随着持续累积的执行成本（如 Gas）。

软件世界依赖 Fail Fast，通过试错不断逼近最优解；而在金融环境中，系统更关心的是如何降低出错的概率。

因此，金融级 Harness 的设计重点，是通过系统架构的设计，直接把「不安全的岔路」从 AI 的行动菜单里物理剔除。与其事后补救，不如从源头压缩不确定性，让 AI 的处境变得极度「简单」。

只有当不可逾越的安全边界被前置、并固化为系统的基础设施后，大模型不再需要兼职做风控，也不必在判断「这笔交易合不合法」上虚耗宝贵的算力，只需要在绝对安全的轨道里，专注做它最擅长的事：计算时机、优化参数、寻找最高的策略收益。

金融级 Harness：围绕约束设计

在这一约束导向的框架下，金融 Harness 不再主要用于提升执行能力，而是用于限制执行行为。以 Cobo 的 Agentic Wallet 为例，其核心逻辑在于通过三层结构压缩 AI 的出错空间，确保任何输出在进入不可逆阶段之前都已经被约束在可控范围内。

1. Recipe（技能库）：从源头限制「可做的事情」

第一步，是收紧执行空间。

在 CAW 中，所有金融操作都被封装为经过审计、不可篡改的 Recipe（技能库）。这种机制通过将操作限制在预定义的路径内，将 AI 的行为从自由拼装逻辑收敛到了有限的选择空间。简而言之，AI 可以在策略层自由思考，但在协议层的执行必须严格保持在验证过的安全边界之内。

2. 动态 Pact：从持续访问到一次性契约

第二层发生在权限本身。

传统系统倾向于给智能体持续的资金访问能力，比如一个长期绑定余额的钱包。这种设计效率很高，但风险也一直存在。

CAW 引入了一次性任务契约（Pact）。每一个 Pact 都基于具体上下文生成（由 Recipe 与用户意图共同决定），明确限定金额、范围和时间窗口。任务结束后，权限立即失效。权限在这里变成了一种瞬时状态，而非长期能力。风险也因此被限制在局部。

3. 意图对齐：拦截合法的错误交易

一笔签名正确、余额充足的交易，在商业逻辑上仍可能违背用户初衷。为了解决这一层隐蔽风险，CAW 引入了人机协同机制，在资金划转前，系统将底层调用指令（CallData）转译为可读的自然语言，并推送至用户终端。只有在用户明确批准后 ( 当人类阅读业务意图并点击「Approve」时 )，资金才会实际转移，从而确保 AI 无法独自绕过人类意图。

AI 负责提出方案，人类负责做最终判断。只有当两者一致时，交易才会发生。

结语：约束作为基础设施

随着模型能力逐渐收敛、Harness 体系走向成熟，AI 系统逐渐趋于标准化。差异不再主要体现在模型本身，而是转移到边界设计：系统允许做什么，在什么条件下可以执行，以及如何约束这些行为。在大多数行业中，约束往往被视为效率的代价；但在低容错环境中，它是系统得以运行的前提。没有约束，系统甚至无法进入执行阶段。

这也是为什么，缺乏严密 Harness 的 AI 更像实验工具，而嵌入约束体系中的 AI 才具备生产价值。

以 Cobo CAW 为代表的金融 Harness 方案，将复杂的风控与密码学能力抽象并外化，就像云计算标准化了算力获取方式一样，安全与约束也开始成为可组合、可复用的能力。这使得机构和开发者无需重复构建底层体系，就可以将 AI 引入资金流转，同时将资源集中在真正产生差异的部分——策略、工具和业务创新。

在这样的语境中，约束不再是限制，而成为执行得以发生的条件。