计算层解决了 Agent 运行环境的完整谱系，从完整操作系统（Sandbox）到轻量隔离（Workers），以及 Agent 生成代码的存储和执行（Artifacts、Dynamic Workers）。安全层将零信任从人类用户延伸到了机器身份——Agent 需要有自己的 OAuth 流程、有自己的访问权限边界，而不是借用人类账户的凭证。工具箱层补齐了 Agent 完成真实任务所需的感知与行动能力：

计算层解决了 Agent 运行环境的完整谱系，从完整操作系统（Sandbox）到轻量隔离（Workers），以及 Agent 生成代码的存储和执行（Artifacts、Dynamic Workers）。安全层将零信任从人类用户延伸到了机器身份——Agent 需要有自己的 OAuth 流程、有自己的访问权限边界，而不是借用人类账户的凭证。工具箱层补齐了 Agent 完成真实任务所需的感知与行动能力：

这篇文章最值得深读的部分，不是任何单个功能，而是三层之间的连接方式。这些单独的部件本身并不新颖。很多公司都在运行服务目录、发布审查机器人或发布工程标准。不同之处在于布线。当一个 Agent 能从 Backstage 拉取上下文、读取它正在编辑的仓库的 AGENTS.md、并被同一套工具链依照 Codex 规则审查时，第一稿通常已经足够接近可以发布的状态。六个月前这还不是真的。所有东西都建立在向客户

这篇文章最值得深读的部分，不是任何单个功能，而是三层之间的连接方式。这些单独的部件本身并不新颖。很多公司都在运行服务目录、发布审查机器人或发布工程标准。不同之处在于布线。当一个 Agent 能从 Backstage 拉取上下文、读取它正在编辑的仓库的 AGENTS.md、并被同一套工具链依照 Codex 规则审查时，第一稿通常已经足够接近可以发布的状态。六个月前这还不是真的。所有东西都建立在向客户

这篇文章最值得深读的部分，不是任何单个功能，而是三层之间的连接方式。这些单独的部件本身并不新颖。很多公司都在运行服务目录、发布审查机器人或发布工程标准。不同之处在于布线。当一个 Agent 能从 Backstage 拉取上下文、读取它正在编辑的仓库的 AGENTS.md、并被同一套工具链依照 Codex 规则审查时，第一稿通常已经足够接近可以发布的状态。六个月前这还不是真的。所有东西都建立在向客户

专项胜于通用。七个有边界的专项 Agent，比一个带超大通用 Prompt 的单一模型产出的信号质量高出不止一个量级。"不要做什么"比"要做什么"更重要。Prompt 工程的真正价值在于限定边界，防止模型产出噪声。成本必须随工作量缩放。风险分级让一个错字修复花 0.20 美元，大型安全审查花 4 美元，而不是让每次审查都以 Opus 级别的 Token 定价。生产系统必须有逃生口。、熔断器、协调器

专项胜于通用。七个有边界的专项 Agent，比一个带超大通用 Prompt 的单一模型产出的信号质量高出不止一个量级。"不要做什么"比"要做什么"更重要。Prompt 工程的真正价值在于限定边界，防止模型产出噪声。成本必须随工作量缩放。风险分级让一个错字修复花 0.20 美元，大型安全审查花 4 美元，而不是让每次审查都以 Opus 级别的 Token 定价。生产系统必须有逃生口。、熔断器、协调器

专项胜于通用。七个有边界的专项 Agent，比一个带超大通用 Prompt 的单一模型产出的信号质量高出不止一个量级。"不要做什么"比"要做什么"更重要。Prompt 工程的真正价值在于限定边界，防止模型产出噪声。成本必须随工作量缩放。风险分级让一个错字修复花 0.20 美元，大型安全审查花 4 美元，而不是让每次审查都以 Opus 级别的 Token 定价。生产系统必须有逃生口。、熔断器、协调器

把"建议"变成"执行"。noindex、canonical 标签、废弃横幅，这些都是建议性信号，面向人类设计，AI 爬虫不一定买账。Redirects for AI Training 把你已有的 canonical 标签基础设施直接转化为 HTTP 301 跳转，对经过验证的 AI 训练爬虫强制生效，不需要改一行代码，不需要维护任何规则列表，一个开关搞定。这不能修复已经被吞进训练数据的过时内容，但

当内存带宽是瓶颈时，最有效的优化不是堆算力，而是让数据变小、并在离算力最近的地方完成还原。其核心洞察链条非常清晰：LLM 权重的指数字节极度冗余 → 哈夫曼编码可以把它们压缩约 30% → 在片上共享内存解压直送张量核心，跳过一次 HBM 往返 → 四条管道加自动调优适配不同批量 → 跨层流水线把解压成本藏进计算间隙。Cloudflare 已将技术论文和 GPU 核函数代码全部开源，链接见原文。对