2026 年 3 月 30 日,Agentic AI Foundation(AAF)正式成立。这不是又一个行业倡议或松散的联盟——而是由 Anthropic、Google DeepMind、OpenAI、Microsoft Research 和 NVIDIA 联合发起,拥有明确的技术标准制定使命的正式组织。
AAF 在成立当天发布了第一份技术文件:《Agentic AI Systems: Safety and Security Framework v1.0》。120 页的文档覆盖了 AI agent 系统的威胁模型、架构建议、安全基线和评估方法。这是行业内首次由主要 AI 厂商联合发布的 agent 安全标准。
文档发布后,安全社区的共识很快形成:这份标准虽然在某些方面保守,但核心建议是扎实的、实用的,而且比大多数人预期的要具体。
对 NanoClaw 来说,这份标准读起来就像是自己架构的事后论证。
AAF 的核心安全原则
AAF 框架在 agent 执行环境方面提出了五个核心原则:
一、执行隔离。Agent 必须在与宿主系统隔离的环境中运行。推荐的实现方式包括操作系统级容器、虚拟机或硬件隔离。
二、最小权限。Agent 在任何时刻只应拥有完成当前任务所需的最低权限。权限应通过技术机制强制执行,而非政策或配置。
三、可审计性。Agent 的所有操作必须是可追踪和可审计的。审计记录应存储在 agent 无法修改的位置。
四、无状态执行。Agent 的执行环境应是临时的,会话结束后销毁。持久状态应存储在 agent 执行环境之外。
五、安全的凭证管理。Agent 使用的凭证(API 密钥等)不应存储在 agent 的执行环境中,应通过安全通道在运行时传递。
这五条原则不是抽象的愿景——每一条都有具体的实现指南和合规检查清单。
NanoClaw 的逐条对应
把 AAF 的五个原则和 NanoClaw 的架构逐条对比:
执行隔离——NanoClaw 在 Docker 或 Apple Container 中运行每个 agent 会话,容器边界由操作系统内核强制执行。这符合 AAF 推荐的"操作系统级容器"方案。
最小权限——NanoClaw 的容器只挂载必要的目录,网络访问受容器策略约束,agent 没有宿主系统的广泛权限。权限边界是容器机制强制的,不是配置选项。
可审计性——所有 agent 通信通过 NanoClaw 的编排层,编排层在容器外记录 agent 的输入、输出和操作。Agent 无法修改这些记录。
无状态执行——NanoClaw 的容器是临时的,会话结束后销毁。没有持久化的 agent 状态存储在容器内。
安全的凭证管理——API 密钥通过 stdin 在运行时传入容器,不存储在容器的环境变量或文件系统中。
五条原则,NanoClaw 从第一个版本起就全部满足。不是因为 NanoClaw 在参考 AAF 的标准——AAF 比 NanoClaw 晚了好几个月——而是因为从安全工程的第一性原理出发,这些原则本就是正确的做法。
行业走向统一
AAF 的成立标志着 AI agent 安全从"各自为政"走向"行业统一"的拐点。
在此之前,每个 AI 厂商对 agent 安全有自己的理解和实践。有些厂商重视沙箱,有些厂商强调权限管理,有些厂商关注审计,但没有一个统一的框架来定义什么是"安全的 AI agent 系统"。
AAF 提供了这个统一框架。当 Anthropic、Google、OpenAI 和 NVIDIA 达成共识时,这些共识很快会成为行业的事实标准。未来的企业采购、安全审计和合规检查都会参考 AAF 框架。
这对 NanoClaw 来说是利好。NanoClaw 的架构天然符合 AAF 的核心要求,这意味着 NanoClaw 在安全评估中有一个先天优势。不是因为 NanoClaw 做了什么特别的事情来"符合标准"——而是因为标准描述的就是 NanoClaw 一直在做的事情。
AAF 与 NIST
有读者可能注意到,AAF 框架和一个月前发布的 NIST AI 600-2 有很多重叠。这不是巧合——两个标准的核心作者有交叉,而且两者都根植于同样的安全工程原则。
但两者有不同的侧重点。NIST 是政府标准机构的框架,偏重于风险评估和合规;AAF 是行业联盟的标准,偏重于技术实现和工程实践。两者互补而非竞争。
对于 NanoClaw 来说,两个标准都和自己的架构一致,这不是巧合。这说明 NanoClaw 的架构决策不是某种特立独行的选择——而是安全工程的共识。当政府标准机构和行业联盟在不同时间、不同视角下得出了相同的核心建议时,这些建议的正确性就不再是观点了——它是事实。
标准之后
AAF 框架 v1.0 只是开始。后续版本会覆盖更多场景:多 agent 协作的安全、agent 与外部工具的交互安全、agent 的长期运行安全、agent 的供应链安全。每一个新增的安全维度都可能成为某些 AI agent 框架需要重大改造才能满足的要求。
NanoClaw 的策略是一样的:保持薄架构,依赖基础设施组件的安全能力,只做必要的编排。当新的安全要求出现时,如果它涉及容器安全——Docker 和 Apple Container 的团队会处理。如果它涉及模型安全——Anthropic 会处理。如果它涉及协议安全——MCP 标准组会处理。NanoClaw 需要处理的只是确保自己 500 行编排代码的正确性。
这就是最少代码在安全标准化时代的最终优势:当合规要求增加时,你需要验证的代码量决定了合规的成本。500 行代码的合规验证成本和数万行代码不在一个量级。保持小,不仅是工程美学——在标准化时代,它是最务实的安全策略。