现在可以合上笔记本了:在 Amazon Bedrock AgentCore 上托管编码代理
从“不关机”到“安心合盖”
你是否也曾为了不让终端里的编码代理中断,而小心翼翼地保持笔记本屏幕常亮?从会议室到地铁,从午餐到深夜,开发者们正陷入一种“合盖焦虑”——因为合上笔记本,意味着正在运行的 Claude Code、Codex、Kiro 或 Cursor 等代理进程可能就此中断。
这种尴尬的根源在于:我们错误地将“最近的机器”当成了“最合适的机器”。Amazon Bedrock AgentCore Runtime 试图打破这一惯性——它给每个代理会话分配一个独立的 Linux 微虚拟机(microVM),拥有持久化工作区、真实 shell 和确定性命令执行能力。但真正让 AgentCore 脱颖而出的,是它围绕代理运行构建的一整套基础设施。
不只是沙箱,更是一套运行体系
大多数沙箱产品都能提供隔离环境,但 AgentCore 把“隔离”扩展到了身份、工具和可观测性三个层面:
- 身份层(Identity):代理以触发它的用户身份行动,而不是共享一个匿名或高权限账号。这意味着每次代码提交、API 调用都带着正确的身份上下文。
- 网关层(Gateway):通过统一的 Model Context Protocol (MCP) 端点,将 GitHub、Jira、Slack 以及企业自有服务暴露给 Claude Code、Codex、Kiro 等代理。真实的令牌(token)始终保存在网关之外,代理只获得按需授权的访问路径。
- 可观测性(Observability):代理的每一步操作——命令执行、文件读写、API 调用——都会自动落入 Amazon CloudWatch,与团队已有的监控体系无缝对接。
有了这三层,开发者终于可以放心合上笔记本:代理不再依赖本地环境运行,而是托管在云端的安全、持久且可审计的环境中。
为什么笔记本不是好宿主?
将编码代理运行在本地笔记本上,至少面临四个问题:
- 安全风险:代理共享你的 shell、文件系统、令牌、VPN 和 SSH 密钥。一次带有恶意注入的 README 文件读取,就可能泄露整个开发环境。
- 资源竞争:代理与你的 IDE、浏览器、容器争抢 CPU 和内存,尤其是在运行多个代理时。
- 持久性差:合盖、休眠、网络切换都可能导致代理中断,无法长时间执行复杂任务。
- 协作困难:代理的工作状态只存在于你的机器上,团队无法统一查看或审计。
AgentCore 的微 VM 架构从根本上解决了这些问题:每个会话拥有独立文件系统、端口和进程空间,且会话状态持久化——你可以合上笔记本去吃晚饭,第二天回来继续上一次的任务。
实战:四个代理同场竞技
为了展示 AgentCore 的能力,团队做了一个有趣的实验:将同一个 GitHub Issue 同时交给 Claude Code、Codex、Kiro 和 Cursor,每个代理运行在独立的 AgentCore 环境中。评价标准有三个:
- 延迟:从接收任务到输出结果的总耗时
- 成本:每次任务的美元开销
- 一次通过率:生成的代码能否在首次测试中通过
由于每个环境都是隔离的,代理之间不会互相干扰——不会共享文件、端口或凭证。这意味着可以安全地并行运行多个代理,比较它们的表现,甚至让它们协作解决同一个问题的不同部分。
拥抱“远程代理”时代
AgentCore 的推出,标志着编码代理从“本地玩具”向“生产级服务”的转变。当代理不再绑定在某个开发者的笔记本上,团队就能以更系统化的方式管理、审计和优化代理工作流。
对于已经在使用 Claude Code、Codex 或 Cursor 的团队,迁移到 AgentCore 意味着:
- 安全边界从单台机器扩展到 AWS 基础设施
- 代理行为可追溯、可审计
- 资源按需分配,不再与本地应用争抢
- 团队可以共享代理工作区,实现异步协作
当然,这并非要完全抛弃本地运行——对于原型验证或短任务,本地依然便捷。但当任务需要长时间运行、涉及敏感数据或需要团队协作时,是时候把笔记本合上了。
