为什么你的 AI agent 被困在沙箱里 —— 以及怎么办

你让编码 agent「给我的咨询业务做个落地页,发上线,再配个客户能联系的邮箱」。它几秒钟写出一个干净的页面。然后,它停下了。

不是因为不会 —— 是因为它做不到。它没有域名可放这个页面,没有能真实收发的邮箱,没法把站推到一个带 HTTPS 的真实地址。脑子在,手没有。

这是 AI 故事里我们谈得太少的一部分。我们已经很擅长让 agent 思考,却几乎还没开始让它在真实世界动手。

沙箱

今天的 agent 在沙箱里相当能干。它读写文件、跑代码、调用你接好的任何 API。给 Claude Code 或 Codex 一个完全在你机器上的任务,它常常能漂亮地完成。

但真实世界不在你的机器上。它在账户里 —— 域名注册商、DNS、邮件服务器、部署目标。这些都需要一个身份、凭证,以及「以某人身份花钱、发信」的权限。沙箱里的 agent 一样都没有。于是它把代码给你,把注册商、DNS、MX 记录、TLS 证书和部署,留给你。

每个 agent 都缺的三样

看 agent 到底卡在哪,几乎总是三个缺口之一。

• 手。 它能生成站,却不能买域名、不能发布、不能立一个真能收发的邮箱。它能起草邮件,却没有地址可发。
• 身份。 要在世界里做任何事,agent 得是某个人 —— 一个能被联系的地址、一个能署名的域名、一个会留存的存在。没有身份,它只能匿名地做一次,再也无法被联系回来。
• 续上。 开一个新会话,agent 就忘光了:昨天谁来过信、你定了什么、聊到哪。一次性编码无所谓;但任何随时间展开的事 —— 一个客户、一个项目、一个持续的收件箱 —— 这就是致命的。

为什么是现在

AI 悄悄挪动了瓶颈。一年前,难的是写软件。如今,一个人配一个好 agent,常常就能做出产品本身。他们做不了的,是产品周围的一切 —— 给它域名、给它邮箱、把它发上线,并在多个会话间保持上下文连贯。

所以「一个人、一个 agent、一门真生意」的约束,已经不再是智能了。是触达与记性:agent 触碰真实世界、以及接上次进度的能力。

怎么办

解法不是更聪明的模型,是把它缺的三样给它:

• 手 —— 注册域名、发布站点、运营真实收件箱,以你的名义、用你的身份。
• 身份 —— 一个属于它的域名和地址,在会话之间留存,比任何单次对话活得更久。
• 续上 —— 不是神秘的「记忆」,而是接上线索的办法:重读说过的话、看谁在等、继续。不用从头再解释一遍。

搭这套有两条原则要紧:

续上应当是透明的 —— agent 不该依赖一个它无法检视的黑盒记忆;它应当重读真实记录(收件箱往来、待办)再继续。安全也不是可选项 —— 任何从外部进来的都是数据,绝不是指令;以你身份花钱或发信,都该过一道明确的闸。

给 agent 一双手、一个身份、能续上,沙箱的墙就塌了。同一个原本只能描述你生意的 agent,现在能真的运营其中的一部分 —— 买下域名、发布站点、回客户的邮件,下周还能把这个客户接着聊下去。

这正是我们用 Clize 在搭的那层:给你的 agent 一双真实世界的手,就在 Claude Code 和 Codex 里。脑子已经是你的了,我们只是给它手。