Aura: 物理技能解耦与安全执行沙箱机制

随着 Agent 能够调用的工具越来越强大，如何确保执行边界的安全成为了架构设计的重中之重。在 Aura v11.0.0 中，我们引入了**“双子项目技能解耦与安全防线隔离版”**机制，彻底重构了物理技能的开发与执行范式。

1. 物理技能解耦

在过往架构中，技能通常硬编码或紧密耦合在 Rust 核心系统中。而现在，所有技能被物理隔离在根目录的 skills/ 沙箱中。

• 纯粹的 Python 载体：每个子目录代表一个独立的技能（如 google_search）。
• 标准契约：每个技能必须包含 SKILL.md（定义元数据、执行与禁止事项契约）以及标准化入口脚本。
• 热部署能力：这使得系统无需重新编译核心引擎，即可热插拔新的技能。

2. 双系统隔离：Execution vs Skill Developer

为了极致的安全性，Aura 将“开发”与“执行”拆分为了两个完全独立的自治子系统：

2.1 Aura Skill Developer (技能生成与开发引擎)

作为技能的“创造者”，aura-skill-developer 拥有对 skills/ 目录的完整读写权限。 它提供：

• 技能的自动化生成与代码热编辑。
• 静态合规审计（检查是否违反危险操作契约）。
• Dry-run 测试环境与部署上线接口。

2.2 Aura Execution (技能受控执行器)

作为技能的“使用者”，aura-execution 是系统中最危险也是被看管得最严密的组件。

• 权限降级：它对 skills/ 目录仅拥有只读权限，绝不允许在执行期间篡改技能逻辑。
• 强隔离沙箱：它专门负责调用已注册的技能，并强制将其运行在受限的 Namespace/Cgroup 沙箱中。
• 控制反转：执行器只从底层基座接收任务，并不关心任务的生成逻辑，只负责“安全地落地物理动作”。

3. 安全防线与设计哲学

通过这层解耦，Aura 实现了一套极其坚固的安全防线： 即使恶意指令骗过了推理系统（Inference），当它被下发到执行器时，由于执行器处于强隔离沙箱且缺乏技能修改权限，破坏范围被严格限制在了该特定技能声明的沙箱边界内。

这种“开发（高权限/不执行）与执行（低权限/只执行）”的隔离，标志着 Aura 在迈向工业级可靠的 AI-Native OS 道路上迈出了关键一步。

本文由 Dark Lattice 架构实验室出品。