阿里云发布 Agentic OS:面向 AI Agent 的新一代操作系统

开发技术
1

阿里云发布 Agentic OS,一款专为 AI Agent 设计的操作系统,降低Token开销,强化安全防护,加速AI应用落地。

原文标题:阿里云发布 Agentic OS:首个面向 Agent 的操作系统

原文作者:阿里云开发者

冷月清谈:

阿里云发布了首个面向 AI Agent 设计的操作系统 Agentic OS,旨在解决智能体在上手门槛、调教链路、稳定性、安全以及多 Agent 协同等方面的痛点。Agentic OS 通过核心层和运行时层,使 Agent 像应用程序一样运行在统一基础设施上,并通过内置 Skills 提供开箱即用的通用能力,使用户无需重复开发。Agentic OS 的核心突破包括:预置 Skills 大幅降低 Token 开销,Copilot Shell 实现 Agent 的快速部署和全程可观测,以及 AgentSecCore 提供全链路安全防护。Agentic OS 已在阿里云 ECS 控制台上架并在 GitHub 上开源。

怜星夜思:

1、Agentic OS 通过预置 Skills 降低了 Token 消耗,这个思路未来是否可以应用到其他资源受限的 AI 应用场景中?例如移动设备上的 AI 推理?
2、Agentic OS 引入 AgentSecCore 来保障安全,你觉得除了文中提到的几个方面,AgentSecCore 还可以从哪些维度来加强 Agent 的安全性?
3、Agentic OS 旨在简化 Agent 的部署和管理,你认为它在哪些行业或场景中最有应用前景?为什么?

原文内容

2026 年 3 月 30  日,阿里云宣布其自研操作系统 Alibaba Cloud Linux 完成关键跃迁,正式推出面向 AI Agent 的新一代操作系统——Agentic OS

Agentic OS 是阿里云首款专为 AI Agent 设计的操作系统,它的出现意味着:未来的操作系统,用户主体正在从人类逐渐转变为 Agent。随着大量“AI 员工”成为生产主力,AI 正在引发生产方式的根本性变化,AI Agent 在决策链路、思考方式、交互上都与传统人类使用有着本质的区别。
面对这样的演进趋势,Agentic OS 围绕 Agent 所需能力,将运行时优化与安全执行环境内化为系统核心能力,将云基础设施最佳实践内化为开箱即用的 Skills,并提供 7×24 Agent 可观测和保障服务。它旨在解决 “小龙虾(OpenClaw)” 等智能体在上手门槛高、调教链路长、稳定性差、安全保障上的限制以及多 Agent 协同复杂等痛点。Agentic OS 不仅为小龙虾等智能体框架提供了理想的数字底座,更标志着计算范式从“传统软件负载”向“智能体负载”的根本性转变。

Agentic OS 架构

Agentic OS 架构借鉴传统操作系统的分层思想,通过核心层、运行时层,让 Agent 像应用程序一样运行在统一的基础设施之上。运行时层确保每个 Agent 在受控环境中安全执行。内置 Skill 提供开箱即用的通用能力,Agent 无需重复造轮子,结合最上层的 Copilot Shell (cosh),让 Agent 能像人操作终端一样调用系统资源。这种分层解耦的设计,使不同类型的 Agent 可以按需组合能力,兼顾安全、运维与可扩展性。


核心突破一:

极致降低 Token,预置 Skills 技能使 Agent 快速“上岗”

Agent 已从单纯的对话演进为能完成复杂任务的“AI 员工”。然而,传统操作系统指令繁杂,Agent 往往“有大脑但不熟悉环境”,需要靠大量的环境测探感知来完成合理的任务执行,而开源市场 50% 以上的 Skill 是过程化的,亟需系统级适配和优化。因此,调教一个可以“上岗”的智能体需要高昂的成本。

针对上述痛点,Agentic OS 提供了“原生 Skill 化封装”的解决方案:

  • 原生 Skill 化封装: Agentic OS 将复杂的 Linux 运维、部署、调优动作以及高频的技能封装为标准化的 Skill 模块。这些技能覆盖系统管理、性能调优、安全运维以及常见角色的基础技能,天然匹配 Agent 的过程化执行特征,使 Agent 无需额外消耗计算资源去"学习"或"适配"这些能力即可直接调用。

  • 实测表现:在系统管理和运维场景范围内,对比传统 OS 环境,Token 的开销相差 30% 以上。以使用 OpenClaw 做操作系统漏洞看护修复场景为例,在 CVE 评估阶段,在同等大模型底座下,使用 Agentic OS 相比传统操作系统可节省 60% 的 Token 开销

核心突破二:

Copilot Shell 一句话拉起,Agent 全程可观测

传统环境下,Agent 部署配置复杂、初始化耗时久,且缺乏持续的健康监测,导致“数字员工”易掉线、难维护。

为此,Agentic OS 从交互入口和可观测性两个维度给出了解决方案:

  • 在交互层面,Agentic OS 推出双模交互入口 (Copilot Shell,简称 cosh),替代传统 bash。

  • 对人类用户,它是内置在系统中默认的 Agent,可直接使用它来管理系统,完成运维操作,甚至初始化其他 Agent。

  • 对 AI Agent,它支持以 Sub Agent 方式接入协同工作。Agent 无需消耗 Token 探索环境,即可直接调用预置技能完成常见任务。

  • 通过伴随式 AI Shell 助理 ,一句话部署常见的 AI Agent(如OpenClaw)。用户无需进行复杂的手动配置环境,仅需一句指令即可瞬间启动“数字员工”。

  • 在可观测层面,Agentic OS 内置了系统级别的 Token 统计能力。支持按照不同 Agent 来统计 Token 消耗,并分析 Token 消耗成分占比,比如 Input Token的system prompt、Skills 注册表、History 等。Token 可观测可以帮助用户精准归因 Token 消耗、快速定位异常行为并持续优化 Agent 运行效能。

核心突破三:

AgentSecCore 全链路安全防护,构筑“智能失控”的防火墙

当 Agent 被赋予自主执行权时,“智能失控”风险剧增。Skill 供应链投毒、Agent 越权操作及数据泄露尚无操作系统级解决方案。

面对上述安全挑战,Agentic OS 提供了以AgentSecCore 为核心的四大防护能力
  • Skill 签名与完整性校验: 引入 AgentSecCore 安全核心模块,对每一个内置Skills 实施严格的数字签名与哈希校验。在加载前防止篡改与投毒,建立可信供应链。
  • 运行时行为管控与沙箱隔离: 基于 Bubblewrap、seccomp 技术实时监控 Agent 操作行为,自动拦截危险指令(如非法删除、越权访问)。为每个 Agent 进程启用进程级轻量化容器沙箱,实现多 Agent 间的资源隔离,即使行为异常也能将风险限制在最小范围。
  • 宿主机隐私信息保护: 操作系统及宿主机隐私标识信息防泄露保护。针对 AI Agent 执行任务阶段通过直接查询、工具链利用、间接提示注入等多种攻击向量获取并外泄敏感的主机标识信息进行拦截防护。
  • 系统安全加固:为 Agent 建立安全运行环境,提供经过安全认证加固的基本安全水位。通过 LoongShield seharden 工具对操作系统进行安全基线扫描与加固,确保 Agent 运行的宿主系统符合安全基线要求。

结语:定义 Agentic AI 时代的计算基石

从 GPU 硬件、软件生态,再到如今的 Agent-as-a-Service,计算平台的进化始终围绕着“降低门槛、释放潜能”的主线。Agentic OS 通过内置丰富的管理 Skills 赋予智能体真正的执行力,通过 Copilot Shell 重新定义人与 Agent 的交互界面,并利用 AgentSecCore 筑牢自主智能的安全底线,Agentic OS 正在成为 Agentic AI 时代坚实可靠、深度理解 AI 的核心基石。

目前,Agentic OS 已在阿里云 ECS 控制台上架,并且在 GitHub 上开源,欢迎开发者和企业体验(复制下方链接至浏览器打开):
GitHub:
https://github.com/alibaba/ANOLISA
阿里云 ECS 使用 Agentic OS 快速入门:
https://help.aliyun.com/zh/alinux/agentic-os-getting-started
您在使用 Agentic OS 过程中,有任何疑问和建议,可加入钉钉群(群号:

90400034325)或扫描下方二维码加入微信交流群反馈。

Agentic OS交流群(微信群如满可在评论区查看新群)

2

AgentSecCore 的特点在于它是操作系统级别的安全防护,直接在系统层面提供对 Agent 的安全保障,而不仅仅是应用层的防护。其他安全方案可能更多关注访问控制、数据加密等方面,但 AgentSecCore 更侧重于防止 Agent 行为失控,例如防止 Skill 供应链投毒等。我认为涉及到核心业务数据、具有高风险操作权限的 Agent 最需要这种安全防护,比如金融风控 Agent、工业控制 Agent 等。

3

其实很多 Agent 框架都面临着“最后一公里”的问题,就是 Agent 写好了,怎么才能真正跑起来,并且稳定、安全地运行。Agentic OS 相当于提供了一个“智能插座”,让各种 Agent 框架都能轻松接入,解决部署、运维、安全等问题。具体来说,像 AutoGPT、BabyAGI 这些 Agent,Agentic OS 都可以显著降低它们的上手门槛。

4

从更通用的角度来看,许多AI Agent框架都面临着资源效率和安全性的挑战。Agentic OS通过Skill的预置和Token的优化,可以有效提升资源利用率,降低运行成本。同时,AgentSecCore的安全机制可以为各种Agent框架提供更加可靠的运行环境。因此,凡是对资源效率和安全性有要求的Agent框架,都可以从Agentic OS中受益。

5

Skill 供应链投毒,这事儿听起来就可怕!想象一下,如果 Agent 使用的 Skill 模块被黑客篡改,那 Agent 就会变成黑客的傀儡,干各种坏事。AgentSecCore 的数字签名和哈希校验就像给每个 Skill 模块贴上了“防伪标签”,防止被篡改。

除了文中的,我觉得还可以:

- 建立 Skill 模块的信誉系统: 就像电商平台的评价体系一样,让用户评价 Skill 模块的质量和安全性,形成一个社区监督机制。
- 引入 AI 驱动的安全防御: 利用 AI 技术分析 Agent 的行为,预测潜在的安全风险,并采取相应的防御措施。
- 加强合规性审查: 对 Skill 模块的开发者进行资质审查,确保其具备相应的安全开发能力。

6

Copilot Shell 的核心价值在于简化了人与 Agent 的交互方式,以及 Agent 之间的协同。对于人类用户,它就像一个智能助手,可以通过自然语言来完成系统管理和运维工作,降低了学习成本。对于 AI Agent,它可以作为一个统一的入口,方便 Agent 调用系统资源和 Skill。

与传统的 bash 相比,cosh 的优势在于更加智能化和自动化。它可以理解用户的意图,并自动完成复杂的任务,而无需用户手动输入大量的命令。此外,cosh 还提供了更好的可观测性,方便用户了解 Agent 的运行状态。

对于不熟悉命令行操作的用户,cosh 相对来说更容易上手,因为它支持自然语言交互,降低了学习曲线。但要真正发挥它的威力,还是需要一定的计算机基础知识。

7

Copilot Shell (cosh) 可以理解为 Agentic OS 提供的一个“人机交互翻译器”。它允许人类用更自然的方式和 Agent 交流,也允许 Agent 通过统一的接口调用系统能力,避免了各自为政的情况。

和老牌的 bash 相比,cosh 的优势在于更智能、更易用。Bash 就像一个功能强大的瑞士军刀,但需要使用者精通各种工具的使用方法;cosh 则更像一个智能助手,可以根据用户的需求推荐合适的工具,甚至直接代劳。

至于上手难度,我觉得 cosh 会比 bash 容易很多。但对于完全不懂技术的人来说,仍然需要一定的学习成本,毕竟和 Agent 交流也需要一定的“共同语言”。