环境就是新的边界： 用可编程应用交付管理 AI 代理

上下文绝非抽象存在。 它直接体现在负载中。 真实的 MCP 请求示例如下：

POST /agent/v1/invoke HTTP/1.1

主机名：agentmesh.internal

授权： Bearer xyz123

Content-Type: application/json

X-MCP版本： 1.0

{

"上下文": {

    "user": { ... },

    "目标": "…",

    "prior_messages"：[ ... ]，

    "task_state": { ... },

    "安全": { ... }

  },

"input": { "prompt": "现在用一张简洁图表来直观展示它。" }

 }

此上下文块不可或缺。 它是代理的工作记忆。 它包含代理“掌握”的所有信息及其将依据的所有假设。 每一次跳转都会将其携带向前：未压缩，有时未经验证，而且几乎每次都会变得越发陈旧。

正是这些累赘最终引发了上下文漂移。 上下文漂移发生在以下情况：

• 用户离开后，旧的目标和任务状态依然保留。
• 之前的信息累积过多，让请求变得臃肿并误导代理。
• 安全标签出现在不该存在的地方。
• 多个代理同时更新同一个线程，却没有清理冗余内容。

当代理#4拿到接力棒时，它根据过时的指令、陈旧的访问权限和无人关心的“目标”做决定。 代理不会抱怨。 它们自信地保持错觉，然后把混乱继续传给下一个。

如果你还把应用交付平台仅仅看作负载均衡器，祝贺你。 你还在下跳棋，而其他人已经开始下象棋了。

在代理架构中，只有可编程应用交付层具备以下特点：

• 全面掌握每个请求
• 您有权检查、转换、阻止或清理上下文
• 不依赖任何单一代理的观点或记忆

别让代理每次请求都背负整个人类历史。

• 将prior_messages精简为最近的 N 次交流。
• 自动根据时间或状态变更使目标失效。
• 当意图从继续切换到新任务时，清除task_state。

现在，您在代理处理输入前就已严格控制内存使用和认知管理。

如果您的上下文块显示security.classification = confidential，而您即将调用公共摘要 API，那您需要在边缘部署一套可编程策略执法，来屏蔽、编辑或隐藏敏感字段，并在每个请求上校验访问权限。 大型语言模型（LLM）不会质疑您的策略；它们只会泄露信息。

用户是否从“总结季度指标”转向“制作幻灯片”？ 上下文需要重新置零，而非简单累计。 当请求意图发生变化，但上下文仍包含过时的目标和任务状态时，就要清除上下文并重新开始。 这样能避免代理用今天的数据解决昨天的问题。

您的应用交付层应当持续监控：

• 上下文块的标记大小随时间变化
• prior_messages增长率
• 每个代理的目标与任务不匹配模式

你能在上下文膨胀和偏离爆发前及时识别它们。 当领导质问你的“自主代理”为何像自负的实习生时，监控能帮你给出确切答案。