对比
唯一具备
可证明隔离的智能体框架。
其他框架在一个开放的环境上加几道护栏,然后祈祷它们能扛住。InferNode 让未授权访问在结构上不可能发生。事实如下。
并排对比
框架对比
| 维度 | InferNode | LangChain | CrewAI | AutoGPT | AutoGen | OpenClaw | 云平台 |
|---|---|---|---|---|---|---|---|
| 智能体在哪里运行 | 专属操作系统命名空间(本地、远程或分布式) | 宿主进程(Python/JS) | 宿主进程(Python) | Docker Compose 栈 | 宿主进程(Python);可选 gRPC 分布式 | 本地网关(WebSocket 控制面) | 厂商云(AWS、Azure、GCP) |
| 安全模型 | 命名空间隔离(结构性) | 应用层护栏 | 任务输出护栏 | Docker 容器(无内置护栏) | 可选 Docker 沙箱;默认无隔离 | 可选 Docker 沙箱(绕过方式已记录) | 云 IAM + 护栏 |
| 形式化验证 | TLA+、SPIN、CBMC | 无 | 无 | 无 | 无 | 无 | 取决于厂商 |
| 硬件 | 裸机、托管 VM、Linux、macOS、Windows | 任意(取决于宿主) | 任意(取决于宿主) | 任意(取决于宿主) | 任意(取决于宿主) | 任意(取决于宿主) | 厂商管理 |
| 协议 | 9P(Plan 9) | REST / SDK | REST / SDK | REST / SDK | gRPC + protobuf;LLM 用 REST | WebSocket / REST | 厂商 API |
| 许可证 | MIT | MIT | MIT | MIT + Polyform Shield(平台部分) | MIT | MIT | 专有 |
| 离线能力 | 是(Ollama 通过 9P,一等公民) | 支持本地模型(Ollama) | 部分(支持 Ollama,部分工具需要 API) | 部分(Ollama,仅限自托管) | 支持(Ollama,用户管理) | 是(Ollama,一等公民) | 否 |
| 分布式支持 | 原生 — 网络即计算机 | 通过 LangGraph Platform 或外部 | 通过外部编排 | 有限 | 是(gRPC 运行时,Python + .NET) | 网关辐射模型 | 厂商管理 |
关键差异
智能体在哪里运行,决定了一切。
大多数智能体框架以库的形式跑在宿主进程里—你的 Python 脚本、Node.js 服务器、Docker 容器。智能体继承宿主拥有的全部权限:你的凭据、文件系统、网络访问。
云平台通过把智能体搬到别人的电脑上来解决这个问题。隔离是真的,但依赖也是真的。你的数据在他们的网络中传输,跑在他们的硬件上,按他们的条款。
InferNode 走第三条路。智能体运行在专属的操作系统命名空间中,在任何你掌控的系统上—你的笔记本、一台远程服务器,或同时分布在两者之上。隔离来自操作系统本身,而不是容器或云的边界。智能体只能看到你挂载进它命名空间里的东西—别无其他。
宿主进程类框架
智能体作为库跑在你的进程内。启动快,但继承宿主的全部权限。安全性取决于护栏在对抗性输入下是否扛得住。
云平台
智能体跑在厂商的基础设施上。隔离很强,但你交出了数据自主可控、离线能力与硬件选择。
InferNode
智能体跑在任何你掌控的系统上的操作系统级命名空间中—本地、远程或分布式。结构性隔离,形式化验证,可离线,自主可控。
关键差异
护栏 vs. 架构。
大多数智能体框架将安全实现为一层加在开放环境之上的检查。智能体能够访问文件系统、网络和你的凭据—只是护栏会在危险请求执行之前拦截它们。
这有效,直到失效。一次新颖的提示注入、一次混淆代理攻击、一次预料之外的工具交互—护栏就失败了。失败模式是彻底的:智能体拥有与宿主进程相同的访问权。
InferNode 不在开放环境之上加检查。它从零开始构造一个受限的环境。智能体从一无所有开始,只接收你授予的部分。攻击无法绕过护栏,因为根本没有护栏可以绕过—在智能体的世界里,这些资源根本不存在。
架构胜过策略,每一次都是。
关键差异
9P vs MCP:协议很重要。
模型上下文协议(MCP)通过 JSON-RPC 标准化了智能体发现并调用工具的方式。这是一种进步。但每个工具的 schema 都被包含在每次请求的上下文中—让模型处理的任何内容(包括注入的载荷)都能看到完整的能力面。
InferNode 使用 9P—Plan 9 的文件协议。工具就是文件:写入参数,读取结果。智能体的“工具列表”就是 ls /tool。无 JSON schema,无客户端库,无序列化层。LLM 在训练数据中早已理解文件系统语义—它们仅凭目录列表就能正确推断工具的用法,无需显式 schema。
安全差异是结构性的。MCP 工具 schema 投毒是一种语义攻击—模型必须识别出它是恶意的并选择拒绝。9P 把攻击面缩减到语法层面(shell 引号转义)—这是标准的、可验证的编程问题。而且因为 9P 资源就是命名空间路径,访问控制就是与隔离其他一切完全相同的命名空间限制。无独立的权限模型,无 token 需要管理。
本分析的形式化基础:Namespace-Bounded Agents(Finn, 2025)。
MCP / JSON-RPC
完整的 JSON schema(每个工具 200–500 个 token)随每次请求一并发送。所有已注册的工具对模型处理的任何内容都可见。安全性取决于模型能否拒绝恶意指令—一种行为层面的防御。
9P(InferNode)
未挂载的工具不存在—不是被拒绝,而是不存在。一个声称“调用 /shell/exec”的提示注入会在操作系统层面以 ENOENT 失败,与模型是否配合无关。论文中的基准测试显示,文件系统语义可以完全替代 JSON schema—14 个工具仅需 248 个 token,而 MCP 需要 1430 个—这正是 InferNode 旨在实现的方向。
0%
跨工具攻击成功率
Claude、GPT-5、GPT-4o — n=372,结构性保证
诚实评估
其他选择各自擅长什么。
InferNode 并非每种用例的正确选择。这些框架与平台都有真正重要的优势。
LangChain
庞大的生态系统
智能体领域最大规模的集成、文档加载器与链模板集合。如果你需要连接某个特定的 SaaS 工具,LangChain 很可能已经有现成的连接器。
CrewAI
多智能体编排
基于角色的优雅智能体设计,任务委派清晰。非常适合建模那些智能体各有专长的团队式工作流。
AutoGPT
自主任务分解
率先提出了完全自主智能体的概念—能够将高层目标拆解为可执行子任务,无需人工指导。
AutoGen
代码生成智能体原型化
通过对话循环生成、执行并调试代码的多智能体工作流,搭建速度最快。社区强大、示例丰富,且广泛兼容各种 LLM。
OpenClaw
可自我扩展的个人智能体
GitHub 上增长最快的智能体项目(247k+ stars)。智能体可以通过对话编写并修改自己的技能。覆盖通讯平台、智能家居与生产力工具的庞大集成生态。
云平台
企业集成
与现有企业基础设施深度集成、合规认证、托管伸缩,以及大型组织所需的支持合同。
更大的图景
架构为什么重要。
功能列表每季度都在变。集成在不断增加,API 在演化。不容易改变的是根本性的架构—智能体在哪里运行、隔离如何工作、攻击成功时会发生什么。
InferNode 押注在 Bell Labs 三十年前的一项洞见上:操作系统级的命名空间隔离是分布式、不可信计算的正确抽象。这不是新观念,而是经过验证的观念,被应用于一个新的领域。
研究支持这一点。命名空间封闭式的智能体架构已在 AgentDojo 基准(629 次注入攻击,4 个领域)与一个跨三个模型的 31 次攻击语料中得到评估。75.2% 的攻击需要跨工具访问,在结构上被阻止—工具在智能体的命名空间里根本不存在,就这么简单。多模型验证(Claude、GPT-5、GPT-4o;n=372)确认 0% 的攻击成功率,并具备纵深防御:模型拒绝时实现行为层阻断,模型不拒绝时在操作系统层面实现结构性阻断。InferNode 通过 restrictdir()、一项 8 步命名空间限制策略,以及通过 verifyns() 进行的限制后审计,实现了这一架构。
形式化基础:Namespace-Bounded Agents: Capability-Based Security for LLM Systems via 9P Filesystem Semantics(Finn, 2025)。验证工具:TLA+、SPIN、CBMC—所有阶段零错误。
如果你今天需要最大规模的集成生态,用 LangChain。如果你需要企业合规清单上的勾选项,用云平台。如果你需要构建可证明安全、自主可控、天生分布式的智能体系统—InferNode 就是那个根基。
亲眼看看其中的差别。
InferNode 是开源的,采用 MIT 许可,可以运行在任何你掌控的系统上。