TorchV WorkStation:面向知识消费者的标准Agent应用平台

TorchV WorkStation 不是与 AIS 并列的独立产品，而是建立在 AIS 之上的标准 Agent 应用平台。

如果说 AIS 负责知识的构建、治理、优化与安全，WorkStation 负责的则是让这些能力真正进入业务一线，被员工和 Agent 直接使用。

WorkStation 面向知识消费者，将底层复杂的知识能力转化为简单、连续、可协作的工作界面，使用户无需理解知识治理和检索机制，也能够围绕实际任务直接使用企业知识。

WorkStation 以“工作区”作为核心组织单元。

每个工作区都可以围绕一个任务、一项专题、一类项目或一个团队协作目标展开，承载与之相关的知识空间、对话上下文、任务输入、任务产出以及 Agent 协作过程。换句话说，工作区不是一个简单的聊天会话容器，而是一个围绕“工作目标”组织起来的智能工作环境。

这种设计使用户不再只是零散发问，而是能够在持续上下文中推进工作。例如，用户可以围绕一次投标、一份经营分析、一项售后支持任务或一个制度核验场景建立独立工作区，让相关知识、上下文和任务产出在一个连续空间中沉淀下来，从而使 AI 真正参与到工作的连续过程，而不是只完成一次性回答。

Sage 解决的核心问题，是在 WorkStation 中由谁来真正理解任务、调动知识与能力，并持续推动任务走向完成。

因此，Sage 不是一个简单的聊天机器人，也不是只负责回答问题的问答助手，而是 WorkStation 中最核心的智能执行主体。

从产品定位上看，Sage 的本质并不在于“对话能力”，而在于它是一个围绕工作目标组织执行过程的超级 Agent。它面对的不是单轮问答，而是一条持续推进的任务链路：理解用户目标、判断所需知识、选择可用能力、组织执行步骤、生成中间结果，并在连续上下文中推动任务逐步完成。换句话说，Sage 更接近“智能任务代理”，而不是“AI 聊天入口”。

这也是企业 AI 从“会回答”走向“会做事”的关键一步。过去很多 AI 系统的问题在于，它们虽然能够在局部场景中生成看似合理的回答，却很难稳定进入真实业务流程。原因并不只在模型本身，而在于缺少统一的执行层：无法持续理解任务、无法安全调用知识、无法协调工具、无法纳入治理边界，也无法将一次交互沉淀为可复用的组织能力。Sage 要解决的，正是这一层问题。

对用户而言，Sage 的价值在于，它把底层复杂的知识调用、工具选择、步骤组织和执行控制屏蔽起来，使用户无需先理解知识库结构、系统边界和调用方式，只需围绕“我要完成什么工作”来表达目标。随后，由 Sage 在后台协助完成知识检索、信息归纳、内容生成、规则判断、流程辅助和结果组织。用户感知到的是一个自然、连续的工作过程，而不是多套系统和多类能力的拼接。

从运行机制上看，Sage 并不是一次性把用户问题直接交给模型生成答案，而是建立在一套稳定的 Agent Runtime 之上。其核心特征主要体现在以下几个方面：

• 可规划：在接收到任务后，先理解目标并拆解步骤，而不是立即输出答案；
• 可调用知识：能够在权限边界内调用 AIS 的知识库、FAQ、知识流和相关治理规则；
• 可连接能力：能够通过 Skill、平台内置工具以及外部接口进一步完成操作；
• 可连续执行：围绕工作区上下文持续推进任务，而不是每次都从零开始；
• 可治理：高风险动作可纳入审批、审计和边界控制体系中。

从技术结构上看，Sage 更像是一个以固定运行图驱动的企业级 Agent Runtime，而不是单一 Prompt 驱动的聊天器。它的执行过程通常包括几个关键阶段：首先接收用户任务并装配当前工作区上下文，其次由规划与路由逻辑判断应优先调用知识、工具还是已有 Skill，然后在需要时进入工具执行与结果回收流程，最后再组织成对用户可见的结果输出。对于复杂任务，这一过程不是一次性完成，而是可以在多步循环中持续推进，直到形成最终结果或进入人工干预节点。

同时，Sage 并不是孤立运行的，它天然与 WorkStation 的三类核心资源协同：

• 与 工作区 协同，承接用户当前任务的上下文、输入输出和阶段性结果；
• 与 Skill 协同，将组织沉淀的方法论、模板和最佳实践转化为可复用能力；
• 与 AIS 协同，在权限边界内调用知识、FAQ、知识流以及相关治理能力。

这意味着，Sage 的能力并不只是来源于“模型更聪明”，而是来源于它处在一个完整的平台体系中：上接用户目标，下接知识引擎，中间连接 Skill 与工具，并通过治理机制确保整个过程可控。

在真实企业环境中，很多任务不是“问一个问题、给一个答案”就能结束，而是需要经过多个步骤，例如先理解需求，再检索法规和案例，再比对内部模板，再生成材料草稿，再结合工具完成结构化处理。Sage 的价值就在于，它能够将这些动作组织成一个持续运行的过程，而不是把所有复杂性都留给用户自己处理。

从业务价值上看，Sage 的作用主要体现在四个方面：

• 理解任务目标：不仅理解用户提出的问题，更理解用户希望完成的工作；
• 组织知识与能力：自动在知识、Skill 和工具之间建立合适的调用链路；
• 推动任务完成：在连续上下文中形成从输入到结果的执行过程；
• 沉淀组织能力：把一次次任务执行逐步沉淀为可复用的方法、流程与资产。

因此，Sage 不只是 WorkStation 中的一个交互对象，而是整个 Agent 应用平台真正的执行核心。它让企业 AI 不再停留在问答层，而是开始具备执行层；不再只是提供信息，而是开始组织工作；不再只服务单次交互，而是逐步成为企业智能执行力的基础承载者。

在企业环境中，大量高价值经验往往掌握在少数专家、资深员工或成熟团队手中。WorkStation 通过 Skill 机制，将这些方法论、模板、流程经验和最佳实践沉淀为可被复用的组织能力。

Skill 可以理解为面向场景的能力封装：它既可以调用知识，也可以调用规则、模板、流程和工具，从而把原本依赖“个人经验”的能力逐步沉淀为“组织资产”。

这意味着，组织经验不再只能通过口口相传或反复培训来复制，而能够被结构化、复用化和平台化。随着 Skill 的积累，WorkStation 的价值也会持续增强，因为它承载的不再只是一个 Agent，而是组织内部不断沉淀出来的智能工作能力库。

当 Agent 进入“直接执行任务”的阶段，真正决定平台上限的不是模型参数，而是执行系统本身。SandBox 的目标非常明确：让 Agent 具备强执行能力，同时确保执行全过程始终在企业定义的安全边界内。

SandBox围绕四个核心能力展开：可编排调度、有效隔离、数据安全、热池秒级分配。这四点共同定义了 TorchV 在企业级 Agent 执行场景中的差异化能力。

SandBox 不是“人工分配”的传统模式，而是声明式调度体系。上层 Agent 只需要提交沙箱申请，控制面就会把需求转化为可调度对象，交由沙箱集群自动编排。

核心机制包括：

• 需求侧声明（BatchSandbox）：每个任务对应一个明确的执行需求对象；
• 供给侧声明（Pool）：平台按业务峰谷维护可复用执行供给；
• 按需绑定（poolRef）：任务可从对应能力池快速申请实例，执行结束后归还资源域；
• 统一生命周期编排：创建、查询、暂停、恢复、续期、终止均是标准 API 动作；
• 状态可观测：每个实例具备 state/reason/message 三元状态语义，便于策略联动与自动化运维。

这套机制直接带来两个结果：

• 横向扩缩容能力：随任务并发自动扩展供给，压力回落后自动收敛；
• Agent 按需申请能力：从“人工开环境”变成“任务触发即供给”，执行链路高度自动化。

对业务来说，这意味着 Agent 执行不再是“排队抢机器”，而是“像调用 API 一样申请执行力”。

SandBox 的安全原则是：任务必须在隔离执行区完成，不得触达客户生产环境本体。Agent 在云端沙箱内运行，客户环境只暴露受控接口，不暴露底层主机、不暴露内部网络面、不暴露宿主执行权限。

隔离能力体现在三个层面：

• 运行时隔离：任务在独立执行单元运行，任务间天然边界隔离；
• 权限隔离：网络管理、执行权限、挂载能力按策略最小授权；
• 生命周期隔离：实例天然短生命周期，任务结束触发回收，不保留“长驻高风险容器”。

对于高敏行业最关键的一点是： Agent 的执行现场与客户生产现场物理/逻辑分离，实现“能执行，但不接触客户环境本体”。

此外，SandBox 具备明确的“用完即回收”机制：

• 支持 TTL 到期自动终止；
• 支持显式删除与批量清理；
• 支持失败回滚，避免脏实例滞留。

这让平台可以把执行风险控制在任务级时间窗内，而不是无限外溢。

SandBox 的数据面设计不是“执行后再补安全”，而是“安全即默认运行形态”。平台坚持全时私有运行：Agent 执行、文件处理、策略控制、状态流转都发生在企业可控域内。

关键能力包括：

• 私有执行域：任务数据在隔离沙箱内处理，不落入共享公共执行面；
• 受控挂载策略：挂载来源、路径、读写权限、子路径均可声明并强校验；
• 最小暴露网络：出网策略默认收敛，可按域名规则精细放通；
• 运行中策略更新：网络策略可在线更新，满足“边执行边治理”；
• 可审计元数据体系：任务标签、状态轨迹、操作动作可追踪，满足治理和审计需求。

这套模型解决了企业最关心的问题：Agent 不是在“黑盒环境”里处理数据，而是在可控、可审计、可收敛的私有执行域里处理数据。

因此，SandBox 输出的不只是执行结果，更是可被安全团队接受的执行过程。

在 Agent 场景中，用户感知最强的瓶颈不是算法，而是环境启动耗时。SandBox 通过热池机制，把“等待起环境”改造成“秒级领取可用实例”。

热池机制的设计要点：

• 预热供给：平台持续维护已完成初始化的可执行单元；
• 快速领取：任务到达后直接从池中分配实例，绕开冷启动路径；
• 执行后归还：完成任务优先归还池中复用，而非立即销毁；
• 容量弹性：按并发波动动态调节池上/下限，平衡成本与性能；
• 池化与调度一体化：热池不是孤立优化，而是调度模型的一部分。

业务价值非常直接：

• 秒级分配体验：交互式 Agent 任务显著降低等待时间；
• 高并发稳定性：高峰时减少“批量冷启动”引发的连锁抖动；
• 资源效率提升：避免频繁创建/销毁导致的系统抖动与开销浪费。

这使得 Agent 执行系统具备“快、稳、省”三项同时成立的能力，而不是只能二选一。

当“可编排调度、有效隔离、全时私有运行、热池秒级分配”四项能力同时成立时，TorchV 的 SandBox 不再是一个技术组件，而是企业级 Agent 执行基础设施：

• 让 Agent 按需申请执行力，并可随业务自动扩缩；
• 让执行全程隔离于客户环境之外，风险边界清晰可控；
• 让数据处理保持全时私有运行，满足企业安全治理要求；
• 让任务获得秒级可用执行环境，支撑生产级并发与响应体验。

这正是 TorchV 从“会理解业务”走向“可在企业生产场景稳定执行业务”的关键跃迁。

WorkStation 的智能能力并不是独立存在的，而是建立在 AIS 的知识引擎能力之上。

它通过用户权限映射、知识空间连接和 Agent 调用机制，安全调用 AIS 中的知识库、FAQ、检索增强能力、知识流和治理规则，使工作界面与知识引擎天然联动。

这种关系意味着，WorkStation 不需要重新建设一套知识体系，而是把 AIS 中已经沉淀好的知识能力转化为业务可用的工作能力。

对用户而言，他们看到的是一个简单易用的工作界面；而在底层，真正支撑其回答质量、任务完成质量和证据可信度的，仍然是 AIS 的知识引擎体系。

Sage-connector 负责解决一个关键问题：当 Agent 需要访问用户本地系统中的受控资源时，如何在安全边界内建立一条可连接、可控制、可恢复、可审计的执行通道。

在企业真实业务中，很多高价值任务并不只发生在远端系统内部，还会涉及用户本地终端环境。例如，本地文件目录浏览、材料读取、文件上传下载、系统侧受控执行等。这类能力如果直接暴露给远端 Agent，会带来明显的安全与权限风险；但如果完全切断本地能力，Agent 又难以真正进入用户的日常工作流。因此，TorchV 需要一种既能连接本地、又能保持安全边界的中间机制，Sage-connector 正是为此而设计。

从产品定位上看，Sage-connector 是一套让远端 Agent 安全访问用户本地系统受控能力 的连接与执行组件。它不是把本地设备直接开放给远端，而是通过浏览器、本地 runner 与远端控制面之间的分层协作，将本地能力封装为一组经过约束、可协商、可动态暴露的标准工具，再由 Agent 在授权范围内调用。换句话说，Sage-connector 并不是“远程控制用户电脑”，而是为 Agent 提供一条受控、本地优先、最小能力暴露的执行路径。

在 TorchV 体系中，Sage-connector 承担的是“本地执行连接器”的角色。

AIS 负责知识引擎与知识治理，WorkStation 负责业务工作界面，而 Sage-connector 则进一步细化了本地执行链路中的连接与能力暴露机制，使远端 Agent 可以在浏览器与本地代理协同下，安全地使用本地系统资源。

它的核心目标可以概括为三点：

• 建立远端 Agent 到本地终端的安全连接通道；
• 将本地能力抽象为受控工具集，而不是直接暴露底层系统；
• 保证连接过程、执行过程和恢复过程都具备可控性与可观测性。

因此，Sage-connector 的意义并不在于“多一个客户端”，而在于让 TorchV 的 Agent 从远端知识调用，进一步扩展到本地受控执行，使企业 AI 能力真正进入用户工作现场。

Sage-connector 当前原型由三部分组成：

第一部分是 sage-connector-mcp，作为远端 Python 控制存在。

它对 Agent 暴露 MCP 接口，负责生成连接所需的一次性 connection_info、管理连接状态、接收本地 runner 的回连，并在连接建立后转发工具调用。它本质上是 Sage-connector 的远端协调中心，负责把“Agent 需要什么能力”与“本地当前可以提供什么能力”衔接起来。

第二部分是 sage-connector-runner，作为本地 Rust daemon 存在。

它运行在用户终端本地，负责监听 localhost 的 bootstrap 与控制接口，持久化本地设备标识，主动回连远端控制面，并在本地执行被允许的受控能力。它是实际的“本地执行层”，也是 Sage-connector 安全边界的核心所在。

第三部分是 sage-connector-panel，作为本地状态面板存在。

它负责轮询本地 runner 的状态和事件流，并提供查看状态、观察事件以及手动断开连接的界面能力。面板本身不负责执行，而是承担状态展示与用户感知入口的角色。

这三者形成了一个清晰的分层结构：

远端控制负责连接管理，本地 runner 负责实际执行，状态面板负责本地可视化与人工干预。

Sage-connector 的连接设计采用“首次引导 + 长连接运行”的模式。

在首次连接阶段，Agent 先向远端控制面请求建立连接，远端返回一次性的 connection_info；前端再将这组信息传递给本地 runner，由本地 runner 主动向远端发起 WebSocket 回连；远端确认连接成功后，才真正建立当前会话。

这一设计的关键点在于：连接不是由远端直接侵入本地，而是由本地 runner 主动发起回连。

这使 Sage-connector 从架构上就保留了“本地主动、远端被动”的安全边界，避免远端直接对本地系统建立不可控入口。

在运行态中，Agent 并不直接与本地系统通信，而是始终通过远端控制面转发请求，再由本地 runner 在本地执行。这条链路可以概括为：

Agent → Sage MCP 控制 → WebSocket → 本地 runner → 用户系统

因此，Sage-connector 的本质不是单一连接，而是一条受控的“远端指令—本地执行”链路。

Sage-connector 采用的是“先连接、再协商能力”的模式。

在初始状态下，远端 MCP 并不会向 Agent 直接暴露完整工具列表，而是仅提供 acquire_connect 作为连接入口。只有在本地 runner 成功连接后，远端才会根据本地返回的系统类型与 commands 信息，动态刷新可用工具集。

这意味着，Agent 并不是预设知道本地所有能力，而是在连接成功之后，根据当前设备环境动态获得可调用的工具。

例如，在 Linux 或 macOS 环境下，当前可见能力包括 ls、tree、grep、cat、upload、download；在 Windows 环境下，则会暴露 dir、tree、findstr、type、upload、download 等对应能力。

这种机制有两个核心价值：

• 能力适配：不同操作系统下的能力定义与调用方式不同，必须动态协商；
• 最小暴露：系统只暴露当前环境真正支持、且当前允许暴露的能力，而不是一次性开放全部本地接口。

从产品角度看，这使 Sage-connector 更像一个“能力协商层”，而不是一个固定工具包。

Sage-connector 的本地执行设计，并不是让 Agent 直接拿到 Shell 或系统级控制权，而是把本地能力抽象为一组受控工具。

目前这组能力主要可以分为三类：

• 浏览类能力：用于目录浏览和内容搜索，如 ls、tree、grep、dir、findstr；
• 查看类能力：用于读取简单文件内容或将本地文件上传到远端，如 cat、type、upload；
• 传输类能力：用于将远端文件下载到本地指定目录，如 download。

这种设计的本质，是把“本地操作系统能力”映射为“标准化工具能力”，而不是直接放开底层命令执行权限。

因此，Sage-connector 不是一个远程桌面，也不是一个通用终端，而是一个面向 Agent 的、经过约束的本地执行代理。

作为连接本地环境的组件，Sage-connector 的安全边界设计尤为关键。

当前原型已经体现出几个重要原则：

第一，本地访问路径受控。

本地 runner 仅允许访问被显式授权的 root 目录，文件访问会校验真实落点，符号链接不能绕过 allowed roots；下载写入大小也会受限，避免超范围落地和大文件风险。

第二，浏览器来源受控。

本地 bootstrap 接口并不是对所有网页开放，而是要求调用前端的 Origin 必须进入白名单。对于线上环境，还要正确通过私有网络预检机制。这意味着只有被允许的前端页面，才能触发本地连接建立。

第三，能力而非系统暴露。

Agent 能看到的是经过抽象后的工具，而不是直接访问本地 shell、任意命令或任意路径权限。这使系统可以在后续逐步叠加更细粒度的权限模型与 human-in-the-loop 机制，而不会从一开始就失去边界控制。

因此，Sage-connector 的安全设计原则可以总结为：

远端不直接进入本地，本地不默认暴露全部能力，所有调用都经由受控工具和受控连接进行。

Sage-connector 不只是一次性连接工具，还特别强调连接的持续性与恢复能力。

本地 runner 会持久化 device_instance_id，并在连接建立后保持与远端的长连接状态；远端在首次连接成功后会下发 resume_token，一旦连接中断，系统会将会话标记为 STALE，并在一定窗口期内支持 resume_connect 恢复原会话。

本地 runner 还支持事件落盘、状态查询和手动断开能力。当前本地状态接口包括 healthz、status、events、bootstrap/connect、control/disconnect 等，能够让本地状态面板与排障工具持续读取运行信息。事件流会以 JSONL 方式落盘，至少包括启动、连接、恢复、工具调用、失败与断开等关键事件。

这意味着，Sage-connector 并不是“连上就算成功”，而是已经开始具备本地代理应有的状态管理能力：

• 知道自己当前是否已连接；
• 知道上一次连接何时成功；
• 知道是否发生过 heartbeat 丢失；
• 知道哪些工具被调用过、成功过还是失败过；
• 知道当前是否应自动恢复，还是等待人工干预。

从产品成熟度角度看，这一层能力非常重要，因为它决定了 Sage-connector 能否从原型逐步走向稳定可用的本地代理。

从整体上看，Sage-connector 的价值，不在于多提供了几个本地工具，而在于它为企业建立了一层安全的本地执行连接机制。

它使远端 Agent 可以在明确边界、受控连接、动态协商和可恢复管理的前提下，使用本地终端中的受控能力，而不是停留在纯远端问答或远端流程执行层面。

如果说 AIS 负责知识引擎，WorkStation 负责工作界面，SandBox 负责安全执行区，那么 Sage-connector 负责让 Agent 的执行能力真正延伸到用户本地环境。

正因为有了这一层，TorchV 才不仅是“企业知识平台”，也开始具备了成为“企业级 Agent 执行平台”的现实基础。它让 Agent 能够在可信知识、受控权限和本地执行三者之间建立闭环，从而真正进入用户工作现场，成为持续可用的智能助手与执行代理。

WorkStation 的核心价值，不在于多提供一个聊天窗口，而在于把企业知识能力从“可被询问”进一步推进到“可用于完成任务”。

它让用户不只是查询知识，还能够围绕知识完成材料生成、流程辅助、问题定位、业务协同和任务闭环。

因此，WorkStation 并不是问答系统的前端，而是一个面向业务工作的 Agent 平台。它让员工在自然语言环境中，基于企业知识完成真实工作；也让 AIS 的知识能力，从后台治理能力真正变成前台可消费、可执行、可协同的组织生产力。

在销售场景中，用户往往需要同时处理产品资料、案例材料、制度规范、投标模板和客户问题等多类信息。

WorkStation 可以帮助销售人员在统一工作区内快速完成知识查询、方案生成、客户应答准备和标准化材料输出，使原本需要跨多个系统、依赖多人协作才能完成的工作，在更短时间内得到支持。

在客服场景中，大量问题具有高频、标准化的特点，同时又会穿插复杂问题和异常问题。

WorkStation 结合 FAQ 优先与 RAG 协同能力，可以帮助客服团队快速生成标准回复，并在复杂问题出现时进一步调用知识库进行辅助定位，从而兼顾处理效率和答复准确性。

售后工程师面对的问题通常更复杂，既需要快速查找设备手册、故障案例、维修建议，也需要对答案来源保持高度可信。

WorkStation 可以帮助其在连续上下文中推进故障排查过程，并基于可追溯引用提升建议的可靠性，使知识服务不仅“能回答”，而且“能支撑维修决策”。

在运营场景中，用户经常需要汇总业务数据、投诉记录、值班信息、舆情材料和内部通知，形成日报、周报和专题简报。

WorkStation 通过结合企业知识、结构化数据和模板能力，可以帮助用户快速生成各类运营材料，显著降低重复性整理和撰写成本。

对于制度、规则和流程类场景，用户更关心答案是否有依据、规则是否可核验、流程是否可追溯。

WorkStation 在这一场景中能够提供制度问答、规则校验、流程指引和引用展示能力，使知识调用既高效又具备合规基础。

对于管理者而言，更重要的是把分散信息快速转化为可供决策使用的经营材料。

WorkStation 可以帮助管理者快速汇总多来源信息，形成经营简报、专题报告和分析材料，使知识引擎真正进入管理决策支持链路。

在文旅、公共服务和高频咨询场景中，知识服务往往需要兼顾高并发响应与动态运营支撑。

WorkStation 不仅可以承接高频知识问答，也能够结合运营数据和模板能力生成周期性简报、节假日运营分析等内容，使知识服务与运营管理形成联动。