2026 年 3 月 30  日，阿里云宣布其自研操作系统 Alibaba Cloud Linux 完成关键跃迁，正式推出面向 AI Agent 的新一代操作系统——Agentic OS。

Agentic OS 是阿里云首款专为 AI Agent 设计的操作系统，它的出现意味着：未来的操作系统，用户主体正在从人类逐渐转变为 Agent。随着大量“AI 员工”成为生产主力，AI 正在引发生产方式的根本性变化，AI Agent 在决策链路、思考方式、交互上都与传统人类使用有着本质的区别。

面对这样的演进趋势，Agentic OS 围绕 Agent 所需能力，将运行时优化与安全执行环境内化为系统核心能力，将云基础设施最佳实践内化为开箱即用的 Skills，并提供 7×24 Agent 可观测和保障服务。它旨在解决 “小龙虾（OpenClaw）” 等智能体在上手门槛高、调教链路长、稳定性差、安全保障上的限制以及多 Agent 协同复杂等痛点。Agentic OS 不仅为小龙虾等智能体框架提供了理想的数字底座，更标志着计算范式从“传统软件负载”向“智能体负载”的根本性转变。

Agentic OS 架构

Agentic OS 架构借鉴传统操作系统的分层思想，通过核心层、运行时层，让 Agent 像应用程序一样运行在统一的基础设施之上。运行时层确保每个 Agent 在受控环境中安全执行。内置 Skill 提供开箱即用的通用能力，Agent 无需重复造轮子，结合最上层的 Copilot Shell （cosh），让 Agent 能像人操作终端一样调用系统资源。这种分层解耦的设计，使不同类型的 Agent 可以按需组合能力，兼顾安全、运维与可扩展性。

核心突破一：极致降低 Token，预置 Skills 技能使 Agent 快速“上岗”

Agent 已从单纯的对话演进为能完成复杂任务的“AI 员工”。然而，传统操作系统指令繁杂，Agent 往往“有大脑但不熟悉环境”，需要靠大量的环境测探感知来完成合理的任务执行，而开源市场 50% 以上的 Skill 是过程化的，亟需系统级适配和优化。因此，调教一个可以“上岗”的智能体需要高昂的成本。

针对上述痛点，Agentic OS 提供了“原生 Skill 化封装”的解决方案：

• 原生 Skill 化封装： Agentic OS 将复杂的 Linux 运维、部署、调优动作以及高频的技能封装为标准化的 Skill 模块。这些技能覆盖系统管理、性能调优、安全运维以及常见角色的基础技能，天然匹配 Agent 的过程化执行特征，使 Agent 无需额外消耗计算资源去"学习"或"适配"这些能力即可直接调用。
• 实测表现：在系统管理和运维场景范围内，对比传统 OS 环境，Token 的开销相差 30% 以上。以使用 OpenClaw 做操作系统漏洞看护修复场景为例，在 CVE 评估阶段，在同等大模型底座下，使用 Agentic OS 相比传统操作系统可节省 60% 的 Token 开销。

核心突破二：Copilot Shell 一句话拉起，Agent 全程可观测

传统环境下，Agent 部署配置复杂、初始化耗时久，且缺乏持续的健康监测，导致“数字员工”易掉线、难维护。

为此，Agentic OS 从交互入口和可观测性两个维度给出了解决方案：

• 在交互层面，Agentic OS 推出双模交互入口 (Copilot Shell，简称 cosh)，替代传统 bash。
• 对人类用户，它是内置在系统中默认的 Agent，可直接使用它来管理系统，完成运维操作，甚至初始化其他 Agent。
• 对 AI Agent，它支持以 Sub Agent 方式接入协同工作。Agent 无需消耗 Token 探索环境，即可直接调用预置技能完成常见任务。
• 通过伴随式 AI Shell 助理 OS Copilot，一句话部署常见的 AI Agent（如OpenClaw）。用户无需进行复杂的手动配置环境，仅需一句指令即可瞬间启动“数字员工”。
• 在可观测层面，Agentic OS 内置了系统级别的 Token 统计能力。支持按照不同 Agent 来统计 Token 消耗，并分析 Token 消耗成分占比，比如 Input Token的system prompt、Skills 注册表、History 等。Token 可观测可以帮助用户精准归因 Token 消耗、快速定位异常行为并持续优化 Agent 运行效能。

核心突破三：AgentSecCore 全链路安全防护，构筑“智能失控”的防火墙

当 Agent 被赋予自主执行权时，“智能失控”风险剧增。Skill 供应链投毒、Agent 越权操作及数据泄露尚无操作系统级解决方案。

面对上述安全挑战，Agentic OS 提供了以AgentSecCore 为核心的四大防护能力：

• Skill 签名与完整性校验： 引入 AgentSecCore 安全核心模块，对每一个内置Skills 实施严格的数字签名与哈希校验。在加载前防止篡改与投毒，建立可信供应链。
• 运行时行为管控与沙箱隔离： 基于 Bubblewrap、seccomp 技术实时监控 Agent 操作行为，自动拦截危险指令（如非法删除、越权访问）。为每个 Agent 进程启用进程级轻量化容器沙箱，实现多 Agent 间的资源隔离，即使行为异常也能将风险限制在最小范围。
• 宿主机隐私信息保护： 操作系统及宿主机隐私标识信息防泄露保护。针对 AI Agent 执行任务阶段通过直接查询、工具链利用、间接提示注入等多种攻击向量获取并外泄敏感的主机标识信息进行拦截防护。
• 系统安全加固：为 Agent 建立安全运行环境，提供经过安全认证加固的基本安全水位。通过 LoongShield seharden 工具对操作系统进行安全基线扫描与加固，确保 Agent 运行的宿主系统符合安全基线要求。

结语：定义 Agentic AI 时代的计算基石

从 GPU 硬件、软件生态，再到如今的 Agent-as-a-Service，计算平台的进化始终围绕着“降低门槛、释放潜能”的主线。Agentic OS 通过内置丰富的管理 Skills 赋予智能体真正的执行力，通过 Copilot Shell 重新定义人与 Agent 的交互界面，并利用 AgentSecCore 筑牢自主智能的安全底线，Agentic OS 正在成为 Agentic AI 时代坚实可靠、深度理解 AI 的核心基石。

目前，Agentic OS 已在阿里云 ECS 控制台上架，并且在 GitHub 上开源，欢迎开发者和企业体验（复制下方链接至浏览器打开）：

GitHub：

https://github.com/alibaba/ANOLISA

阿里云 ECS 使用 Agentic OS 快速入门：

https://help.aliyun.com/zh/alinux/agentic-os-getting-started

您在使用 Agentic OS 过程中，有任何疑问和建议，可加入钉钉群（群号：

90400034325）或扫描下方二维码加入微信交流群反馈。

来源  |  阿里云开发者公众号