NewsletterBlogGlossary

OpenAI Computer Access 技术复盘:让 AI Agent 真正操作电脑的三个关键

OpenAI 分享了构建 Computer Access 的技术经验:收紧执行循环、文件系统提供上下文、带安全护栏的网络访问。这些设计选择对所有 Agent 开发者都有参考价值。

DEV
分享XLinkedIn

OpenAI Computer Access 技术复盘:让 AI Agent 真正操作电脑的三个关键

OpenAI 公开了构建 Computer Access(让 Agent 操作电脑)过程中的核心技术经验。结论很明确:让长时间运行的工作流真正可用,需要解决三个问题 — 收紧执行循环、通过文件系统提供丰富上下文、以及带安全护栏的网络访问。这些不是理论探讨,而是工程实战中用真金白银换来的设计决策,对所有在做 Agent 开发的团队都有直接参考价值。

发生了什么

OpenAI 通过官方开发者账号 @OpenAIDevs 分享了构建 Computer Access 功能的技术复盘。这个功能让 AI Agent 能够像人一样操作计算机 — 打开应用、点击按钮、输入文本、浏览网页。

这篇复盘的时间节点值得注意。就在同一周,OpenAI 刚发布了 Codex Security(应用安全 Agent),并推出了面向开源社区的 Codex for Open Source。Anthropic 也披露了 Claude Opus 4.6 在两周内找到 Firefox 22 个漏洞的成果。行业正在从"Agent 能聊天"快速过渡到"Agent 能干活" — 而"干活"的基础设施就是 Computer Use 这类能力。

OpenAI 提炼出的三个核心教训,本质上回答了同一个问题:Agent 长时间自主运行时,怎么保证它不跑偏、有足够信息、又不搞出安全事故?

为什么重要

"让 AI 操作电脑"听起来直觉上很简单 — 截屏、识别 UI、模拟点击。但实际工程中,难点不在感知,而在可靠性和安全性

一个典型场景:你让 Agent 去某个内部系统拉一份报告。它需要登录、导航、填表、下载文件。整个流程可能耗时 5-10 分钟。中间任何一步出错 — 页面加载慢了、弹窗挡住了、按钮位置变了 — 如果没有紧凑的执行反馈循环,Agent 会在错误路径上越走越远。

这和 Claude Code/loop 调度器、Karpathy 提出的"异步大规模协作 Agent"是同一条技术主线:Agent 正在从"一问一答"进化到"长时间自主工作"。长时间运行意味着错误会累积,上下文会丢失,安全边界会被试探。OpenAI 的这三条经验,就是在回应这些工程现实。

对国内团队来说,这些经验同样适用。不管你用的是 GPT、Claude 还是 Qwen,只要你在做 Agent 自动化,执行循环、上下文管理和安全隔离这三个问题都绕不过去。

技术细节

收紧执行循环

传统做法是让 Agent 规划一长串动作然后批量执行。OpenAI 发现这在长任务中不可靠 — 中间状态变化太多,计划很快就过时了。解决方案是缩短每次"观察-思考-行动"的周期,每执行一步就重新获取屏幕状态,重新决策。

这和软件工程里的"小步提交"理念一脉相承。步子越小,出错时的回滚成本越低。

文件系统作为上下文

直觉上,Agent 操作电脑应该主要靠"看"屏幕。但 OpenAI 发现,给 Agent 提供文件系统访问 — 让它能读写文件、查看目录结构 — 大幅提升了任务完成率。原因很简单:屏幕截图是低带宽、高噪声的信息通道,而文件系统提供的是结构化、精确的上下文。

这和 Claude Code 的设计思路不谋而合 — Claude Code 不是通过截屏来理解代码,而是直接读文件、跑命令。文件系统才是 Agent 最高效的"眼睛"。

带护栏的网络访问

Agent 要干活就得联网,但无限制的网络访问等于把一个不完全可控的程序放到了生产环境里。OpenAI 的做法是提供网络访问但加上安全护栏 — 限制可访问的域名范围、监控网络请求、对敏感操作要求确认。

这个设计模式在 Agent 生态里正在成为共识。Box CEO 最近在播客中也表达了类似观点:"Agent 有自己的系统、自己的电脑、自己的工具,但我不会给它访问我所有东西的权限。"

Agent 安全模型的演进:
完全沙箱 → 受限访问 + 监控 → 基于意图的动态权限
         ↑ 当前阶段

你现在该做什么

  1. 审视你的 Agent 执行循环。如果你的 Agent 会一次性规划超过 5 步才检查状态,考虑缩短反馈周期。每一步都应该有"这步对了吗"的校验。
  2. 优先用结构化数据而非截屏。如果你的 Agent 任务可以通过 API 或文件系统完成,别走 UI 自动化的弯路。截屏是最后的手段。
  3. 现在就设计安全边界。不要等出了事再加。最小权限原则、域名白名单、敏感操作确认 — 这些应该是 Agent 框架的第一层,不是事后补丁。
  4. 关注 Codex Security 和 Claude 的安全测试成果。Agent 安全不只是防 Agent 搞破坏,也包括用 Agent 来找安全漏洞 — 这是当前最有价值的 Agent 应用场景之一。

相关阅读今日简报 有更多 Agent 生态动态。另见:AI Agent 术语解读

觉得有用?订阅 AI 简报,每天 5 分钟掌握 AI 动态。