Linux 是为人类打造的,而它从 Unix 继承来的那套抽象更为古老。半个世纪以来,关于操作系统的一个假设始终成立:驱动操作系统执行的,要么是人,要么是人写出来的程序,而负载大体平稳。进程、fork/exec 模型、文件接口、cgroup、调度器对“公平”的理解、OOM killer、系统调用 ABI,无一不是这个假设的产物。可如今,握住方向盘的换了角色。设想这样一个进程:它自己把自己唤醒,自行决定要编译什么、测试什么,一口气 fork 出十几个子进程,两秒之内把内存从 185 MB 拉到 4 GB 再压回去,然后周而复始,昼夜不息,键盘前却空无一人。这就是 AI 智能体,而它早已在大量 Linux 机器上规模化运行。它自主、突发、不确定,其“有状态”的程度也远超 memory.max、PSI 和 VPA 当初的设计预期。几十年来,操作系统第一次迎来一类真正全新的用户,而既有的抽象正在站不住脚。
这正是 Agentic OS 研讨会所关注的主题。第一届 Agentic OS 研讨会受到了热烈的反响,如今我们正式启动第二届的论文征集。如果你深耕 cgroup、memcg、调度器、eBPF、沙箱、FUSE 或系统调用接口,那么这一领域那些悬而未决的难题,恰恰就压在你日常维护的代码之上。
怀疑这只是炒作概念、而非真正的内核工作?那我们看看第一届研讨会都产出了什么。下面这几篇论文,每一篇都建立在你早已熟悉的 Linux 原语之上:从 cgroup、eBPF 到 sched_ext、FUSE、kTLS,再到系统调用 ABI。
AgentCgroup:理解并管控 AI 智能体的操作系统资源
Yusheng Zheng(UC Santa Cruz),Jiakun Fan 与 Quanzhi Fu(Virginia Tech),Yiwei Yang(UC Santa Cruz),Wei Zhang(UConn),Andi Quinn(UC Santa Cruz)
这是一项实测研究,提出了一个不起眼、却几乎无人回答过的问题:一个 AI 智能体究竟要消耗操作系统多少资源?作者在 Linux 6.15、启用 cgroup v2 的环境下,用 Podman 容器跑完了 144 个 SWE-rebench 任务,并以 1 秒为间隔采样 CPU 与内存。核心发现如下:
真正的大头是操作系统,而非 LLM。 工具执行加上容器与智能体的初始化,占到端到端任务时延的 56% 到 74%,LLM 推理只占 26% 到 44%。
瓶颈在内存,而不在 CPU。 CPU 平均占用不到 13%,内存峰值却达到 2 到 4 GB,峰值与均值之比高达 15.4 倍。98.5% 的内存突发都发生在工具调用期间,每次持续 1 到 2 秒,变化速率接近 3 GB/s。一个工具具体在做什么(pytest 还是 git status),比它是哪种工具更要紧。
随后论文剖析了现有手段为何统统失灵:静态限额(memory.max、memory.high、K8s QoS)若按峰值设定,约 93% 的内存被白白浪费,若按均值设定,则会在突发时触发 OOM 杀进程;响应式控制(PSI、oomd、TMO)的反应要数十毫秒,对付 1 到 2 秒的突发实在太慢,而一次 kill 就会毁掉智能体好几分钟积累的上下文;预测式伸缩(VPA、Autopilot)则被同一任务 1.8 倍的运行间波动彻底击溃。作者的原型 AgentCgroup 构建了一套分层的 cgroup v2 结构,把工具调用作为子 cgroup,借助 sched_ext(CPU)与 memcg_bpf_ops 钩子(内存;即 Hui Zhu 提交、正在上游评审的 bpf-next RFC)在内核内实施管控,并以优雅降级取代 OOM 杀进程:先用 memory.high 延迟来限流,再用 cgroup.freeze 冻结。在打了补丁的 6.19.0-rc5 上做 50 倍速的轨迹回放,它把 OOM 存活率从 66% 提升到 100%,并将高优先级任务的 P95 分配时延削减 29%,而开销几乎可忽略。
Fork, Explore, Commit:面向智能体探索的操作系统原语
Cong Wang(Multikernel Technologies),Yusheng Zheng(UC Santa Cruz)
智能体越来越多地并行探索多条解题路径,只保留通过测试的那一条;可现有的 Linux 机制都无法为它们提供隔离的工作区,让文件系统状态和进程状态都能原子地提交或回滚。本文提出了分支上下文这一抽象,并通过两个 Linux 组件加以实现。BranchFS 是一个基于 FUSE 的写时复制文件系统(约 3400 行 Rust),分支创建是 O(1) 的(不到 350 微秒,且与基础目录大小无关),支持向父分支原子提交、自动让兄弟分支失效,且无需 root 权限。branch() 则是新提议的一个 Linux 系统调用,采用 bpf(2) 那样的多路复用风格,能把挂载命名空间、进程组、兄弟隔离以及“先提交者胜”的协调逻辑原子地组合在一起,并通过通用的 FS_IOC_BRANCH_* ioctl 与各种分支文件系统对接,从而让系统调用本身与具体文件系统无关。其动机呼应了 HotOS 上那个著名论断:fork() 已不再是个好抽象。BranchFS 和 branch() 系统调用实现如今都已开源。
pMVX:面向智能体操作系统内核自调优的策略级多版本执行
Sujot Singh、Eddie Federmeyer、Kenan Alghythee、Xiaoguang Wang(University of Illinois Chicago)
当一个智能体在管理操作系统时,它只能看到自己所选策略的结果,却永远看不到反事实的那一面:换一个内核策略,在同样的负载下会表现如何?pMVX 把这种反事实推理变成了操作系统的一等服务。它在多个隔离的操作系统实例上并发运行不同的内核策略变体,让它们承受完全相同的负载,再把 eBPF 采集到的负载特征提炼成一张轻量的策略映射表,供生产系统在运行时查询。其原型 auto_ext 是一个基于 sched_ext 的自调优 Linux 调度器:它无需重新编译或重启即可安全地切换调度器,在对调度敏感的负载上比默认的 EEVDF 调度器带来 20% 到 30% 的提升。这套架构可以推广到任何拥有多种策略变体的子系统,比如内存回收、I/O 调度和 NUMA 放置。
Grimlock:用 eBPF 与认证通道守护高自主性系统
Qiancheng Wu、Wenhui Zhang、Gan Fang、Sheng Mao、Biao Gao、David Levitsky、Shawna Murphy Butterworth、Rob Cameron(Roblox)
高自主性的智能体往往把身份、授权、溯源和委派一起塞进应用代码里,导致难以一致地实施、也难以审计。Grimlock 把这套信任实施下沉到沙箱底座,而智能体代码无需改动。它用 eBPF 做“无旁路”的拦截,介入沙箱所有的入站与出站流量,把流量统统导向每台主机上的守卫(guard),让恶意或有缺陷的运行时无从绕开策略。它通过标准 TLS 1.3 通道绑定上的握手后认证,把授权与活动通道牢牢绑定,并签发短时、绑定通道的作用域令牌(scope token)以实现最小权限委派,再用 kTLS 把记录层加解密留在内核数据面。最终,它在多云环境下实现了透明、可审计、受作用域约束的智能体间通信,而这一切完全构建在现有的 Linux 原语之上。
用 LLM 驱动强制系统的规则生成
Quanzhi Fu、Dan Williams(Virginia Tech)
Linux 上各类基于规则的强制系统,包括 SELinux 策略、seccomp 过滤器以及 iptables/nftables,都必须不断演进以跟上新威胁,可手工维护规则既慢又高度依赖专业经验。本文研究了一种混合设计:用一个快速的规则引擎以亚毫秒级时延处理已知模式,而 LLM 只去分析那些漏过现有规则的流量,并生成新规则来覆盖将来类似的请求。其原型 VibeWAF(用 Go 编写,搭配兼容 ModSecurity 的 Coraza 引擎)以 Web 应用防火墙为案例进行了评估:反馈回路收敛到 88% 的规则命中率,把平均时延从约 6.5 秒降到 400 毫秒以内。它还揭示了一个真实的陷阱:只增不减的白名单规则可能悄无声息地放行新型攻击,这说明规则需要全生命周期管理。案例虽是 WAF,但其论点直指用 LLM 辅助维护 Linux 的访问控制与防火墙。
你的工作能落在哪里
上面这些论文只是一个取样,并非全部。第二届的征稿范围有意设得很宽。我们关注的主题包括(但不限于):
面向智能体执行的新型操作系统抽象(进程/容器/多内核等方向的增强)
用于安全执行智能体生成代码的动态沙箱与轻量运行时
面向动态、多智能体负载的语义感知资源管理与调度
管理智能体上下文、提示词与情景记忆的长生命周期状态抽象
智能体执行的可观测性、溯源与调试
面向自适应、智能体感知 JIT 的编译器与操作系统协同设计
智能体所调用工具的安全与隔离
由智能体来管理系统:内核调优、异常检测、资源编排、故障恢复、动态策略
智能体间通信原语、可靠性与容错
无论你手头有一个实验项目、一份实测研究,还是仅一篇“这个抽象错了,原因如下”的立场论文,我们都欢迎你的投稿。
如何投稿
会议: 第二届 AI Agentic OS 研讨会与 SOSP 2026 同期举办,地点捷克布拉格。
投稿类型: 立场论文(1 到 2 页)或经验报告/研究论文(至多 6 页),均不含参考文献。
评审:双盲评审,每篇投稿至少两份评审意见。欢迎同期投稿,也欢迎此前已挂在 arXiv 上的工作。
投稿入口(HotCRP):https://agenticos26.hotcrp.com/
重要日期
Linux 内核社区花了几十年,才为上一个时代的负载把那套抽象打磨完善。智能体则是下一个时代的负载,而旧的抽象已经明显不再适用。来和我们一起,重新设计它吧!
完整征稿启事与详情:https://os-for-agent.github.io/