一旦模型开始调用工具，Agent 就不再是一个”执行机器”了。

它变成了一个调度机构——需要在工具之间协调、在权限和能力之间平衡、在安全性和效率之间找到平衡点。工具的权限管理不是锦上添花，而是基础设施。

这就是为什么真正的 Agent 系统，从来不会让模型”想用什么工具就用什么工具”。系统会说：”你想用什么？让我看看，权限检查一下，调度安排好了，再准许你用。执行过程中如果出问题，我来处理。”

权限不是限制，是秩序。秩序让 AI 和人类能在同一个系统里共存。

在 Agent 系统里，上下文不是图书馆，模型也不是藏书管理员。上下文首先是一笔**昂贵、易膨胀、还会自我污染的预算**。往里面塞的东西越多，系统就越难管，越容易出错，越容易因为超长而崩溃。

一个 Agent 系统的成熟度，先看它有没有一个真正的执行循环。

这个循环的心跳是什么？不是”调用了模型”，而是”从上一个已知状态出发，经过一系列可控的中间步骤，抵达下一个一致的新状态”。每一个心跳都能被记录、被理解、被恢复。

模型只是这个心跳过程中的一个跳跃点。真正的智能，在于系统知道怎么从跳跃中活下来。

在聊天系统里，Prompt 工程或许是艺术。但在 Agent 系统里，Prompt 工程是工程学。它需要清晰的原则、明确的层级、可追溯的修改链，还要考虑成本、缓存、优先级。

这就是为什么，我不把 Prompt 叫”提示词”或”人物设定”，而叫”宪法”。

一个系统越聪明、越强大，就越脆弱。因为它能做的事情越多，出错时的破坏力就越大。反过来说，真正结实的系统，不是因为它聪明，而是因为外面套了一个足够扎实的约束骨架。

Claude Code 的架构里，有五层这样的约束。每一层的目的都不同，但它们加在一起，才能让一个有深度权限的 AI Agent 可以被信任。

有个很有意思的观察：在人工智能的早期，我们害怕的是”机器太笨”。现在害怕的是”机器太聪明，我们控制不了”。

这种转变本身说明，真正的瓶颈已经从能力转向了可靠性。一个能力强但不可靠的系统，比能力弱但靠谱的系统危险得多。

而可靠性不是买来的，也不是用 Prompt 工程就能要来的。它是架构出来的。

Skill和多Agent解决的是同一个底层问题的两种思路，它们能共存，而且在生产级系统里通常是一起用的。但在搞清楚”怎么一起用”之前，我们得先把两者说清楚。

工程师有了Claude Code，不是来替代PM的，是来挑战PM的工作方式的。

挑战不是坏事。那些真正被挑战清醒的PM，会在这个过程里找到自己更大的价值空间。

怕的不是被挑战，是被挑战了却选择视而不见。

对照下面这几个问题，大概能判断自己目前在哪个位置：

你上周有多少时间是在做”AI做不了的事”（用研、商业判断、跨团队协作）？
你上一次写的需求文档，有没有包含”成功标准”和”失败模式”？
当工程师问你”这个方向对吗”，你能在30分钟内给出清晰判断吗？
三年后，你希望被记住的是什么？
答案诚实一点，大概就知道转型的紧迫程度了。

AI Native，准确的意思是：以AI能力为基础假设，从零开始重新定义解法，而不是把AI当插件嵌进原有逻辑里。
AI Native是在押注”这个场景的用户行为会改变”；经验主义是在押注”这个场景的用户行为在这个阶段不会变”。两个押注都可能对，关键是你有没有对这个用户群做过真实判断。