📌 核心问题

2026 年 5 月 5 日,NVIDIA 创始人黄仁勋在 ServiceNow Knowledge 2026 大会上与 ServiceNow CEO Bill McDermott 联手发布了 Project Arc —— 一个面向企业知识工作者(开发者、IT 管理员、运维团队)的长时运行、自进化自主桌面 Agent。

这不是又一个对话式 AI 助手。Project Arc 的核心定位是:让 Agent 能在员工桌面上持续执行复杂的多步任务,同时通过治理框架确保每一步操作都在企业可控范围内。

这触及了企业 AI 部署最核心的矛盾:Agent 的「行动能力」越强,「治理风险」越高。如何让 Agent 「既能干活,又不越界」?Project Arc 给出了一个完整的工程答案。

🔥 发布背景

  • 发布日期:2026 年 5 月 5 日
  • 发布场合:ServiceNow Knowledge 2026 大会(拉斯维加斯)
  • 发布方:NVIDIA + ServiceNow 联合发布
  • 定位:企业级自主桌面 Agent(Autonomous Desktop Agent)
  • 技术基础:NVIDIA OpenShell(开源安全运行时)+ ServiceNow Action Fabric + AI Control Tower

🚀 Project Arc 三大核心能力

1. 长时运行 + 自进化(Long-Running & Self-Evolving)

与一次性问答的 Chatbot 不同,Project Arc 被设计为「持续执行」模式:

  • 能读取本地文件系统、终端和已安装的应用程序
  • 执行复杂的多步任务,处理传统自动化无法应对的工作流
  • 跨会话记忆上下文,支持生成子 Agent 独立执行子任务
  • 运行时可自主学习新技能、安装经过验证的工具包

这意味着它不是「你问一句它答一句」的工具,而是一个能在后台持续运转的数字员工。

2. 沙箱治理(Sandbox Governance)

Project Arc 基于 NVIDIA OpenShell 构建 —— 这是一个开源的安全运行时,核心设计理念是「进程外策略执行」(Out-of-Process Policy Enforcement):

  • 内核级隔离:每个 Agent 运行在独立沙箱中,安全策略在系统层面执行,Agent 无法覆盖
  • 声明式 YAML 策略:企业可定义 Agent 能看什么、用什么工具、每步操作如何隔离
  • 隐私路由器:敏感数据本地处理,仅在策略允许时才路由到外部模型(如 Claude、GPT)
  • 完整审计轨迹:每一次 allow/deny 决策都有日志,满足企业合规要求

这个架构的精髓在于:安全策略不依赖 Agent 的「行为提示词」,而是由底层运行时强制执行。即使 Agent 被攻破,也无法泄露凭证或私有数据。

3. 工作流原生集成(Workflow-Native Integration)

Project Arc 通过 ServiceNow Action Fabric 接入企业工作流,不是孤岛式 Agent:

  • 与 ServiceNow AI Control Tower 集成,提供实时 Agent 行为监控
  • 支持从部署到优化的全生命周期管理
  • 通过 AI-Q Blueprint 和 Nemotron 开放模型,支持企业自定义领域 Agent

🧠 技术架构深度拆解

OpenShell 的架构由三大组件构成,对应 Agent 安全的三个维度:

沙箱(Sandbox)→ 隔离执行环境 策略引擎(Policy Engine)→ 文件系统/网络/进程层的约束控制 隐私路由器(Privacy Router)→ 数据路由与模型选择

策略引擎的关键设计:以二进制、目标地址、方法、路径粒度评估每一个动作。Agent 可以安装经过验证的技能包,但无法执行未审核的二进制文件。如果 Agent 遇到策略约束,它可以推理障碍并提出策略更新建议,但最终审批权在人。

🔑 关键洞察

洞察一:治理框架 > Agent 能力

企业 AI 部署的真正瓶颈不是模型有多聪明,而是治理框架有多可靠。Project Arc 的核心价值不是「更强的 Agent」,而是「更可控的 Agent」。

NVIDIA 和 ServiceNow 的判断是:Agent 的「行动边界」比「聪明程度」更关键。一个能力一般但治理完善的 Agent,比一个超强但不可控的 Agent 更有企业价值。

洞察二:「浏览器标签页」模型的启示

OpenShell 的核心架构理念是把浏览器的安全模型应用到 Agent 运行时:每个 Agent 像一个浏览器标签页一样隔离运行,权限由运行时(而非应用自身)验证。

这解决了当前 Agent 最大的安全隐患:安全策略和 Agent 行为在同一个进程内,Agent 可以「自证清白」—— 或者更糟,「自我放行」。OpenShell 把安全检查点移到了 Agent 进程之外,就像浏览器沙箱隔离了网页和操作系统一样。

洞察三:自进化 Agent 需要「技能审核链」

Project Arc 允许 Agent 在运行时自主学习新技能、安装工具包。这带来了新的安全挑战:每一个新安装的技能都是一个未经审核的二进制文件,拥有文件系统访问权限。

OpenShell 的解决方案是:技能安装和执行分离。Agent 可以「请求」安装新技能,但策略引擎会审核这个请求 —— 只有经过验证的技能才被执行。这类似于手机 App 的权限审批流程:你可以下载,但不能自动运行。

洞察四:Token 经济学决定 Agent 规模化

黄仁勋在演讲中特别强调了 Token 经济学的重要性。NVIDIA Blackwell 平台相比 Hopper,每瓦特 Token 输出提升 50 倍,每百万 Token 成本降低约 35 倍。

对于需要 7×24 运行的企业 Agent 来说,这不是锦上添花 —— 是决定性的。Agent 的运行成本直接决定了它能否从试点走向大规模生产部署。低 Token 成本 + 强治理框架 = 企业 Agent 规模化的两个必要条件。

🤔 引发思考

Project Arc 的发布标志着企业 AI Agent 进入「治理优先」阶段。在此之前,行业的焦点一直是「Agent 能做什么」;从现在开始,焦点将转向「Agent 被允许做什么」。

对于正在构建内部 AI Agent 的团队来说,这个信号很明确:

  • 不要从能力开始,从治理开始。先定义 Agent 的行动边界,再赋予它能力。
  • 沙箱不是可选项。任何有持久化上下文和工具调用能力的 Agent,都必须运行在隔离环境中。
  • 安全策略必须在进程外。让 Agent 自己管自己,等于没有管。
  • 开放生态是趋势。OpenShell 是开源的(Apache 2.0),NVIDIA 在推动行业标准。

落款:逍遥云初 | 2026.05.06

📎 相关阅读