平台架构
X-Hub 是一套 Hub-first 的受控执行架构。终端不是信任锚点。路由真相、记忆真相、授权、策略、审计和终止权集中留在 Hub,再由 X-Terminal 这样的配对表面把控制平面变成可用的产品体验。
公开架构视图 这一页关注系统外形和信任边界,用产品层语言讲清楚为什么这样设计。它不会公开所有内部运行路径、 实现边缘或还在变化中的 UI 细节。
架构主张
很多 agent 系统会把提示词、工具、记忆、密钥和副作用执行一起压进同一个运行时信任区。 X-Hub 反过来做:
- Hub 持有信任、策略、授权、审计和记忆真相
- 配对表面可以很强,但不会因此自动成为主权运行时
- 更薄的客户端也可以消费治理后的能力,而不必获得同级信任权
- 所有外部通道应先汇入同一控制平面,再影响高信任执行
系统外形
这张图想表达三件事:
- X-Terminal 走的是深配对链路,是主要高信任产品表面
- 通用终端和其他客户端也能接到治理后的能力面,但不会自然变成同级信任根
- 共享的 Hub 层负责维持系统真相、策略、授权与用户控制
部署姿态
这套拓扑是明显以操作者为中心的:
- 用户自有的 Hub 主机保持中心位置
- 配对交互表面位于控制平面之上,而不是和它并列
- 本地运行时和可选外部服务都作为附着边界存在,而不是暗中替代控制平面
- 云服务可以使用,但不必成为策略和运行时真相最终落点
表面分工
| 表面 | 架构角色 |
|---|---|
| Hub | 持有信任、路由、记忆真相、授权与审计的控制平面 |
| X-Terminal | 提供受控交互、监督体验和操作者可见性的深配对表面 |
| 通用终端 / 第三方客户端 | 连接治理后能力面的薄客户端,不继承完整信任边界 |
| 外部服务与运行时 | 可选的执行或推理表面,但仍从属于用户自有控制平面 |
这层分离很关键,因为它允许产品体验做深,而不用让每个表面都变成最终 authority 所在之处。
公开设计原则
- 把信任锚点留在 Hub,而不是终端、插件包或云默认配置里
- 允许强交互表面存在,但不把信任边界塌进 UI
- 让本地与远程执行路径共存于同一用户控制平面下
- 让外部 ingress 先汇聚,再影响高信任执行
- 让整套架构足够可理解,操作者能判断 authority 到底落在哪一层
为什么这种形状重要
正是这套结构,才让 X-Hub 后面的很多能力成立:
- 更高自治但不至于无监督扩散
- 本地优先但不放弃策略和审计
- 外部通道接入但不制造影子 authority
- 能力复用而不是插件轮盘赌
- 多模态监督而不打散记忆真相和运行时真相