structure｜1️⃣ 三级笔记、思想框架

核心论点

Simon Willison 提出 designing agentic loops（设计 agent 循环）是 AI 时代一项关键的新技能。Coding agent 的本质是「在循环中运行工具以达成目标」的暴力搜索器——只要你能把问题还原为一个清晰的目标和一组可迭代的工具，agent 就能暴力破解出有效方案。

My preferred definition of an LLM agent is something that runs tools in a loop to achieve a goal. The art of using them well is to carefully design the tools and loop for them to use.

一、YOLO Mode：放手让 agent 跑的艺术与风险

• Agent 天然危险：可能做出糟糕决策，或被 prompt injection 攻击劫持
• Solomon Hykes 的定义：An AI agent is an LLM wrecking its environment in a loop.
• 默认审批模式（每步确认）虽安全，但严重削弱 agent 暴力搜索的效能
• YOLO mode：一切操作自动批准，危险但也是释放最大生产力的关键

YOLO mode 的三大风险

1. 恶意 shell 命令删除/损坏重要文件
2. 数据窃取攻击（源代码、环境变量中的 secrets）
3. 机器被当作攻击跳板（DDoS、伪装来源）

三种应对策略

1. 安全沙箱：Docker / Apple container，限制文件、secrets、网络访问
2. 用别人的电脑（Simon 最推荐）：GitHub Codespaces、Code Interpreter、Codex Cloud——出了事是别人的机器在烧 CPU
3. 冒险上路：多数人的实际选择，靠运气和人工兜底

Anthropic 官方建议 Safe YOLO mode：在无网络容器中用 --dangerously-skip-permissions，锁定可访问的 trusted hosts 白名单防止代码外泄。

二、为循环挑选正确的工具

• MCP 可以引入，但 Simon 更偏好直接用 shell 命令——coding agent 天生擅长跑 shell
• 允许 agent 按需从 NPM/PyPI 拉取包，但要确保安装环境与主机隔离
• 比起 MCP，Simon 更倾向用 AGENTS.md 文件提供工具说明
  • 案例：安装 shot-scraper CLI，在 AGENTS.md 里放一条示例命令，agent 就能举一反三
• 好的 LLM 已经内置了海量工具的使用知识（playwright、ffmpeg 等）——在循环中它们能从错误中自我修复

三、颁发最小权限的凭证

• 理想情况不需要任何凭证，但特定问题需要认证访问
• 两条核心建议：
  1. 尽量提供 test/staging 环境的凭证，把损失控制在可接受范围
  2. 如果凭证能花钱，设置严格的预算上限
• 案例：调查 Fly.io 冷启动问题
  • 创建专用 org → 设 $5 预算 → 发 API key → 放 Claude Code 去跑
  • 这个项目让 Simon 首次意识到「designing an agentic loop」是一项重要技能

四、什么时候该设计 agentic loop？

• 适用条件：明确的成功标准 + 需要反复试错的过程
• 信号句："ugh, I'm going to have to try a lot of variations here"
• 典型场景：
  • Debugging：测试失败 → agent 跑测试 → 定位根因
  • 性能优化：SQL 太慢 → agent 自动加/删索引 → 测量影响
  • 依赖升级：批量升级 + 自动适配 breaking changes（前提：可靠的测试套件）
  • 容器瘦身：尝试不同 base image → 迭代 Dockerfile → 保证测试通过
• 共同主题：自动化测试是 agentic loop 的乘数效应放大器

The value you can get from coding agents and other LLM coding tools is massively amplified by a good, cleanly passing test suite.

五、这仍是一个非常新的领域

• Claude Code 2025 年 2 月才首次发布
• Simon 希望给这个技能一个清晰的名字——designing agentic loops——以此推动更有成效的讨论
• 还有太多东西需要探索

思想框架总结

Simon 提出的 agentic loop 设计框架可以概括为四步：

1. 解锁 YOLO mode：找到安全（enough）的方式让 agent 自主运行
2. 选对工具：为 agent 配备正确的 shell 命令 / CLI 工具 / AGENTS.md 指引
3. 最小权限凭证：只给 agent 完成任务所需的最小访问权限和预算
4. 匹配正确问题：有清晰成功标准 + 需要反复试错的问题，才值得设计 agentic loop

贯穿全文的底层逻辑：agent = 暴力搜索器，你的工作不是写代码，而是设计搜索空间（工具 + 循环 + 安全边界），让 agent 在其中高效地暴力求解。

concepts｜2️⃣ 关键概念、概念网络

一、 核心概念解析 (Core Concepts)

• 【Agentic Loop】(Agent 循环)

  • context：

    My preferred definition of an LLM agent is something that runs tools in a loop to achieve a goal. The art of using them well is to carefully design the tools and loop for them to use.

  • 费曼一下：Agentic loop 是 LLM agent 的核心运行机制——agent 在一个循环中反复调用工具、观察结果、修正错误，直到达成目标。它不是一次性的“输入-输出”，而是一个持续迭代的闭环过程。Simon 认为“设计这个循环”本身就是一项重要的新技能。

• 【Designing Agentic Loops】(设计 Agent 循环)

  • context：

    A critical new skill to develop is designing agentic loops.

  • 费曼一下：这是 Simon 在本文中正式命名的技能。它指的不是写代码，而是为 agent 精心设计「搜索空间」——选择哪些工具、如何组织循环、给多少权限、在什么环境中运行——让 agent 能高效地暴力搜索解决方案。

• 【Coding Agent】(编程 Agent)

  • context：

    One way to think about coding agents is that they are brute force tools for finding solutions to coding problems. If you can reduce your problem to a clear goal and a set of tools that can iterate towards that goal a coding agent can often brute force its way to an effective solution.

  • 费曼一下：Coding agent（如 Claude Code、Codex CLI）是能直接运行代码、测试、修复错误的 LLM agent。Simon 的核心洞见是把它们理解为「暴力搜索器」，而不是「智能程序员」——它们通过大量试错而非精准计算来找到解决方案。

• 【YOLO Mode】

  • context：

    Each of these tools provides its own version of what I like to call YOLO mode, where everything gets approved by default. This is so dangerous, but it's also key to getting the most productive results!

  • 费曼一下：YOLO mode 是让 agent 自动批准所有操作、不需要人工确认的运行模式。它是释放 agent 暴力搜索能力的关键，但也带来三大风险（文件损坏、数据窃取、被当跳板）。Simon 的关键洞见：安全与效率的平衡点在于「安全地开启 YOLO mode」，而不是不开启。

• 【Brute Force】(暴力搜索/暴力破解)
• 【AGENTS.md】
• 【Tightly Scoped Credentials】(最小权限凭证)
• 【Clear Success Criteria】(明确的成功标准)
• 【Prompt Injection】(提示词注入攻击)

二、 概念网络 (Concept Network)

• Agentic Loop 是整篇文章的中心概念，其他概念围绕它展开
• Coding Agent 是 agentic loop 的具体载体，而 Brute Force 是理解 coding agent 工作方式的核心类比
• YOLO Mode 是释放 brute force 能力的前提条件，但引入了安全风险
• Prompt Injection 是 YOLO mode 下的核心威胁，直接驱动了安全策略的设计
• Tightly Scoped Credentials 和沙箱环境是应对 YOLO mode 风险的两大安全机制
• AGENTS.md 是「为循环配备工具」的具体实践，解决「让 agent 知道能用什么」的问题
• Clear Success Criteria 是判断「这个问题适不适合用 agentic loop」的核心指标
• 全文逻辑链：Brute Force 思维 → 需要 YOLO Mode 解锁运行效率 → 需要 安全机制（沙箱 + Tightly Scoped Credentials）对冲风险 → 需要 正确工具（AGENTS.md）配备搜索空间 → 必须匹配有 Clear Success Criteria 的问题才能奉效

agentic reading｜3️⃣ 费曼 x3