TrendMedia.Au Logo

TrendMedia.Au

AI系统基石:被忽视的底层操作系统

Published in TrendAI27 May 20265 min read

真正的底层 OS

休假三周后,我打开笔记本电脑,立刻就感觉到了。

我想要构建的 AI 层缺乏坚实的基础。所有重要的东西仍然依赖于零散的 .env 文件、随机的 token 和纯粹的希望。它太脆弱了。那只是表面功夫。

独立创始人往往会跳过这些。它们不性感,没有华丽的演示,也没有“看我的 agent 施展魔法”的时刻。只有秘密、服务器、注册表和部署——这些无聊的底层设施决定了整个系统是真实的,还是一个当你移开视线就会崩溃的巧妙原型。

我拒绝继续在沙滩上建造。于是我花了两个专注的日子,构建了真正有分量的基础。

构建了什么

五件事,按照它们必须落地的精确顺序。没有捷径。

首先是凭证。我在墨尔本区域设置了 OCI Vault,配置了适当的 compartment 和主密钥。三十个秘密现在存储在那里——唯一的真相来源。我创建了一个清晰的 secrets-index.md 文件,其中列出了每个秘密的名称、用途及其 OCID。最新一批?所有 TrendMedia 文章发布凭证。已将其存入 Vault。删除了磁盘上的旧 .env 文件。完成。Vault 现在是单一来源。不再有复制粘贴的安全表面功夫。

接下来是计算。我配置了 s06——一个干净的 OCI ARM 实例。Postgres 仅绑定到 Tailscale 接口运行。没有公共 IP。没有开放端口。如果你不在网格中,什么也看不到。我创建了一个 tos_admin 超级用户,轮换了密码并将其存入 Vault。三个 n8n 容器(scheduler、automation、sandbox)现在共享同一个 Postgres,但分别位于独立的数据库中,并共享一个加密密钥用于迁移。Sandbox 无法触及生产数据。清晰分离。

然后是注册表。三个简单的 markdown 文件承担了繁重的工作:secrets-index.md、resources.md 和 server-map.md。所有内容都经过 git 跟踪、可 diff,并且人类和 agent 都能阅读。我重构了 tos-docs repo——core/、bau/、projects/——这样基础真相就存在于每个 agent 都能找到的地方,而无需费力寻找。

之后是部署。我在 Cloudflare Pages 上搭建了 BUD portal,地址是 bud.trendai.au,并由 Cloudflare Access 保护。一个 OCI 服务账户允许构建在部署时验证 Vault 连接。一个用于 trendai-au 用户的 GitHub PAT 处理 repo 自动化。干净。可验证。构建中没有嵌入秘密。

最后是迁移。将主 n8n 实例从即将淘汰的 MySQL HeatWave(n8n 无论如何都已停止支持)迁移到 s06 上的 Postgres。以前以明文形式存在于 docker-compose 文件中的加密密钥?已存入 Vault。

基础现在是真实的。

在华丽的 AI 层之下,是使其成为可能的基底:凭证、计算、注册表和可靠的部署路径。其上的一切现在都可以建立在不会崩溃的基础之上。

Foundation substrate diagram. Three vertical columns labelled Credentials, Compute, Registries. Under each, the actual components: vault (OCI Vault, ~30 secrets) | servers (s05/s06, future s07, Tailscale mesh) | files (secrets-index.md, resources.md, server-map.md). A bottom band shows Deploy (BUD portal, GitHub PAT, CF Pages). Above the columns, an upward arrow into a stylised “5 TOS Layers” block (Reasoning Kernel → BUD). Dark background, accent colour per column (teal / amber / violet), white labels.

在 AI 层之下——使其存在的基底。

混乱的中间阶段

本周初,我的大脑一片混乱。现有的设置就像一个叠叠乐——n8n 连接着不该使用的数据库,Supabase 承担了太多任务,秘密分散在三个地方。触碰其中一块,整个系统似乎都会崩溃。

让我摆脱困境的方法很简单:我使用 Claude CLI 作为思考伙伴。先处理最小的部分。隔离。验证。然后继续。

先是 Vault——空的脚手架。一个秘密。注册表条目。下一个秘密。几个小时内,混乱变成了清晰的序列。

这个教训不仅仅是技术上的。当一个系统感觉过于纠结而无法触碰时,真正的瓶颈很少是系统本身。而是你选择解开它的顺序。

重要的决定

我做了四个值得一提的决定:

OCI Vault 而不是 HashiCorp Vault、1Password 或 sops。我们已经在使用 OCI。再添加一个控制平面毫无意义。1Password 对人来说很好,但不适用于自动化。Sops 适用于 git 秘密,但对于集中撤销毫无用处。OCI Vault 由 KMS 支持,并且就在工作负载旁边。 – Tailscale mesh 而不是原始的 OCI VPC peering。更简单。端到端加密。最重要的是,它能跨独立的 OCI 账户干净地工作——这很重要,因为未来的 agent runtime 将存在于自己的账户中。 – Postgres 而不是 MySQL。这并非真正的选择——n8n 终止了对 MySQL 的支持,迫使我做出改变。很好。切换后 Postgres 一直非常稳定,并且其周边工具显然更优越。 – Markdown 注册表 而不是花哨的数据库。我希望像对待代码一样思考基础设施——作为拉取请求中清晰的 diff。Git 中的 Markdown 给了我这一点。Agent 可以轻松阅读。三个月后审查更改的未来的我也可以轻松阅读。简单即是胜利。

这实际带来了什么

s07——专用的 agent runtime——是下一步。它将从注册表中读取,仅从 Vault 中拉取所需的凭证(从不持有长期凭证),并将工作状态保存在 Postgres 中。

有了这个基底,真正的 TOS 层——Reasoning Kernel、Memory & Data、Orchestration、Agents 和 BUD——就可以建立在坚实的基础之上,而不是希望和胶带。

重温论点

剥去“AI Operating System”中的“AI”,剩下的仍然必须是一个真正的 operating system。

这就是这两天的意义所在:无趣、不光鲜、支撑一切的底层。跳过它,所有上层的 agent 魔法都只是表面功夫。

我一直在问自己——现在也问你——这个问题:

你的业务中,你一直回避的那个无聊的基础层是什么?因为它感觉不是“魔法发生的地方”?

先做那个层。其他一切才有可能。

系统的灵魂存在于基础之中。

把它建好,现实就会开始向你倾斜。

Feature Image: A wide editorial illustration in two complementary halves blending into one frame. Left half: a relaxed solo founder at a clean home-office desk, soft morning light, “first day back” mood — laptop open, coffee, calm. Right half: a subtle architectural x-ray overlay beneath and around the desk — glowing server racks, key/vault icons, network lines connecting nodes, a clean geometric infrastructure diagram visible like circuitry under the floor. The two halves blend at the centre, not split sharply. Warm-cool palette: amber and soft cream merging into deep blue and electric teal. Modern flat editorial illustration with cinematic depth. No text. No readable code. Optimistic, grounded, honest. 16:9 aspect.