← 返回 2026-06-24

AOHP:面向个性化、高效和安全交互的开源操作系统级Agent工具框架 AOHP: An Open-Source OS-Level Agent Harness for Personalized, Efficient and Secure Interaction

Shanhui Zhao, Jiacheng Liu, Guohong Liu, Jichao Yan, Jialei Ye, Yuhao Yang, Hao Wen, Shizuo Tian, Yizhen Yuan, Yuxuan Chen, Yunxin Liu, Ju Ren, Ya-Qin Zhang, Chao Huang, Yao Guo, Yuanchun Li 📅 2026-06-22 👍 33 2026-07-13 08:37
AI Agent 信息流安全 操作系统 服务组合 移动计算

基于Android改造的agent原生OS,提升完成率21.12%,降低token成本51.55%

前置知识

Agent-Native OS(Agent原生操作系统)

一种将AI agents作为操作系统一级公民的新型操作系统架构。与传统以应用为中心的OS不同,agent-native OS在设计时就考虑了agents的执行特性,如并行任务处理、跨应用上下文管理、工具调用优化等。这种OS为agents提供了专门的接口、执行环境和安全机制,使agents能够更高效、安全地完成跨应用的复杂任务。

论文的核心就是设计一个agent-native OS,理解这个概念才能明白为什么需要重新设计操作系统来支持agents。

Information Flow Tracking(信息流跟踪)

一种安全技术,用于追踪敏感数据在系统中的传播路径。通过为敏感数据添加污点标记(taint metadata),系统可以记录数据如何从一个源头流向一个或多个终点。当数据在系统边界被显示、存储、提交或传输时,系统会检查其污点标记,根据安全策略决定是否允许该操作。这种方法比传统的权限控制更精细,因为它关注的是数据的实际使用方式而非仅仅是应用身份。

AOHP的安全机制核心就是信息流跟踪,这是理解论文如何保护隐私的关键。

Virtual Display(虚拟显示器)

一种将应用的图形渲染与物理显示解耦的技术。在移动OS中,传统上应用的生命周期与前台显示紧密耦合,只有前台应用才能获得完整的执行资源。虚拟显示器技术允许OS创建多个轻量级的虚拟显示环境,使应用可以在后台继续渲染和执行,而不占用物理屏幕。对于agents来说,这意味着可以同时运行多个独立的工作流,而不需要抢占用户当前使用的界面。

这是AOHP实现高效并行交互的核心技术之一,理解它才能明白agents如何在后台高效工作。

Service Composition(服务组合)

将来自不同应用的独立服务能力组合成更高级别的工作流程。在传统的应用中心模式中,用户需要在不同的应用之间手动切换来完成一个复杂任务。服务组合允许OS自动发现、编排和管理来自多个应用的能力,为用户提供任务级别的统一入口。例如,购物入口可以聚合来自多个电商平台的产品搜索、比较、优惠券和购买功能。

这是AOHP实现个性化体验的关键机制,理解它才能明白为什么需要OS级的服务发现和组合。

研究动机

现有个人操作系统(如Android)的设计假设是以应用为中心的工作流程,界面由系统和应用开发者固定,图形界面为人类视觉操作而非agent操作而渲染,软件生命周期假设同一时间只有一个活跃应用,权限机制在应用边界强制保护但无法跟踪敏感数据在agent的上下文和工具调用之间的传播。这些假设在agent驱动的工作流程中造成了显著的执行开销和安全风险。例如,在多个购物应用间比价时,传统OS需要用户手动切换应用、重复输入偏好,而agents需要解析复杂的GUI像素、执行脆弱的点击导航,这不仅效率低下,还可能在跨应用数据流中泄露隐私。

本文的目标是本文的目标是通过操作系统级别的抽象和框架修改,将Android重新设计为一个agent-native工具框架,保留Android的硬件支持、开源框架和应用兼容性的同时,添加使服务可组合、agent可访问且可审计的机制。具体来说,要实现三个核心机制:(1)个性化服务组合,用于合成任务级别的入口;(2)高效的agent接口,支持并行后台执行、结构化UI和事件流;(3)安全的信息流,通过信息流跟踪沙箱化敏感值。

与已有工作不同的是,与现有的GUI agent和移动任务自动化系统(如AutoDroid、Agent S、OS-Copilot、AppAgent、UI-TARS、Mobile-Agent、SeeAct等)不同,这些系统主要将操作系统视为固定的底层,致力于改进agent策略本身。AOHP的独特切入角度是重新设计操作系统本身——不仅仅是提出更强的agent策略,而是重新设计这些策略所依赖的操作系统接口和执行机制。与传统的Android自动化系统(如DroidBot)相比,AOHP不是将GUI理解作为一个组件,而是将界面理解、执行假设和交互表面等关注点移入操作系统抽象中。

核心方法

AOHP的整体架构分为四层:底层是Android生态系统,保留现有应用、系统服务、硬件资源和平台API作为兼容性基础;第二层是统一交互接口,将传统Android接口和新兴agent接口标准化为四种调用模式:API、CLI、结构化UI和渲染GUI;第三层是AOHP能力层,将应用、系统组件和agent工具提供的服务和agent函数重新组织为系统内存、技能和UI工具;顶层是个性化服务组合,将这些能力组装成适应用户当前任务的新用户界面。此外,AOHP还包括两个跨层机制:高效agent接口和安全信息流。

AOHP的核心创新点是将agents视为操作系统的一级公民,通过OS级别的抽象使agents能够:(1)动态组合跨应用服务形成个性化任务入口,而不是让用户适应预定义的固定界面;(2)使用紧凑的符号路径而非视觉操作,在后台并行执行任务,通过事件流而非轮询获取异步事件;(3)默认情况下不观察私有明文,通过OS级别的信息流跟踪、审批和审计来强制执行隐私策略。这与现有系统的本质区别在于:现有系统假设应用中介的交互,而agents具有不同的操作特性——它们处理结构化文本比像素更高效,并行运行多个任务,保留长期上下文,工具调用速度比人类检查速度快。

方法步骤详情

AOHP的方法分为三个核心部分:第一步是个性化服务组合,系统agent通过发现跨API、CLI和GUI通道的服务能力来构建入口,每个能力用输入输出模式、前置条件、副作用和策略标签表示,然后agent可以将能力组合成更高级别的工作流。第二步是高效agent接口,包括五个子机制:(2.1)通过轻量级虚拟显示器实现并行后台交互;(2.2)将GUI抽象为结构化表示以降低冗余;(2.3)提供原生沙箱运行时供agent执行代码和处理数据;(2.4)统一文件快捷方式使GUI影响存储的操作反映回结构化文件观察;(2.5)事件流抽象让agent订阅、处理和取消订阅连续数据源。第三步是安全信息流,包括四个子步骤:(3.1)策略评估,基于数据源、请求目的、目的地、动作敏感性和审批状态;(3.2)敏感源清理,用类型化占位符(如)替换明文;(3.3)可信vault和执行,agent提交意图到可信vault执行器,执行器检查策略并在可信环境中执行操作;(3.4)数据流污点跟踪,敏感数据进入AOHP后关联污点元数据,在复制、转换、组合和传输时跟踪信息流链。

技术新颖性

AOHP的技术新颖性体现在多个方面:首先,这是首个在移动操作系统级别探索agent中介交互架构原型的开放测试平台;其次,AOHP引入了任务级别的服务组合模型,通过系统内存实现跨服务个性化,将OS管理从应用边界扩展到任务边界;第三,AOHP提供了agent原生接口,包括虚拟显示、结构化UI、沙箱运行时和事件流,这些都是针对agents的操作特性(并行性、长期上下文、工具调用速度)专门设计的;第四,AOHP在移动OS级别实现了信息流控制,继承了TaintDroid的移动污点跟踪传统,但将其扩展到app UI、文件、事件流、vault引用、生成的入口和用户审批循环。

Architecture overview of AOHP
Figure 2: Architecture overview of AOHP

实验结果

AOHP使用OpenClaw agent在自制的30个真实移动任务上进行评估,这些任务覆盖五个核心能力类别:GUI操作、非GUI操作、事件捕获、多源信息检索和内存管理,以及一个组合这五种原型的混合类别。与stock Android相比,OpenClaw在AOHP上达到75.56%的平均完成率(20个任务完全解决,5个任务部分完成),而在stock Android上完成率为54.44%(13个任务完全解决,7个任务部分完成),AOHP因此将平均完成率提高了21.12个百分点。在效率分析中(仅计算两种设置都完全解决的11个任务),AOHP减少了44.64%的工具调用(233→129)、44.21%的执行时间(33.94分钟→18.93分钟)、51.55%的token消耗(7.10M→3.44M)和47.62%的LLM请求(273→143)。安全案例研究使用一个带注释的支付应用程序测试五个场景,AOHP成功强制执行了所有案例:敏感显示作为vault引用出现在agent可见的UI中而非明文,普通操作无需额外批准,敏感操作需要用户同意,超出声明策略范围的请求失败关闭,敏感事件流编辑敏感字段并保留污点元数据。

Execution cost on the tasks solved completely by both settings
Table 1: Execution cost on the tasks solved completely by both settings
Security checks using an annotated payment application
Table 2: Security checks using an annotated payment application
Overall comparison between OpenClaw on AOHP and stock Android
Figure 3: Overall comparison between OpenClaw on AOHP and stock Android
查看结构化数据
任务指标本文基线提升
任务完成率 平均完成率 75.56% 54.44% +21.12个百分点
工具调用效率 工具调用次数(完全解决的任务) 129 233 -44.64%
执行时间效率 总执行时间(分钟,完全解决的任务) 18.93 33.94 -44.21%
Token消耗效率 总Token数(完全解决的任务) 3,441,759 7,103,192 -51.55%
LLM请求效率 LLM请求数(完全解决的任务) 143 273 -47.62%

局限与改进

AOHP的局限性体现在多个方面。在兼容性方面,AOHP目前对具有自定义渲染、反自动化逻辑和未记录行为的应用支持有限,这需要更强的结构化UI提取、可预测失败的渲染GUI回退以及为应用开发者提供更清晰的兼容性指南。在能力发现方面,AOHP依赖于准确的服务描述、副作用标签和策略元数据,目前需要手动注释,未来版本需要结合开发者提供的描述符和自动能力推断,以便用较少的手动注释集成传统应用。在资源调度方面,后台执行必须尊重移动资源、热和内存限制,更完整的原型应该为虚拟显示器、沙箱运行时、事件流和前台用户活动暴露调度策略。在策略可用性方面,细粒度的信息流控制取决于用户能够理解的批准,未来工作需要改进批准UI、跟踪审查和策略解释(目的、目的地、保留和同意)。此外,AOHP是基于AOSP的分支,这意味着它可能难以跟上Android主分支的快速迭代,需要持续维护同步工作。

独立分析的弱点

AOHP的一个独立分析弱点是生成的服务入口可能引入新的可用性挑战。用户可能难以理解这些入口的来源、数据流和隐私含义,特别是当多个应用的能力被组合时。改进方向是开发透明的可视化工具,显示入口的能力图、数据来源和隐私策略,让用户能够审计和修改组合逻辑。另一个弱点是AOHP的性能提升依赖于准确的结构化UI提取,但对于使用自定义渲染引擎或频繁更新UI的应用,结构化提取可能不可靠或过时。改进方向是结合基于学习的UI理解和符号分析,构建更鲁棒的UI抽象层,并提供开发者注释机制让应用明确声明UI语义。第三个弱点是信息流控制的细粒度可能导致过度的用户批准请求,造成审批疲劳。改进方向是实现智能的批准策略学习,基于用户历史行为、上下文和任务重要性动态调整批准阈值,并将多个相关的敏感操作批处理为单个批准请求。第四个弱点是AOHP的评估仅使用了单个agent(OpenClaw),可能存在agent特定的偏差。改进方向是在多个agent框架(如AutoDroid、Mobile-Agent、SeeAct等)上进行广泛评估,验证AOHP对不同agent策略的通用性。最后,AOHP的安全机制主要关注隐私保护,但对其他攻击面(如间接提示注入、工具劫持)的防御可能不足。改进方向是结合FIDES和f-secure LLM系统的信息流控制技术,在操作系统级别实现更全面的agent安全框架。

未来方向

作者提出的未来工作方向包括四个主要方面:(1)扩展兼容性覆盖,支持具有自定义渲染、反自动化逻辑和未记录行为的应用,需要更强的结构化UI提取、可预测失败的渲染GUI回退以及为应用开发者提供更清晰的兼容性指南;(2)改进能力发现,结合开发者提供的描述符和自动能力推断,以便用较少的手动注释集成传统应用;(3)资源调度,为虚拟显示器、沙箱运行时、事件流和前台用户活动暴露调度策略,尊重移动资源、热和内存限制;(4)策略可用性,改进批准UI、跟踪审查和策略解释(目的、目的地、保留和同意)。基于AOHP的成果可延伸的未来工作方向包括:(5)将AOHP的架构原则移植到其他移动操作系统(如iOS)和桌面操作系统(如Windows、macOS、Linux),验证agent-native OS设计的跨平台适用性;(6)探索更高级别的服务组合模型,支持动态工作流生成、多agent协作和分布式任务编排;(7)研究AOHP对开发者生态的影响,开发工具和框架帮助应用开发者声明服务能力、副作用标签和策略元数据,降低集成成本;(8)长期跟踪AOHP在实际部署中的用户体验、隐私感知和性能影响,收集真实用户反馈以迭代设计;(9)将AOHP的信息流跟踪与现有的移动安全框架(如Android的权限系统、SELinux)集成,提供统一的安全策略语言和执行引擎;(10)研究AOHP对应用商业模式的影响,探索新的计费和激励机制,鼓励应用开发者参与agent-native生态系统。

复现评估

AOHP提供了开源的源代码,可在GitHub(https://github.com/aohp-os/aohp)获取,这是复现性的重要基础。然而,复现AOHP的完整评估面临几个挑战。首先,AOHP基于AOSP构建,需要设置Android开发环境,包括Android Studio、NDK、SDK和特定的构建工具链,这对不熟悉Android开发的 researchers 来说有较高的学习曲线。其次,评估使用了30个自制的真实移动任务,论文在附录A中列出了这些任务,但可能需要详细的任务定义、初始状态设置和成功标准描述,以确保其他研究者能够准确复现实验。第三,评估使用了OpenClaw agent,虽然OpenClaw可能也有开源版本,但需要配置特定的LLM API(可能是GPT-4或其他模型),这会引入额外的成本和依赖。第四,安全案例研究使用了一个带注释的支付应用程序,需要确保这个应用程序的可用性或提供详细的注释规范。第五,性能指标(token消耗、执行时间)可能依赖于硬件配置、网络延迟和LLM API响应时间,需要报告详细的实验环境配置。总体而言,AOHP的复现性处于中等水平:核心代码和架构是开放的,但完整复现所有实验需要较高的技术门槛和潜在的API成本。建议作者提供Docker容器、预构建的Android镜像、详细的任务规范和评估脚本,以降低复现难度。