← Conhecimento
Artigos Texto

BoBClaw: Um Substrato de Agentes Soberano e Harness-First

O whitepaper técnico. Como o BoB entrega execução de longo horizonte frontier-class e raciocínio verificável em modelos comuns que você possui.

Resumo

A forma dominante de usar muitos modelos de linguagem hoje é a agregação: um único endpoint que roteia uma requisição para qualquer modelo que você indicar. Isso já virou commodity. Resolve o “um só lugar para tudo” e nada mais, e não oferece proteção alguma quando o único modelo do qual o seu fluxo de trabalho depende é descontinuado, reprecificado ou, como aconteceu em 12 de junho de 2026, removido por determinação governamental.

O BoBClaw é a camada acima da agregação. É um substrato de agentes harness-first construído sobre uma única tese: confiabilidade e capacidade pertencem ao scaffold, não ao modelo. Trate o modelo como uma CPU intercambiável; coloque o valor diferenciado, verificação, orquestração, memória e governança, no harness ao seu redor. Feito corretamente, uma frota de modelos comuns e de pesos abertos, devidamente orquestrada e verificada de forma adversarial, entrega as duas coisas que realmente importam para o trabalho agêntico, execução de longo horizonte e raciocínio verificável, de nível de segurança, por uma fração do custo frontier, sem lock-in de fornecedor e sem nada que possa ser proibido por controle de exportação.

Isto não é um documento de posicionamento. O substrato aqui descrito em grande parte construiu a si mesmo: ao longo de quatro execuções de engenharia autônomas e de várias horas, produziu 789 novos testes com zero regressões, em inferência comum, por dígitos únicos de dólares cada. Sua espinha de verificação, um harness de honestidade real e livre de modelo, capturou toda afirmação falsa plantada de forma adversarial no conjunto plantado da execução ao vivo, e uma revisão adversarial dirigida capturou um caminho real de execução remota de código em nível de host antes do merge. A arquitetura é o argumento.


0. O Momento: capacidade que você aluga é capacidade que pode ser revogada

Em 9 de junho de 2026, a Anthropic lançou o Fable 5 e o Mythos 5, seus modelos mais capazes até então. Três dias depois, em 12 de junho às 17h21 ET, o governo dos EUA emitiu uma diretiva de controle de exportação exigindo que a Anthropic suspendesse o acesso de qualquer cidadão estrangeiro, dentro ou fora dos Estados Unidos, incluindo os próprios funcionários estrangeiros da Anthropic. A conformidade não podia ser feita de forma seletiva, então os modelos ficaram no escuro para todos os clientes. A preocupação declarada: um jailbreak que poderia expor a capacidade do Fable 5 de identificar e explorar vulnerabilidades de software de forma autônoma.

Reflita sobre o formato desse evento:

Isso já não é um risco hipotético a ser mitigado. É um modo de falha demonstrado de construir seu agente sobre um único modelo frontier alugado. A pergunta que todo construtor sério agora precisa responder é: o que é o seu agente no dia em que o modelo por trás dele é banido, descontinuado ou colocado fora de alcance por preço?

A resposta de um agregador é “roteie para um modelo diferente”, mas se o seu fluxo de trabalho dependia de capacidade da classe do Fable, rotear para um modelo mais fraco é degradação, não continuidade. A resposta do BoBClaw é diferente, e é o tema deste paper: a capacidade nunca residiu em um único modelo, para começar.


1. Agregação é o mínimo; o produto é a camada acima

Um agregador de modelos dá a você uma API para muitos modelos. Isso é genuinamente útil e genuinamente commoditizado, o OpenRouter, o LiteLLM e uma dúzia de outros fazem isso. É o “mini castelo”: um só lugar para tudo. Não torna um modelo fraco em forte, não realiza trabalho de múltiplos passos por conta própria e não torna você soberano, apenas intermedia o acesso.

O BoBClaw é a camada acima. Seu valor é tudo o que vem depois do “um só lugar para tudo”, e repousa sobre três adições:

  1. A verificação torna modelos baratos confiáveis. A saída de um modelo comum vale apenas tanto quanto a sua capacidade de saber quando ela está errada. O BoBClaw trata toda afirmação consequente e toda ação como uma hipótese a ser verificada de forma adversarial por uma família de modelo diferente antes que possa se sustentar (§4). É isso que converte “barato mas não confiável” em “barato e confiável”.
  2. A orquestração realiza trabalho de verdade. Uma única chamada roteada responde a uma pergunta. Uma frota, um planejador apex, gerentes, workers e críticos, coordenada sobre um ledger durável, completa um projeto: decompor, distribuir, construir, testar, reparar, verificar, mesclar (§3, §5).
  3. A disciplina de classe de capacidade a torna soberana. Nenhum backend é nomeado na lógica. Os papéis solicitam classes de capacidade com cadeias de fallback. Bana um modelo, perca uma chave ou veja um pico de preço, e a classe se re-resolve para o próximo provedor, local se necessário. O sistema sobrevive à perda de qualquer fornecedor individual, inclusive aquele que o orquestra (§9).

A tese harness-first

O enquadramento convencional trata o modelo como o produto e o código ao redor como cola. O BoBClaw inverte isso: o harness é o produto; o modelo é uma CPU intercambiável. Confiabilidade, autonomia, memória e governança são propriedades do scaffold, projetadas e testadas como qualquer outro sistema. O modelo fornece inteligência bruta; o harness fornece tudo o que torna essa inteligência confiável e possuível.

A consequência é a afirmação central deste paper: você não precisa possuir um modelo frontier para obter resultados agênticos frontier-class. Você precisa possuir o harness.

Escopo honesto. Não afirmamos que os modelos subjacentes do BoBClaw igualem a inteligência bruta do Fable 5 em um benchmark comparável, e este paper não faz tal medição. A afirmação é mais estreita e defensável: os resultados que importam para o trabalho agêntico, execução sustentada de múltiplos passos e revisão verificável de nível de segurança, são reprodutivelmente alcançáveis por meio de orquestração e verificação em modelos que não estão, e não podem estar, sob controle de exportação.


2. Visão geral do sistema

O BoBClaw são quatro serviços cooperantes mais um pequeno conjunto de daemons de apoio.

ServiçoPapelPorta padrão
coreO motor de orquestração. Um grafo de agentes compilado: roteamento, dispatch, a topologia worker/manager/critic, backends de modelo, a espinha de verificação, memória, orçamento e o ledger durável.7825
gatewayAPI REST + WebSocket e UI web. Autenticação JWT/TOTP, conversas, projetos, aprovações, teams, visão de roteamento, inspeção de memória.7826
claude-pipelineUm wrapper fino invocado como subprocesso para tiers de planejamento orientados por CLI.(subprocesso)
appUm cliente desktop Kotlin Multiplatform, o driver diário: chat em streaming, histórico de conversas, um canvas de artefatos, a visão de roteamento/JOAT e um construtor de teams.(nativo)

Daemons de apoio (todos opcionais, todos intercambiáveis): Postgres (estado de produção; SQLite no caminho quente), Qdrant (vetores), Redis (pins de throttle e um cache de saúde de TTL curto) e hosts de modelo locais (llama.cpp / Ollama / LM Studio) para embeddings, extração e inferência on-device.

Tudo o que é substantivo acontece dentro do grafo compilado do core: um turno de usuário entra, é roteado para uma face/backend, despachado, opcionalmente distribuído por uma frota, verificado e comprometido a um ledger append-only que é a verdadeira memória do sistema. As seções restantes percorrem as partes desse grafo que constituem a “camada acima da agregação”.


3. Orquestração de frota: papéis, teams e descorrelação

A agregação roteia uma chamada. O BoBClaw roteia um papel dentro de um team.

Papéis. O trabalho é expresso em três papéis, apex (o planejador/orquestrador que decompõe uma tarefa e sintetiza resultados), worker (subagentes que fazem o trabalho braçal) e critic (auditores adversariais). Um papel é resolvido para um backend concreto por uma camada de roteamento (core/teams.py), não fixado em código no ponto de chamada.

Backends. O substrato fala com um conjunto amplo e deliberadamente heterogêneo de provedores: Qwen local via llama.cpp, DeepSeek V4 (o burro de carga de mão de obra barata), Kimi (coordenação de tier de plano), GLM (tier de auditoria/crítica), Gemini, a família Claude (assinatura CLI ou API), Codex, MiniMax, Ollama, LM Studio e um pool local OpenCode. Novos backends são adições locais em arquivo sob core/backends/; a topologia não muda quando um é adicionado ou removido.

Teams e profiles. Um team é um roster papel→backend (ex. apex=Kimi, worker=DeepSeek, critic=GLM). Um profile (ou “face”, ~19 disponíveis) sobrepõe o como a um papel: system prompt, backends preferidos e de escalação, postura e limites. Os teams são autoráveis pelo usuário como YAML; os profiles são validados e versionados. É isso que permite que a mesma tarefa rode como um único worker barato, uma distribuição de dezenas ou um conselho deliberativo de múltiplos assentos, por configuração e não por código.

Descorrelação entre famílias, o princípio de design que torna a verificação significativa. Os backends são agrupados em famílias (FAMILY_BY_BACKEND). A regra: um critic deve vir de uma família diferente da do ator que audita. Um worker DeepSeek nunca é verificado por outra instância DeepSeek; é verificado por GLM ou Claude. A escalação dentro da mesma família é proibida por construção. Erros correlacionados, o modo de falha em que um modelo carimba com confiança o seu próprio tipo de erro, são eliminados por design, não deixados à sorte. Esse princípio é o que dá dentes à §4.

Roteamento consciente de saúde. Uma sonda de saúde ao vivo (core/health_probe.py, ligada na inicialização) espelha o caminho real de chamada de cada backend, faz cache dos resultados brevemente e falha aberto. Quando um backend preferido está sob throttle ou fora do ar, o roteador percorre a cadeia de escalação em vez de travar.


4. A espinha de verificação: onde o barato se torna confiável

Este é o diferencial. A maioria dos sistemas gera e então apresenta. O BoBClaw gera e então verifica de forma adversarial contra um critic descorrelacionado, então apresenta, e trata “não foi possível verificar” como um resultado de primeira classe e não falho, em vez de uma passagem silenciosa.

A espinha tem quatro partes, cada uma um módulo testado, usadas por ambas a lane de pesquisa e a lane de GUI:

O resultado medido, declarado com precisão. A métrica de honestidade é ela própria mensurável: false_pass_rate (core/ses/falsepass.py) é um harness real e livre de modelo que pontua a fração de afirmações deliberadamente plantadas, plausíveis-mas-erradas que um critic passa incorretamente. Na execução ao vivo ponta a ponta, um critic real de outra família produziu zero passagens falsas no conjunto plantado, mas esse conjunto era pequeno e escrito à mão (um punhado de itens), então a afirmação honesta é “o harness mede a taxa de passagem falsa e o critic pontuou limpo no conjunto plantado”, não “uma taxa garantida de 0%”. Endurecê-lo é um corpus plantado maior, executável por terceiros. O ponto se sustenta de qualquer forma: modelos baratos não são confiados, são verificados, por uma família diferente, com um viés de falha por padrão.


5. A lane de build: construção contract-first com um portão de verificação isolado

A lane de build é a demonstração mais clara de revisão “de nível de segurança”, porque aqui o sistema executa código que um modelo escreveu.

O caminho no grafo é: build_request → plan_contracts → dispatch → worker ×N → join → verify → {repair → verify}* → END.

Prova, não promessa. Em uma execução ao vivo ponta a ponta, 8 contratos produziram 8 implementações que compilaram, rodaram e passaram 8/8 testes, totalmente isoladas em sandbox. Uma subsequente revisão de código de esforço máximo e dirigida do branch completo capturou um RCE real em nível de host, uma assinatura de contrato não filtrada sendo importada no host, além de um caminho de falso-verde e uma corrupção de parsing, tudo antes do merge. A postura de segurança é de duas camadas, e nenhuma das camadas confia no modelo: uma revisão adversarial dirigida é o que capturou o RCE (detecção), e o sandbox Docker é o que contém o código escrito pelo modelo em tempo de execução (mitigação). O enquadramento honesto: o portão assume mau comportamento e a revisão caça por ele, não que o portão autônomo detectou o RCE por conta própria.


6. A lane de pesquisa: raciocínio citado, verificado por afirmação

A lane de pesquisa é um loop orquestrador-worker com reconstrução iterativa de rodadas, e é onde o portão de entailment (§4) se torna uma garantia voltada ao usuário.

O contrato de saída é, portanto, incomumente forte: os números que sobrevivem até a página tiveram suas fontes citadas relidas por um critic descorrelacionado, e os números que não puderam ser substanciados aparecem como desconhecidos-conhecidos explícitos em vez de fabricações confiantes.


7. A lane de uso de computador via GUI: agir, depois verificar que o mundo mudou

Operar uma UI real é onde os agentes com mais frequência “têm sucesso” no papel enquanto falham na realidade. A lane de GUI do BoBClaw (core/gui/) aplica a mesma disciplina harness-first e de falha por padrão a pixels e árvores de acessibilidade.

O loop interno é capture → ground → act → verify, construído andar por andar como lógica determinística sem modelo antes que qualquer modelo seja introduzido:

O padrão é consistente nas três lanes: o modelo propõe; portões determinísticos e críticos descorrelacionados dispõem; “pronto” é conquistado contra pós-condições verificadas.


8. O substrato de memória e conhecimento

Um agente sem memória durável re-deriva as mesmas conclusões para sempre. A memória do BoBClaw é projetada de modo que o raciocínio compile uma vez e permaneça atual.

A arquitetura de conhecimento (a fundação lançada no whitepaper de conhecimento v1.0, agora parte deste sistema). O conhecimento é compilado em stores estruturados e persistentes em vez de re-recuperado de documentos brutos a cada consulta; pessoas e projetos são entidades de primeira classe com contexto acumulado; e uma hierarquia de agentes de lint, pequenos modelos de menos de 2B para monitoramento contínuo de baixo custo, modelos de médio porte para análise substantiva, modelos frontier para reconhecimento de padrões entre sistemas, atua como um sistema imunológico que mantém a base de conhecimento coerente e permite que o agente melhore a partir de seu próprio histórico operacional.

O módulo de memória de runtime (core/memory/). Um log de eventos L0 append-only (SQLite), extração de fatos L1 em background (um pequeno modelo local), dedup baseado em fingerprint e um passo de recall que insere fatos relevantes no prompt antes do dispatch e falha aberto, um vetor faltante é ignorado, nunca fatal.

Convergência sobre um único substrato durável (LKS). Em vez de manter uma implementação de memória paralela para sempre, o BoBClaw está convergindo sua memória sobre o Local Knowledge Substrate por meio de uma ponte de leitura/escrita protegida (core/memory/lks_adapter.py, write_fence.py): uma guarda de vetor-zero, um fingerprint de embedding que carimba as coleções com versão, um adaptador de leitura e uma cerca de escrita de escritor único, consolidados sobre um único vector store.

O ledger é o sistema de registro (core/ledger/, core/harness/). O estado é um DAG de commits git-nativo append-only, um commit por trajetória no merge. O contexto é reconstruído fatiando o ledger, não confiando no que quer que reste no context window de um modelo, e notas de falha estruturadas sempre sobrevivem à compactação. Um supervisor (core/harness/supervisor.py) trata um subagente morto como um erro retentável (“gado, não bichos de estimação”) e pode reproduzir-e-retomar a partir do ledger. Esta é a camada de durabilidade que torna a autonomia de longo horizonte (§9) possível sem um humano cuidando do contexto.


9. Soberania e economia

Tudo acima converge em duas propriedades que a agregação sozinha não pode fornecer.

9.1 Soberania como propriedade derivada

Como nenhum backend é nomeado na lógica, apenas papéis resolvidos para classes de capacidade com cadeias de fallback (core/teams.py), o substrato entregue não tem dependência rígida de nenhum modelo ou fornecedor único. Essa é a afirmação precisa e defensável. Aqui está exatamente o que ela significa e o que não significa:

É por isso que a spec que define este sistema já citava a suspensão como justificativa de design antes deste paper ser escrito: “A suspensão do Fable 5 / Mythos 5 em 12 de junho de 2026 tirou um modelo implantado do ar para toda a sua base global de usuários em questão de horas por meio de uma única diretiva.” A soberania era a premissa de design; a notícia a confirmou.

9.2 A economia

O tier caro é orquestração e adjudicação; a mão de obra sustentadora tem preço de commodity. Medido na execução de build autônoma (§ abaixo), amortizado:

TierPapelCusto amortizadoBase
DeepSeek V4 FlashWorker, escreveu todo o código + 294 testes< $1Custo marginal PAYG real
KimiApex, coordenação de fan-out~$0,46~5% de uma semana em um plano de $40/mês
GLM 5.2Critic, auditoria adversarial~$0,15~1% de uma semana em um plano de $65/mês
Claude OpusConductor + gerentes, apenas orquestração~$2~9% de uma semana em um plano Max de $100/mês
Total,~$3-4para um build autônomo de ~5 horas

Correção registrada (2026-06-30): um retrospecto anterior amortizou o tier Claude contra o plano mensal e reportou ~$9. A base correta é ~9% da cota de uma semana ≈ ~$2, cerca de 4× menor, o que reduz o total da execução de ~$10-11 para ~$3-4. As linhas Kimi/GLM já eram semanais. Reconciliado: a auditoria independente classifica o total corrigido de ~$3-4 como suportado (a aritmética é sólida), com a ressalva de que apenas o DeepSeek é custo marginal pay-as-you-go real, Kimi, GLM e Claude são frações amortizadas de planos fixos, não cobranças medidas separadamente.

Ressalvas honestas, declaradas com clareza:

A conclusão: uma execução de engenharia autônoma de cinco horas, totalmente verificada, por alguns dólares amortizados, e o componente mais caro é o orquestrador substituível, não a mão de obra.


10. Evidências e limitações

O que foi construído e medido

Limitações e escopo honesto

Reprodutibilidade

O substrato é inspecionável. Toda afirmação neste paper mapeia para um módulo, uma contagem de testes ou um registro de execução no repositório BoBClaw, a espinha de verificação (core/verify/, core/ses/), o sandbox de build (core/build/), o ledger (core/ledger/) e os documentos de retrospecto e resultados sob tasks/. A auditoria de ledger de afirmações que acompanha este paper registra cada número sustentador contra sua fonte.


11. Conclusão

A semana em que um modelo frontier foi tirado do ar por determinação governamental é a semana em que a suposição central da indústria, alugue o melhor modelo e construa em cima dele, deixou de ser segura. O acesso é condicional. A geografia é decisiva. Capacidade que você não possui pode ser retirada entre uma terça e uma sexta-feira.

O BoBClaw é uma aposta de que a coisa durável a possuir não é um modelo mas um harness: um substrato que torna modelos comuns confiáveis por meio de verificação descorrelacionada, produtivos por meio de orquestração e seus por meio de soberania de classe de capacidade. A agregação dá a você uma chave para o castelo de outra pessoa. O BoBClaw é a camada acima, aquela que continua funcionando quando a chave é revogada.


Rascunho v0.95, afirmações sustentadoras reconciliadas contra a auditoria independente de ledger de afirmações (audits/claims-ledger-v1.md). Documento companheiro: a história de construção “How BoB Built BoB” (a execução de dogfooding, em forma narrativa).