HearthNet: Edge Multi-Agent Orchestration for Smart Homes

本文介绍了 HearthNet，这是一种部署在家庭边缘端的持久化多智能体编排系统，它通过利用角色专用大语言模型、MQTT 通信及 Git 共享状态，在本地实现了对异构智能家居设备的自然语言控制、故障恢复及冲突解决，同时确保敏感数据与执行逻辑留在本地。

要点

这篇论文介绍了一个名为 HearthNet（壁炉网）的新系统，它旨在解决智能家居中一个非常头疼的问题：如何让家里的各种智能设备“听懂”人话，并且能安全、聪明地协同工作，而不会乱套。

想象一下，现在的智能家居就像一群各自为政的哑巴员工。你想让它们一起工作，通常得自己写复杂的规则（比如“如果下雨且天黑，就关窗帘”）。一旦某个设备坏了，或者两个规则打架了（比如一个说“开灯”，一个说“关灯”），系统就崩溃了，还得你亲自去修。

HearthNet 就像给家里请了一群专业的“管家团队”，它们住在你的本地路由器或旧电脑（边缘设备）上，而不是依赖遥远的云端大脑。

下面我用几个生动的比喻来解释它是如何工作的：

1. 核心架构：一个高效的“管家团队”

HearthNet 不像传统系统那样让每个灯泡都自己当“智能体”，而是组建了一个分工明确的四人小组：

• 总管家（Root Agent，叫 Rupert）：
  • 角色：就像公司的CEO。
  • 工作：你不需要告诉它具体怎么操作，你只需要说：“我要在家办公了。”Rupert 会立刻理解这个意图，然后拆解任务：把灯光调成适合工作的色调，把背景音乐调小，把电视关掉。它负责发号施令，但不直接动手。
• 部门经理（Manager Agents）：
  • 角色：就像各部门主管。
  • 工作：
    • Jeeves（负责家里）：管灯光、空调、音响。它懂 Home Assistant 系统。
    • Darcy（负责手机）：管那些没有开放接口的手机 App 或自带传感器的设备（比如手机摄像头）。
  • 特点：它们只负责在自己的一亩三分地里想办法，没有直接控制设备的权力。
• 图书管理员（Librarian Agent，叫 Dewey）：
  • 角色：就像档案记录员，手里拿着一本永远更新的Git 账本。
  • 工作：它不参与指挥，也不动手。它只是在一旁默默记录：谁在什么时候说了什么，谁批准了什么。所有的决策、冲突解决过程，都会被它记在“账本”上。如果系统崩溃重启，大家就查这本账本，瞬间恢复记忆。
• 执行工人（Device Adapters）：
  • 角色：就像干活的工人。
  • 工作：它们不是智能体，只是听话的机器。只有拿到“工单”才会干活。

2. 核心机制：如何防止“乱指挥”？

这是 HearthNet 最厉害的地方。为了防止管家们发疯或者被黑客利用，它设计了两道安全锁：

A. “工单”制度（Actuation Leases）

在旧系统里，一旦发出指令，设备就执行。但在 HearthNet 里：

1. 部门经理（Jeeves）想关灯，它先向总管家（Rupert）申请。
2. Rupert 检查：现在的状态是什么？这个指令符合安全策略吗？
3. 如果没问题，Rupert 会发一张限时“工单”（Lease）。这张工单上写着：“允许 Jeeves 在此时此刻（基于当前的账本版本）关掉这盏灯”。
4. 工人拿到工单，核对无误后才执行。
5. 关键点：如果工单过期了，或者账本版本不对（比如别人已经改了状态），工人会直接拒绝执行。这就像银行转账需要动态验证码一样，防止旧指令被重复使用。

B. “账本”防呆（Git Freshness）

想象一下，如果 Jeeves 突然死机重启了，它醒来后可能会说：“我要执行刚才那个关灯指令。”
但在 HearthNet 里，Jeeves 重启后必须先问图书管理员（Dewey）：“现在的账本（Git）最新是哪一页？”
如果 Jeeves 手里拿着的是旧版本的“工单”（基于旧账本），总管家会直接说：“不行，账本已经翻页了，你的指令过时了，重新申请！”
这确保了永远不会执行过时的、可能冲突的指令。

3. 实际演示场景（论文中的三个例子）

论文展示了这个系统在实际生活中的表现：

• 场景一：听懂“人话”

  • 你对着手机说：“我要在家办公了。”
  • 没有预设规则。Rupert 立刻分析：需要灯光柔和、背景安静、电视关闭。它分别派任务给灯光经理和手机经理。
  • 结果：灯光自动变色，手机自动打开控制 App 关掉电视。整个过程像是有默契的团队。

• 场景二：解决“打架”

  • 刚才的“办公模式”还在运行（灯是亮的）。突然，系统自带的“晚上睡觉模式”自动触发，想关灯。
  • 总管家 Rupert 发现冲突：用户刚才明确说要“办公”（亮灯），现在的“睡觉模式”是自动触发的。
  • 结果：Rupert 查阅“账本”，发现用户的主动指令优先级更高，于是拒绝了自动关灯指令，并记录了原因。灯光保持明亮，没有乱套。

• 场景三：防止“僵尸指令”

  • 模拟手机管家（Darcy）死机重启。它醒来后，试图执行死机前发出的一个旧指令。
  • 总管家检查发现：这个指令是基于死机前的旧状态发出的，现在的状态已经变了。
  • 结果：指令被当场拦截并拒绝。系统安全地防止了因为设备重启导致的错误操作。

4. 为什么这个设计很酷？

• 本地化（Edge）：所有的“大脑”都在你家里的设备上运行，不依赖云端，隐私更安全，断网也能用。
• 可追溯（Auditable）：所有的决策过程都像写代码一样被记录在案（Git），出了事能查清楚是谁、在什么时候、为什么做的决定。
• 抗崩溃（Resilient）：哪怕某个管家死机了，重启后查一下“账本”就能无缝衔接，不会像现在的系统那样直接“失忆”或乱操作。

总结

HearthNet 就像是给智能家居装上了一个有纪律、有记录、有权限管理的“管家团队”。它不再依赖死板的规则，而是利用 AI 理解你的意图，同时用严格的“工单”和“账本”制度，确保这些智能指令既灵活又安全，不会在家里制造混乱。

这就好比从让一群野马乱跑（现在的智能家居），变成了训练了一支有纪律的仪仗队（HearthNet），既能听懂队长的口令，又能严格遵守队形，即使有人掉队了，也能迅速归队继续执行任务。

技术摘要

HearthNet：面向智能家居的边缘多智能体编排系统技术总结

1. 研究背景与问题定义

随着智能家居用户对自然语言控制需求的增加，现有的自动化方案（如手动组装规则、仪表板和 API 集成）显得日益脆弱。实际部署中常面临设备故障、集成失效以及需要人工干预恢复等问题。

核心痛点：

• 现有框架的局限性： 当前的多智能体工具包（如 AutoGen, LangGraph, Anthropic Agent Teams）主要优化了**单会话（Session-scoped）**内的临时委托。它们缺乏跨会话的持久化状态、物理设备故障恢复机制以及明确的权限边界。
• 智能家居的特殊性： 智能家居控制是持久化、事件驱动、易出错的，且直接关联物理设备。设备崩溃、网络分区或电池耗尽是常态。
• 现有方案的不足： 单一单体智能体缺乏显式共享状态，而基于会话的临时子智能体在重启后无法恢复上下文，且缺乏对冲突命令、陈旧指令的安全拦截机制。

HearthNet 的目标： 构建一个运行在边缘设备上的多智能体编排系统，能够处理持久化任务、故障恢复、冲突解决，并确保物理设备操作的安全性。

2. 系统架构与方法论

HearthNet 采用分层角色架构，部署在商用边缘硬件上，利用 MQTT 进行协调，Git 仓库作为持久化共享状态，并通过根代理（Root Agent）颁发的“执行租约”（Actuation Leases）进行授权。

2.1 核心角色与通信

系统包含四个层级，所有智能体均为独立的边缘驻留进程（基于 OpenClaw 平台）：

1. 根代理 (Root Agent - "Rupert")：
   • 职责： 顶层编排器。接收用户自然语言指令，将其分解为特定领域任务，分发给管理器，仲裁冲突，并唯一拥有颁发“执行租约”的权限。
   • 运行环境： Mac Mini。
2. 管理器代理 (Manager Agents)：
   • 职责： 负责特定设备域（如家庭自动化、移动应用）。将任务转化为具体的设备动作，但无权直接执行，必须持有根代理颁发的租约。
   • 实例：
     • Jeeves (NUC Manager)： 管理 Home Assistant 暴露的设备（灯光、开关等）。
     • Darcy (Phone Manager)： 运行在 Android 手机上，通过 UI 自动化（ADB/无障碍服务）控制无外部 API 的专有 IoT 应用，并可访问手机本地传感器（摄像头、光线等），这是单集中式代理无法替代的。
3. 图书管理员代理 (Librarian Agent - "Dewey")：
   • 职责： 纯观察者。维护一个 Git 仓库作为系统协调状态的“单一事实来源”（Single Source of Truth）。它订阅 MQTT 流量，记录结构化事件（任务分发、状态转换、冲突解决），但不参与控制路径或持有设备凭证。
   • 运行环境： 独立 Intel NUC。
4. 设备适配器 (Device Adapters)：
   • 职责： 轻量级、确定性的端点，由管理器通过特定协议控制。避免“每设备一智能体”的设计膨胀。

2.2 核心机制

• Git 支持的 freshness 机制 (Freshness Mechanism)：
  • 所有状态变更请求必须引用当前的 Git base_commit。
  • 如果代理重启或网络中断，它会从 Git 拉取最新状态。如果尝试使用过时的 base_commit 或租约，请求将被拒绝。这解决了“陈旧命令”（Stale Commands）问题。
• 基于策略的执行租约 (Policy-bound Actuation Leases)：
  • 根代理在验证策略和新鲜度后，颁发短生命周期的机器可验证授权（租约）。
  • 租约包含：授权方身份、目标设备、允许的操作/参数范围、当前 base_commit、策略版本、过期时间和审计理由。
  • 设备适配器会检查租约的有效性（是否过期、是否越界、是否绑定到旧状态），否则拒绝执行。
• 执行协议 (Execution Protocol)：
  1. Ground (落地)： 代理从 Git 加载当前设备影子状态和策略快照。
  2. Propose (提议)： 管理器提出具体设备动作（不执行）。
  3. Verify & Grant (验证与授权)： 根代理检查新鲜度、冲突和策略，颁发租约。
  4. Execute & Record (执行与记录)： 管理器使用租约执行，Dewey 记录全过程到 Git。

2.3 故障处理

• 心跳与恢复： 代理发布心跳，MQTT 的 LWT (Last Will and Testament) 机制检测断开。
• 任务恢复： 根代理检查 Git 日志，将任务分类为“已确认”、“进行中”或“阻塞”。只有当有具备能力的存活代理且能颁发新租约时，才重发任务。
• 重启恢复： 崩溃的代理重启后，从 Git 拉取最新状态。如果尝试重放旧命令，会被根代理拒绝，强制其重新同步并获取新授权。

3. 主要贡献

1. Git 支持的 freshness 机制： 通过基础提交（base commit）验证，使智能体能在设备执行前检测并拒绝陈旧或冲突的命令。
2. 基于策略的执行租约： 将授权转化为机器可检查的边界，将状态变更命令绑定到身份、设备范围、参数包和批准时的状态版本。
3. 图书管理员 - 观察者模式 (Librarian-as-Observer)： 专用非参与代理将协调流量镜像到版本化仓库，提供崩溃恢复、归因和完整审计能力，且不干扰控制路径。
4. 真实的边缘原型部署： 在三种商用硬件（ARM64 Mac mini, x64 NUC, Android 手机）上运行，通过真实设备演示了三个场景。

4. 实验结果与演示

系统在真实环境中通过三个场景进行了端到端演示（无模拟）：

• 场景 1：意图驱动的协同执行
  • 用户输入模糊指令“我今天在家办公”。
  • 系统分解任务：Jeeves 调整灯光为俱乐部风格，Darcy 通过 UI 自动化关闭电视。
  • 结果： 成功协调，Git 记录了完整的决策链和租约。
• 场景 2：基于时间线的冲突解决
  • 预设的“晚间放松” routine 试图调暗灯光，与用户刚执行的“在家办公”（需明亮灯光）冲突。
  • 结果： 根代理通过查询 Git 时间线，判定用户显式意图优于时间触发器，拒绝冲突命令，保持灯光不变。
• 场景 3：新鲜度与授权验证
  • 模拟管理器崩溃重启，尝试重发旧命令（使用过期的 base_commit 和租约）。
  • 结果： 根代理检测到状态已更新，拒绝该命令。代理必须重新同步并获取新租约。

性能指标 (Table 1)：

• 任务完成率： 4/5（1 例因视觉识别错误导致，协议本身正确）。
• 端到端延迟中位数： 8 秒（主要受 LLM 推理延迟影响，编排基础设施开销极小）。
• 冲突检测/解决： 5/5 正确。
• 陈旧命令/过期租约拦截： 5/5 正确，无误报。
• 租约验证开销 (p95)： < 0.01 ms。

5. 意义与结论

HearthNet 的意义在于：

• 解决了边缘 AI 的持久化与安全问题： 证明了在资源受限的边缘设备上，通过显式共享状态（Git）和严格授权（租约），可以实现鲁棒的多智能体协作。
• 分离了关注点： 将规划、验证、授权和执行分离，使得系统易于审计、恢复和扩展。
• 现实可行性： 展示了在异构商用硬件上运行持久化多智能体系统的可行性，无需依赖单一云会话。

局限性：

• 目前测试规模较小（4 个代理，约 10 个设备），大规模扩展性未经验证。
• 依赖托管的 LLM API，延迟受云端负载影响（未来计划替换为本地部署模型）。

总结： HearthNet 为智能家居提供了一种新的编排范式，它不再依赖脆弱的会话记忆，而是通过“状态即代码”（Git）和“权限即租约”（Leases）的机制，实现了安全、可审计且具备故障恢复能力的物理环境智能控制。