Blog | eunomia

AgentCgroup: What Happens When AI Coding Agents Meet OS Resources?

Reverse Engineering Claude Code's SSL Traffic with eBPF

A Taxonomy of GPU Bugs: 19 Defect Classes for CUDA Verification

智能体系统架构：隔离、集成与治理的综合调研

基于大语言模型（LLM）的智能体系统，即能够利用LLM自主规划并借助外部工具执行多步任务的软件，正迅速从概念验证阶段迈向企业级规模化部署。这些智能体有望将编码、IT运维、数据分析等工作自动化，然而，将其部署于生产环境也带来了在安全性、可靠性及系统集成方面的一系列新挑战。过去半年，业界社区已在几项关键策略上形成共识：为执行不可信操作提供强有力的隔离保障，为工具集成建立标准化协议，并构建能确保智能体行为符合企业策略的治理框架。本调研旨在系统

GPU可观测性差距：为什么我们需要卸载到GPU设备上的eBPF

eBPF 作为一种在内核态提供可编程能力的革命性技术，已经在 CPU 的可观测性、网络和安全领域取得了巨大成功。然而，对于日益重要的 GPU 计算领域，我们同样需要一种灵活、高效的观测手段。目前，大多数 GPU 性能分析工具都局限于在 CPU 侧通过驱动/用户态 API 或厂商的性能分析接口（CUPTI）进行观测，难以深入了解 GPU 内部的执行细节。为了解决这一问题，bpftime 通过其 CUDA/SYCL 附加实现提供 GPU 支

NVIDIA Open GPU Kernel Modules Comprehensive Source Code Analysis

Understanding iaprof: A Deep Dive into AI/GPU Flame Graph Profiling

AgentSight: 让 AI Agent 的一举一动都在掌控之中，基于 eBPF 的系统级可观测性方案

Profiling and Tracing Tools Across System Layers and Architectures

The Modern Memory Testing Arsenal -- A Complete Guide to Benchmarking Tools for Next-Gen Memory Systems

系统会议中的可观测性、性能分析和调试（2015–2025）

本综述回顾了十多年来（2015–2025）计算机系统可观测性、性能分析和调试技术的研究，重点关注OSDI、SOSP和EuroSys的主会论文。我们涵盖了100多篇论文，涉及动态跟踪框架、日志记录和监控基础设施、性能异常检测、根因分析和系统可见性机制。我们识别了所解决的核心问题（从分布式请求跟踪到配置或并发错误检测）、采用的技术（动态插桩、静态分析、原位日志记录、分布式监控、ML辅助分析）、目标领域（操作系统内核、云和分布式系统、移动/物

Checkpoint/Restore Systems: Evolution, Techniques, and Applications in AI Agents

ASPLOS 2025: Paper Summaries and Insights

EuroSys 2025 Paper Summaries and Analysis

深入GPU性能分析工具：现代加速器追踪工具的实现详解

对异构加速器（GPU、DPU和APU）进行性能分析和追踪对于优化现代系统的性能至关重要。本调研提供了一个深入的实现导向的综述，介绍了当前最先进的工具如何捕获低级执行细节。我们面向两类受众：(1) 工具开发者，他们希望了解现有性能分析工具的构建方式——包括它们钩住的接口以及如何追踪CPU和加速器；(2) 系统工程师，他们需要根据功能和开销决定集成哪些工具。我们探讨了关键性能分析工具的内部架构、它们拦截的运行时库和驱动API、它们是否追踪C

加速器工具箱：GPU和其他协处理器的性能分析和追踪详解

现代计算越来越依赖专用加速器——尤其是GPU、DPU和APU——来处理各种工作负载。图形处理单元(GPU)是一种大规模并行处理器，最初用于图形处理，现在在通用计算(HPC)和AI中必不可少。数据处理单元(DPU)是一种较新类型的可编程处理器，结合了CPU核心和高性能网络/存储引擎。DPU从CPU卸载网络、安全和存储任务，被认为是继CPU和GPU之后计算的"第三支柱"。同时，加速处理单元(APU)在一个芯片上集成了CPU和GPU组件——这

OS-Level Challenges in LLM Inference and Optimizations

WASI and the WebAssembly Component Model: Current Status

eBPF Ecosystem Progress in 2024–2025: A Technical Deep Dive

Security Vulnerabilities Study in Software Extensions and Plugins

Can LLMs understand Linux kernel? A New AI-Powered Approach to Understanding Large Codebases

构建高性能的用户态 eBPF 虚拟机：基于 LLVM 的 llvmbpf 项目

我们很高兴向大家介绍 llvmbpf，这是一个全新的项目，旨在为开发者提供一个高性能、支持多架构的 eBPF 虚拟机（VM）。llvmbpf 利用 LLVM 框架实现了即时编译（JIT）和提前编译（AOT），让你能够在用户态中高效运行 eBPF 程序。

eBPF的过去、现在与未来及其革新系统的道路

这篇博客文章主要参考了 Alexei Starovoitov 在 BPFConf 2024 上的演讲“《为未来十年现代化BPF》”。

简化内核编程：LLM驱动的eBPF工具

内核编程通常需要深入了解操作系统内部结构和编程约束，因而令人生畏。我们的新工具Kgent旨在简化这一过程，使创建扩展的Berkeley Packet Filter（eBPF）程序变得更加容易。Kgent利用大语言模型（LLM）的强大功能，将自然语言提示转换为eBPF代码，从而降低内核编程的门槛。

The eBPF Evolution and Future: From Linux Origins to Cross-Platform Dominance

五分钟带你手搓一个简易的 inline hook 实现控制流劫持

编程中令人着迷的一面在于我们尝试在程序运行时改变其行为。在本教程中，我们将揭示一种可以实现这一点的方法- inline hook 。只需要数十行代码，即可用 C 语言实现一个简单的 inline hook 示例，并将其应用于一个示例程序。

eBPF 的演进与影响：近年的关键研究论文一览

这是我近年来读过的与 eBPF 相关的论文列表，可能对于对 eBPF 相关研究感兴趣的人有所帮助。

eunomia-bpf v1.0：eBPF + Wasm 质的飞跃

随着技术的不断发展，eBPF已经成为了现代Linux内核中的一个核心组件，为开发者提供了强大的性能监控和网络跟踪功能。eunomia-bpf 作为一个新的 eBPF 开源开发框架，旨在简化 eBPF 程序的构建和分发，同时引入了 Wasm技术，为开发者提供了更多的可能性。在过去的半年中，从最初的PoC版本到如今的1.0版本，它已经经历了巨大的变革，成为了一个功能丰富的成熟产品。

eBPF 运行时安全性：面临的挑战与前沿创新

扩展伯克利数据包过滤器（eBPF）代表了我们与现代操作系统交互和扩展其能力方式的重大演变。作为一种强大的技术，它使得Linux内核能够响应事件运行沙盒程序，eBPF已成为系统可观察性、网络和安全特性的基石。

用户空间 eBPF 运行时：深度解析与应用实践

本文旨在对用户空间的 eBPF 运行时和对应的一些应用场景进行剖析和总结。尽管大多数人对基于内核的 eBPF 已有所了解，用户空间 eBPF 的进展和应用实践同样引人注目。本文还将探讨用户空间 eBPF 运行时与 Wasm 运行时的技术比较，后者在云原生和边缘计算领域已获得广泛的关注。我们也新开源了一个用户态 eBPF 运行时 bpftime。通过 LLVM JIT/AOT 后端支持，我们的基准测试表明 bpftime 是最快的用户空间

bpftime: 让 eBPF 从内核扩展到用户空间

eBPF 是一项革命性的技术，起源于 Linux 内核，可以在操作系统的内核中运行沙盒程序。它被用来安全和有效地扩展内核的功能，而不需要改变内核的源代码或加载内核模块。

使用 ChatGPT ，通过自然语言编写 eBPF 程序和追踪 Linux 系统

eBPF 是一项革命性的技术，起源于 Linux 内核，可以在操作系统的内核中运行沙盒程序。它被用来安全和有效地扩展内核的功能，而不需要改变内核的源代码或加载内核模块。今天，eBPF被广泛用于各类场景：在现代数据中心和云原生环境中，可以提供高性能的网络包处理和负载均衡；以非常低的资源开销，做到对多种细粒度指标的可观测性，帮助应用程序开发人员跟踪应用程序，为性能故障排除提供洞察力；保障应用程序和容器运行时的安全执行，等等。eBPF 已经成

快速构建 eBPF 项目和开发环境，一键在线编译运行 eBPF 程序

如果您正在探索 eBPF 技术，并且对于如何开始搭建环境以及选择编程语言感到困惑，那么您来对地方了！本文将介绍一系列 GitHub 模板和 GitHub Codespaces，让您可以快速启动全新的 eBPF 项目，一键在线编译运行 eBPF 程序。现在就跟随我们的步骤，加速您的 eBPF 开发吧！

当 Wasm 遇见 eBPF ：使用 WebAssembly 编写、分发、加载运行 eBPF 程序

eBPF 进阶: 内核新特性进展一览

Linux 内核在 2022 年主要发布了 5.16-5.19 以及 6.0 和 6.1 这几个版本，每个版本都为 eBPF 引入了大量的新特性。本文将对这些新特性进行一点简要的介绍，更详细的资料请参考对应的链接信息。总体而言，eBPF 在内核中依然是最活跃的模块之一，它的功能特性也还在高速发展中。某种意义上说，eBPF 正朝着一个完备的内核态可编程接口快速进化。

eunomia-bpf 的 3 月进展

eunomia-bpf 项目是一个开源项目，旨在提供一组工具，用于在 Linux 内核中更方便地编写和运行 eBPF 程序。在过去一个月中，该项目取得了一些新的进展，以下是这些进展的概述。

eunomia-bpf 0.3.0 发布：只需编写内核态代码，轻松构建、打包、发布完整的 eBPF 应用

Wasm-bpf: 架起 Webassembly 和 eBPF 内核可编程的桥梁

Wasm 最初是以浏览器安全沙盒为目的开发的，发展到目前为止，WebAssembly 已经成为一个用于云原生软件组件的高性能、跨平台和多语言软件沙箱环境，Wasm 轻量级容器也非常适合作为下一代无服务器平台运行时。另一个令人兴奋的趋势是 eBPF 的兴起，它使云原生开发人员能够构建安全的网络、服务网格和多种可观测性组件，并且它也在逐步渗透和深入到内核的各个组件，提供更强大的内核态可编程交互能力。

Wasm-bpf: 为云原生 Webassembly 提供通用的 eBPF 内核可编程能力

eunomia-bpf：展望 2023，让 eBPF 插上 Wasm 的翅膀

回望过去的 2022 年，有两项技术备受瞩目：eBPF 和 WebAssembly。

如何在 Linux 显微镜（LMP）项目中开启 eBPF 之旅？

eBPF 为 Linux 内核提供了可扩展性，使开发人员能够对 Linux 内核进行编程，以便根据他们的业务需求快速构建智能的或丰富的功能。

ecli 在安卓 13 上的运行测试

本文主要记录了笔者在 Android Studio Emulator 中测试高版本 Android Kernel 对基于 libbpf 的 CO-RE 技术支持程度的探索过程、结果和遇到的问题。测试采用的方式是在 Android Shell 环境下构建 Debian 环境，并基于此尝试构建 eunomia-bpf 工具链、运行其测试用例。

在 WebAssembly 中使用 C/C++ 和 libbpf 编写 eBPF 程序

在 WebAssembly 中使用 Rust 编写 eBPF 程序并发布 OCI 镜像