为什么 AI Agents 在执行任务前需要治理机制

@getmarrow_ai
英语1个月前 · 2026年6月03日
307K
33
5
0
17

TL;DR

随着 AI Agents 从回答问题转向执行任务,建立一个专门的治理层对于实时管理权限、风险和合规性至关重要。

AI代理正在从回答问题转向采取行动。

这一转变彻底改变了风险模型。

聊天机器人生成文本。代理操作系统。

它们可以读取电子邮件、调用 API、更新客户记录、部署代码、创建工单、审批工作流步骤、与其他代理协调,并将新知识存储到长期记忆中。

这意味着核心问题不再是:

这个答案正确吗?

而是:

这个代理现在应该被允许行动吗?

这正是治理层要回答的问题。

1. 记忆是有用的,但它不是治理。

记忆帮助代理在会话之间保留上下文。

它帮助代理记住用户偏好、过往工作、工具输出以及之前的决策。这很重要。但记忆并不能决定:

  • 哪些事实可以被允许进入记忆
  • 哪些记忆已经过时或被污染
  • 哪些行动需要审批
  • 哪个工作流步骤必须下一步执行
  • 执行前需要哪些证明
  • 哪个代理可以使用哪些信息

在生产级的代理系统中,更棘手的问题往往不是检索,而是权限

记忆帮助代理记住。

治理帮助代理判断它被允许做什么。

这就是 Marrow 的定位所在。

Marrow 不仅仅是一个记忆层。它是AI 代理集群的研判层

2. 可观测性解释过去。代理需要的是对未来行动的控制。

可观测性是必要的。团队需要追踪、日志、评估、标注、告警和仪表盘。

但事后可见性并不能在不良行动发生前阻止它。

如果一个代理部署了不安全代码、发送了敏感邮件、审批了错误的付款,或跳过了必要的工作流步骤,仪表盘或许能在事后解释事件。但它不一定能预防事件。

对于高影响工作流,信号必须在行动前到达代理:

  • 风险级别
  • 所需证明
  • 策略约束
  • 所有者审批
  • 回滚计划
  • 确切下一步
  • 允许、警告、审核或阻止

这就是可观测性与治理之间的差距。

仪表盘告知人类。

治理在代理行动前告知代理。

3. 评估是一个快照。生产环境是一条流。

部署前的评估能发现许多失败。但生产环境中的代理活在不断变化的环境中。

提示词会变。工具会变。API 会变。数据会变。策略会变。集群中的其他代理也会变。

一个基准测试可能表明某个代理在某种条件下表现良好。生产环境则提出了另一个问题:

当环境变化时,这个代理还能持续做出正确决策吗?

关于工具使用代理的研究也指向同一方向。

ToolEmu 研究了使用高风险工具的语言模型代理,表明代理失败可能造成严重的现实后果。AgentHarm 和 CUAHarm 关注代理在能够使用工具或操作计算机时的有害行为。其他研究显示,代理可能在抽象层面理解风险,但在具体轨迹中仍未能避免风险行为。

教训是实际的:

安全不能只存在于模型中,也不能只存在于基准测试中。

生产环境中的代理需要运行时控制。

4. 治理正在成为 AI 基础设施。

主要 AI 治理框架正汇聚到同一个理念上:负责任的 AI 必须变得可操作。

不仅仅是原则。

不仅仅是策略 PDF。

不仅仅是仪表盘。

可操作的治理需要:

  1. 记录在案的风险管理
  2. 自动日志记录
  3. 针对高影响决策的人工监督
  4. 贯穿生命周期的质量管理
  5. 系统行为的可追溯性
  6. 上市后监控
  7. 对不良后果的责任追究

这一点在 NIST AI RMF、NIST 生成式 AI 概况、ISO/IEC 42001、OECD AI 原则、欧盟 AI 法案、OWASP 代理 AI 风险分类以及 2026 年五眼联盟关于代理 AI 服务的指南中均有体现。

方向很明确。

企业 AI 系统需要在其整个运行生命周期内具备证据、控制、可追溯性和问责制。

对于 AI 代理而言,这意味着治理必须进入运行时。

5. 代理治理层应该做什么

治理层是位于代理运行时与代理可能影响的系统之间的控制平面。

它接收代理的意图行动,根据策略、权限、风险、证明和先前结果进行评估,然后返回一个可强制执行的决策:

允许

警告

需要审核

阻止

一个真正有效的治理层需要九个功能。

  1. 身份与范围化权限

每个代理都需要一个清晰的身份、有限的权限和范围化的凭证。

如果每个代理共享同一个 API 密钥,集群就无法被治理。

  1. 运行时策略

策略必须变成可执行的运行时条件。

哪个步骤必须先执行?

需要哪些证明?

哪个行动总是需要审核?

哪个行动永远不应自动运行?

  1. 风险门控

系统应根据影响、可逆性、敏感性和业务上下文对行动进行分类。

低风险工作可以自动运行。高风险工作可能需要证明、审批或阻止。

  1. 证明包

行动前,代理应附上证据。

例子:

  • 测试覆盖率
  • 回滚计划
  • 策略条款
  • 身份验证
  • 临床审批
  • 账单审核
  • 主管签字
  1. 审批路由

人工审核不应是一个针对所有事项的手动队列。

它应该是一个针对错误成本高的行动的检查点。

  1. 审计与溯源

每个决策都应是可追溯的。

谁发起的?

为什么被允许或阻止?

应用了哪条策略?

附带了哪些证明?

谁审批的?

接下来发生了什么?

  1. 结果闭环

治理并非在允许或阻止时结束。

系统必须完成闭环:

  • 行动成功了吗?
  • 行动失败了吗?
  • 需要回滚吗?
  • 谁审批了?
  • 应该存储什么教训?
  1. 记忆写入治理

并非每条日志都是知识。

并非每条知识都应影响每个代理。

真实结果只有通过受控写入才能成为记忆。

  1. 集群级学习

治理层应跟踪整个集群的行为:

  • 与基线工作流的偏离
  • 重试循环
  • 重复失败
  • 应警告未来代理的模式

这就是治理超越限制、成为学习的地方。

6. Marrow 作为治理案例研究

Marrow 围绕一个简单的操作循环设计:

定向 → 思考 → 行动 → 检查 → 提交

每个步骤都有一个治理功能。

定向 呈现相关的历史、警告和约束。

思考 在行动发生前评估意图行动。

行动 在上下文和护栏的加持下执行。

检查 检查是否缺少证明或闭环。

提交 记录结果,以便下一次决策得以改进。

这是记忆与研判之间的核心区别。

记忆问:

代理知道什么?

Marrow 问:

代理应该行动吗?在什么条件下?

其产品功能直接映射到运行时治理:

  • decisionBrief() 为代理提供行动前上下文。
  • workflowGate() 返回允许、警告、需要审核或阻止。
  • runGuarded() 包装风险工作,附上行动前指导和结果闭环。
  • agentRuntime() 将经验和证明要求注入代理上下文。
  • agentStatus() 显示 Marrow 是否活跃并收集有用信号。
  • valueReport() 将治理转化为所有者可见的证明。

换句话说:

Marrow 将过往结果转化为行动前研判。

7. 一个具体例子:糟糕的部署

想象一个 CI/CD 代理即将部署一个支付 webhook 变更。

构建通过了。

分支准备好了。

代理即将推送到生产环境。

但拉取请求缺少三样东西:

  1. 测试覆盖率
  2. 回滚计划
  3. 冒烟测试

没有治理,部署可能会通过。

支付故障数小时后才出现。客户受到影响。值班工程师手动回滚。事故变成了又一次事后复盘。

有了治理,工作流门控在部署前运行。

它返回:

风险级别:高

证明包缺失

部署已被阻止

代理不仅仅是在记录更多日志。它被强制在正确的时间点停下。

这就是行动前治理的价值。

8. 代理治理的正确指标

治理层不应只统计日志。

它应衡量集群是否变得更安全、更一致、更易于审计。

有用的指标包括:

  • 行动覆盖率: 有多少高影响行动经过了门控
  • 证明完成率: 有多少行动在执行前包含了所需证明
  • 结果闭环率: 有多少决策以真实结果闭环
  • 预防重复失败: 已知失败模式被避免的频率
  • 偏离严重度: 代理偏离已批准工作流的程度
  • 误报率: 门控过于频繁阻止的频率
  • 漏报率: 危险行动漏过的频率
  • 审计重建时间: 解释一个决策所需的时间
  • 人工审核精准度: 人工审批是否用于正确的行动

治理是有用的,当它能减少回滚、防止重复事件、缩小不必要的审核,并使代理行为更容易证明。

否则,它就变成了合规秀。

9. 治理层也有风险

治理层也可能失败。

它可能配置错误。策略可能过时。证明可能不完整。门控可能过度阻止。攻击者可能针对控制平面。如果它存储了太多敏感数据,它就会成为风险集中点。

因此,治理层本身也需要纪律:

  1. 默认最小权限 代理应只获得它们需要且当时所需的权限。
  2. 高影响行动失败时关闭 如果行动可能造成严重伤害,缺失证明应停止执行。
  3. 低风险自动化失败时软化 并非每个行动都值得同等程度的阻碍。
  4. 人类可读的证据,机器可读的策略 操作人员需要理解决策。系统需要强制执行。
  5. 从真实结果中学习 没有结果闭环,系统只会积累日志,而非研判。

10. 结论

AI 代理将软件推向一种新的运行模式。

它们可以选择工具、与其他代理协调、修改系统,并产生后果。

在这种模式下,治理不是部署后添加的层。它属于运行时内部。

记忆、可观测性、评估和人工审核都很重要。但每个只解决了问题的一部分。

治理层将它们连接成一个负责任的行动循环:

行动前的策略

执行前的证明

行动中的权限

行动后的结果

跨集群的学习

这就是 Marrow 背后的论点。

AI 代理集群不仅仅需要记住更多。

它们在行动前需要更好的研判。

参考文献

  1. NIST. AI 风险管理框架
  2. NIST. 生成式 AI 概况,NIST AI 600-1
  3. OECD. OECD AI 原则
  4. 欧洲委员会 AI 法案服务台. 第 9 条:风险管理系统
  5. 欧洲委员会 AI 法案服务台. 第 12 条:记录保存
  6. 欧洲委员会 AI 法案服务台. 第 14 条:人工监督
  7. 欧洲委员会 AI 法案服务台. 第 17 条:质量管理系统
一键保存

使用 YouMind AI 深度阅读爆款文章

保存原文、追问细节、总结观点,并在一个 AI 工作空间里把爆款文章沉淀成可复用笔记。

了解 YouMind
写给创作者

把你的 Markdown 变成干净的 𝕏 文章

图片上传、表格、代码块,往 𝕏 上手动重排太痛苦。YouMind 把整篇 Markdown 一键转成干净、可直接发布的 𝕏 文章草稿。

试试 Markdown 转 𝕏

更多可拆解样本

近期爆款文章

探索更多爆款文章