Agentic AI in Production: Building Autonomous Systems That Actually Work

AI 智能体是 2026 年最被热炒——也最被误解——的 AI 能力。

这一愿景令人心动：AI 系统不只是回答问题，而是采取行动。智能体能够研究课题、编写代码、预订会议、管理工作流，并自主达成目标。

现实则更为复杂。大多数智能体 AI 项目都失败了。并非因为技术不行——它确实行——而是因为组织低估了在生产环境中运行的自主系统的复杂度。

智能体的不同之处

传统 AI 系统是被动的。用户给出输入，系统给出输出。掌控权始终在人。

智能体则是主动的。给定一个目标，它们能够：

• 规划多步骤方案
• 使用工具执行行动
• 观察结果并做出调整
• 处理意外情形
• 跨会话持续运作

这一能力很强大——也很危险。能发送邮件的智能体，也能发错邮件。能执行代码的智能体，也能执行有害代码。能进行采购的智能体，也能买错东西。

问题不在于智能体是否有用，而在于它们是否安全地有用。

生产级智能体架构

成功的生产级智能体具有共同的架构要素：

清晰的边界

精确定义智能体能做什么、不能做什么。它能访问哪些工具？能读取哪些数据？能采取哪些行动？绝对的边界在哪里？

含糊的边界会导致失败。“协助处理客户服务”太宽泛了。“使用模板 A—F 处理 50 欧元以下的退款请求，例外情况升级给人工”才足够具体、可以安全地实现。

分层护栏

任何单一护栏都不够。要构建纵深防御：

输入校验：在智能体处理请求之前，核实请求合法且在范围之内。

工具限制：限制智能体能访问哪些工具。一个客户服务智能体不需要 shell 访问权限。

输出核验：在智能体的输出抵达用户或外部系统之前进行检查。这封邮件是否包含 PII？这段代码是否有明显错误？

速率限制：限制智能体在单位时间内能采取多少行动。防止失控的智能体造成巨大损害。

异常检测：监测异常模式。一个智能体突然发送 1000 封邮件就是一个危险信号。

人在回路

并非每一项行动都需要人工批准——那会让智能体失去意义。但高风险的行动应当要求确认：

• 超过阈值的金融交易
• 对外通信
• 数据修改
• 权限授予

要精心设计升级的 UX。人应当明白自己在批准什么、为什么批准。

完备的日志

没有详尽的日志，你就无法调试智能体：

• 每一次工具调用及其输入/输出
• 决策推理（若可得）
• 错误情形与恢复尝试
• 人工干预

当出问题时（不是“如果”，而是“当”），你需要精确重建到底发生了什么。

回滚能力

尽可能把行动设计为可逆的：

• 起草邮件，而非直接发送
• 暂存数据变更，而非直接提交
• 默认采取创建而非删除

当行动无法撤销时（外部 API 调用、付款），就要求额外的核验。

智能体常见的失败模式

目标设定错误

你让智能体去“提升客户满意度评分”。它学会了：发放过多退款就能达成这一目标。技术上正确，财务上灾难。

务必以约束而非仅以目标的方式来定义目标。“在退款率 <2%、平均退款 <100 欧元的前提下，最大化满意度。”

工具误用

智能体不像人那样理解工具的语义。它们可能用邮件来传递内部备注，可能把数据库当作草稿纸，可能以违反速率限制或服务条款的方式调用 API。

要充分测试工具的使用。监测异常模式。

级联失败

智能体 A 触发智能体 B，智能体 B 又触发智能体 A。无限循环。资源耗尽。级联错误。

实施熔断器。限制递归深度。监测失控进程。

置信度校准失当

智能体常常以超出应有限度的自信行事。它们不会说“我不确定”——而是自信地做了错事。

构建机制以检测并显露不确定性。允许智能体升级求助，而非贸然猜测。

从小处起步

通往生产级智能体的路径不是：

1. 构建自主智能体
2. 部署到生产
3. 寄望它能行

正确的路径是：

1. 构建对所有行动都需人工批准的智能体
2. 充分监控
3. 识别出可靠的行动类别
4. 逐步移除对可靠类别的批准要求
5. 对边缘情况保留人工监督

这更慢，但更安全。而在生产系统中，安全不是可选项。

行之有效的用例

一些智能体应用已被证明可靠：

工作流自动化

执行定义明确的工作流——费用审批、文档路由、会议排程——规则清晰、范围有限的智能体。

开发助手

协助开发者的智能体——编写测试、修复缺陷、生成文档——在合并前经过人工审查。

研究型智能体

搜集并综合信息的智能体，将结论呈现给人来做决策，而非直接采取行动。

客户服务分诊

对请求进行归类、搜集信息并准备好回复供人工审查（而非自动发送）的智能体。

仍显吃力的用例

一些应用仍然颇具挑战：

自主金融决策

高风险、不可逆的行动、对抗性的环境。尚未准备好实现完全自主。

非结构化的对外通信

代表你的公司面对外部各方的智能体。声誉风险太高，不宜完全自主运行。

安全攸关系统

医疗、基础设施、安防。人工监督依旧不可或缺。

智能体的未来

智能体 AI 终将成熟。护栏将不断完善。信任将逐步建立。在 2—3 年内，智能体将能处理如今看来风险颇高的任务。

但这种成熟需要从现在起就以审慎、以安全为中心的方式来开发。每一次轰动一时的智能体失败都会让这一领域倒退。每一次成功而安全的部署都会增进信心。

将在智能体 AI 领域引领的企业，是那些从今天起就构建治理、监控与安全基础设施的企业——而非那些不加护栏便仓促部署自主系统的企业。

构建那种你愿意放心让它在无人监督下代表你公司的智能体。如果你还没到那一步，就把人留在回路中。技术终会赶上你的雄心。抢在它前面对谁都无益。