这两年很多团队都在试 Agent。演示时效果不错:问一句,它能查知识库;给一个故障现象,它能整理排查思路;再接几个工具,还能建工单、查日志、调接口。
但一到真实环境,问题就没那么轻松了。
因为 Agent 接触的不是测试文本,而是真实系统。它可能看到生产日志,读到客户工单,拿到内部接口返回,甚至被允许触发某些操作。这个时候,大家不能只问“它聪不聪明”,还要问“它有没有边界”。
边界不是为了把 Agent 管死,而是为了让它能在可控范围里帮忙。上线前,至少要先想清楚下面 5 件事。
一、数据边界:哪些内容不能直接给它看
很多 Agent 项目的第一步,是把知识库、日志、工单、监控数据接进去。这样回答会更准,排查也更快。
问题是,这些数据里常常夹着敏感信息。
日志里可能有手机号、邮箱、订单号、Cookie、Token、接口参数;工单里可能有客户描述、内部处理记录;知识库里也可能写着服务器地址、账号申请流程、网络策略、应急联系方式。平时这些内容散在各系统里,风险还算可控。一旦统一送进 Agent,上下文就被集中起来了。
所以数据边界要先定:哪些字段必须脱敏,哪些数据不能进入模型,哪些内容只能用于检索不能原文展示。
一个简单判断是:如果这段内容不适合贴到公开群里,也不应该原样塞进模型上下文。手机号、密钥、连接串、生产配置、内部 IP、客户身份信息,都应该先处理。脱敏也别只做成一串星号,最好保留排查需要的结构,比如同一个用户用同一个匿名编号表示,这样还能看出问题是否集中。
还有一点容易漏掉:Agent 能看的数据,不能超过使用者本人能看的范围。开发只能看自己系统的日志,Agent 也不能替他跨部门查别人的日志。否则知识库问答做着做着,就变成了越权入口。
二、权限边界:能建议,不等于能执行
Agent 和普通问答机器人最大的区别,是它可能会调用工具。
查接口、建工单、发通知、改配置、重启服务、执行脚本,这些动作看起来都是“自动化”,风险却完全不同。查询监控和删除数据不可能放在一个权限等级里。
上线前最好把工具分成几档。
只读类,比如查监控、检索文档、汇总日志,可以相对开放。建议类,比如生成排查步骤、给出回滚方案,可以让 Agent 先出结论,人再判断。变更类,比如改配置、扩容、回滚版本,要走审批或二次确认。破坏性操作,比如删数据、清目录、切主库,除非流程特别成熟,否则不建议交给 Agent 自动处理。
很多 Agent 最后退回聊天框,原因就在这里:权限一放开,大家怕出事;权限一收紧,它又什么都做不了。真正可落地的做法不是全开或全关,而是把“能看、能建议、能提交、能执行、禁止执行”拆开。
每个工具都要写清楚:谁能用,能在哪个环境用,能传哪些参数,执行前要不要确认,执行后日志留在哪里。
三、动作边界:最多自动到哪一步
即使权限通过了,也不代表 Agent 应该一路自动跑到底。
比如线上接口突然 5xx 增多。Agent 可以先拉告警,查最近发布,找错误日志,看依赖服务状态,然后给出判断:可能和某次发布有关,建议先暂停继续发布,再观察异常接口。
这一步很有价值。但下一步要不要回滚版本、摘掉节点、重启服务,就不能随便自动做。
动作边界要回答的是:Agent 最多把事情推进到哪一步。
比较稳的路线,是先让它做只读分析。跑顺之后,再让它生成建议动作,由值班人员确认。再往后,只把少数低风险、流程固定、可回滚的动作交给它自动执行,比如创建工单、发送通知、生成巡检报告、触发一次只读检查。
能自动执行的动作,至少要满足几个条件:场景明确,输入稳定,影响范围可控,失败后能回滚,执行后能验证。
否则所谓自动化,只是把人工误操作变成机器误操作,而且速度更快。
四、上下文边界:别什么都往模型里塞
Agent 回答得准不准,很大程度取决于上下文。用户问题、历史对话、知识库片段、日志、监控、Trace、工单记录,都可能成为它判断的依据。
但上下文不是越多越好。
日志全量塞进去,成本会上去,敏感信息也会进去;历史对话一直保留,旧结论可能影响新判断;知识库检索结果不筛选,过期文档和新文档混在一起,Agent 很容易给出一段听起来合理但方向错误的回答。
更实用的做法是分层处理。先用日志平台、监控平台、检索系统做过滤和聚合,再把关键片段交给 Agent。比如只给异常时间窗口、相关 Trace、最近一次发布记录、同类错误的聚合结果,而不是把一整屏日志丢进去。
同时,Agent 的结论要带依据。它说“可能是数据库连接池耗尽”,就应该能看到它参考了哪段日志、哪个指标、哪个时间范围。没有依据的判断,可以作为提示,不能直接变成操作指令。
五、责任边界:出问题后要能追得回来
Agent 上线后,最怕的是一句“它自己干的”。
系统里不能存在这种责任真空。Agent 读了哪些数据,调用了哪些工具,给过什么建议,谁点了确认,动作是否成功,影响了哪些对象,都要能查到。
这不是为了事后找人背锅,而是为了复盘。否则一次异常发生后,团队很难判断到底是模型判断错了、知识库过期了、工具参数错了,还是人工确认时没看清。
责任边界还要体现在流程里。Agent 负责分析和建议,权限系统负责拦截不该做的事,审批流程负责关键决策,监控系统负责验证结果。不要把 Agent 包装成“全自动负责人”,它只是系统链路里的一个角色。
特别是生产环境,关键动作一定要有审计。没有审计的自动化,短期看省事,长期看很难管。
先从低风险场景开始
Agent 要落地,不建议一上来就做“自动修复故障”。这个目标听起来漂亮,但对数据、权限、流程、回滚和监控要求都很高。
更现实的起点,是知识库问答、告警摘要、工单分类、日志归纳、巡检报告、故障复盘初稿。这些场景能减少重复劳动,即使出错,也不容易直接影响生产系统。
等这些场景跑稳了,再逐步进入半自动处理:Agent 给建议,人来确认。最后才是少量标准化动作的自动执行。
很多项目失败,不是模型能力差,而是跳过了中间这段工程化过程。
结合运维和AI平台能力看
从实际落地看,Agent 项目往往不只是 AI 应用开发,还会牵到运维体系、权限管理、日志监控、工单流程、知识库治理和模型调用管理。前面提到的几条边界,最后都要落到这些基础能力上。
以运维服务为例,它的业务并不是单独提供一个聊天入口,而是围绕企业 IT 运维、AI 转型方案和 MaaS 模型平台做支撑。像应用系统运维、数据库运维、云服务器运维、故障排查、日常巡检、应急响应,解决的是 Agent 接入真实系统后的运行底座问题;多模型接入、权限账号管理、调用量统计、成本管控、私有化或混合部署,则更接近 Agent 上线后的管理问题。
如果团队准备把 Agent 放进业务或运维流程里,这类能力可以作为参考:数据访问有没有权限边界,工具调用有没有审批和审计,模型调用有没有统一入口,成本能不能拆到应用和部门,出了故障有没有人和流程兜底。Agent 能不能长期用,很多时候就取决于这些不太显眼的基础工作。
结语
Agent 真正进入生产环境前,先把数据、权限、动作、上下文和责任这 5 条边界划清楚。
边界清楚,Agent 才敢往真实流程里走;边界不清,它要么只能陪聊,要么成为新的风险点。技术团队要追求的不是“让 AI 什么都能干”,而是让它在正确的位置、用正确的权限、按可追溯的流程干事。