当 AI 系统能够自主推理、获取信息并执行操作时,一个无法回避的问题摆在架构师面前:是否每个决策都必须经过同步审批才能保证安全?
这个问题的答案并非显而易见。支持者认为,既然 AI 在自主运行,那么每个步骤都应经过控制平面验证,确保正确性、合规性和安全性。但这种直觉会直接导致架构在自身重量下崩溃。
随着 AI 系统从孤立的试点扩展为持续运转的多智能体环境,"全面中介"(universal mediation)不仅成本高昂,更在结构上与自治本身不兼容。真正的挑战不在于在"控制"与"自由"之间二选一,而是学会选择性施加控制,同时不破坏让自治系统变得有用的那些核心特性。
本文探讨的是:生产系统中究竟如何实现这种平衡——不是通过为每一步设置审批门槛,而是区分快路径(fast paths)与慢路径(slow paths),并把治理视为反馈问题,而非审批工作流。
问题的核心
第一代企业 AI 系统在很大程度上扮演着"顾问"角色:模型生成建议、摘要或分类结果,由人类在行动前审核。在这种语境下,治理可以保持缓慢、手动和偶发的节奏。
但这个假设已经不再成立。现代智能体系统持续分解任务、调用工具、检索数据、协调行动。决策不再是离散事件,而是持续执行循环的一部分。当治理被定位为"必须批准每一个步骤"时,架构很快会漂移向脆弱的设计——理论上自治存在,实际上却被节流压制。
关键错误在于把治理当作同步关卡,而非监督&管理机制。一旦每个推理步骤都需要批准,系统要么变得不可用,要么团队会悄悄绕过控制以维持运转。两种结果都无法带来真正的安全。
真正的问题是:哪些决策确实需要同步控制,哪些不需要?
为什么全面中介在实践中失效
直到工程师真正动手构建时,才会发现"把每个决策都路由到控制平面"这件事有多难。
成本立即显现:
- 延迟在多步骤推理循环中叠加
- 控制系统成为单点故障
- 误报阻塞正常行为
- 协调开销随规模超线性增长
这并非新教训。早期分布式事务系统尝试对每个操作进行全局协调,在现实负载下宣告失败;早期网络将策略直接嵌入数据包处理,在变得过于复杂而崩溃前,最终将控制平面与数据平面分离。
当治理被直接嵌入执行路径时,自主 AI 系统重蹈了这一模式。每次检索、推理或工具调用都可能成为瓶颈。更糟糕的是,失败会向外蔓延:控制变慢,执行队列堆积;执行停滞,下游系统行为异常。全面中介不会创造安全,只会把系统变成脆弱体。
快路径:自治系统的生存之道
生产系统之所以能够存活,是因为允许大多数执行在没有同步治理的情况下推进。这些执行流即快路径,在预先授权的行为边界内运行。它们并非无治理,而是有约束的。
快路径可能包含:
- 从已批准数据域进行常规检索
- 使用已获任务许可的模型进行推理
- 在有限权限范围内调用工具
- 保持可逆性的迭代推理步骤
快路径假设并非每个决策都同等危险。它们依赖预先授权、上下文约束和持续观察,而非逐步审批。最关键的是,快路径可撤销——启用它们的授权不是永久的,而是有条件的,可以根据观察到的行为收紧、重定向或撤回。这才是自治能够在规模下生存的方式——不是逃离治理,而是在动态 enforced 的边界内运行。
慢路径:何时需要同步介入
并非所有决策都适合快路径。某些时刻需要同步中介,因为其后果不可逆或跨越信任边界。这些就是慢路径。
典型场景包括:
- 影响外部系统或用户的操作
- 从敏感或受监督&管理数据域检索
- 从顾问角色升级为行动授权
- 超出既定行为模式的新工具使用
慢路径并不常见,而是有意保持稀少。其目的不是监督常规行为,而是在风险等级发生变化时介入。设计好慢路径需要克制。当一切变成慢路径时,系统停滞;当慢路径缺失时,系统漂移。平衡的关键在于识别那些"错误成本高于等待成本"的决策节点——在这些节点上,延迟是可以接受的。
持续观察,按需干预
一个常见误解是:选择性控制意味着有限的可见性。实际上恰恰相反。控制平面持续观察——收集行为遥测、追踪决策序列、评估长期结果。只是在阈值被突破之前,不会进行同步干预。
这种分离——持续观察、按需干预——使系统能够从模式中学习,而非对单个步骤做出反应。漂移被检测到,不是因为某个单一操作违反了规则,而是因为轨迹开始偏离预期行为。干预因此变得有据可依,而非本能反射。
导语
AI 原生云架构引入了新的执行层来处理上下文编排与 Agent 调度,并配备独立的控制平面来管理成本、安全与行为策略。与传统方案不同,这些控制策略不再直接嵌入应用逻辑,而是作为独立层存在。
大多数 Agent 执行沿着快速路径运行,约束条件预先授权并持续可观测。只有在跨越特定边界时,才会路由至慢速路径控制平面进行同步仲裁,随后恢复执行——既保留了自主性,又维护了管控权威。
反馈优先,阻断为例外
当干预不可避免时,有效的系统倾向于反馈而非阻断。控制平面通过以下方式调整执行条件:
- 提高置信度阈值
- 缩减可用工具集
- 收窄检索范围
- 将执行重定向至人工审核
这些干预手段是适度的,且大多可逆。它们塑造的是未来行为,而非推翻已有工作。系统在更窄的约束范围内继续运行。这一思路借鉴了其他成熟领域的控制理论:稳定性来自适度修正,而非持续阻断。
直接阻断仅在极少数后果即时或不可逆的情况下才会启用,且作为显式覆盖手段,而非默认治理模式。
控制的成本曲线
治理存在成本曲线,这一点至关重要。同步控制的扩展性差——每增加一个受管控步骤,都会带来延迟、协调开销与运营风险。随着系统自主能力提升,普遍仲裁的成本呈指数级增长。
选择性控制则能压平这条曲线。通过让快速路径主导、仅为高影响力决策保留慢速路径,系统同时保持了响应能力与管控权威。治理成本随自主性增长而亚线性扩展,使规模化变得可行而非脆弱。这正是"纸面治理"与"生产级治理"的本质区别。
架构师需要改变什么
设计自主系统的架构师必须重新审视以下假设:
- 控制平面调节行为,而非审批动作
- 可观测性必须捕获决策上下文,而非仅记录事件
- 授权是运行时状态,而非静态配置
- 安全性来自反馈回路,而非检查点
这些是架构层面的转变,无法仅通过策略修补实现。
AI Agent 在共享上下文结构上运行,管理短期记忆、长期嵌入与事件历史。状态集中化使推理连续性、可审计性与治理成为可能,而无需将记忆逻辑嵌入单个 Agent。控制作为反馈系统运行:持续观测为约束更新提供信息,进而塑造后续执行。直接阻断作为最后手段存在,仅用于不可逆损害,而非日常治理。
治理结果,而非步骤
逐个审批每个决策的冲动可以理解——它让人感觉更安全。但规模化下的安全不来自于看清一切,而来自于在关键时刻能够干预。
AI 系统的自主性要持续有效,治理必须从"逐步审批"演进为"结果导向监督&管理"。快速路径保留自主性,慢速路径保留信任,反馈机制保留稳定性。AI 治理的未来不是更多的关卡,而是更优的控制。好的控制不会阻止系统行动,而是确保系统在自主性不断增长的背景下,依然能够安全地持续运行。
评论