字数:约 4,998 字|预计阅读:10 分钟

AI 代理最麻烦的地方,不是它突然坏掉。

更麻烦的是,它没坏。

它还在回复,还在调用工具,还在改字段,还在通知客户,还在往下跑流程。仪表盘没有一片红,接口也没有明显超时。只是某个判断已经偏了,接着这个偏掉的判断被系统认真执行了。

等人发现时,问题已经不是“它说错了一句话”。

问题变成了:它已经把错误做完了。

它没有崩,它只是继续执行。

插图 01
继续执行的错事
插图 01|继续执行的错事 最危险的故障,往往不是系统停了,而是它继续把错事做完。 打开原图

这就是 Forbes 那篇《How To Keep Your AI Agents From Breaking The Internet》真正值得展开的地方。题目看起来很大,像是在说 AI 代理明天会把互联网按崩。但原文真正讨论的不是科幻片,也不是“机器会不会反抗人类”。它讲的是一个更贴近接下来几年的问题:

当 AI 代理从演示环境进入真实业务系统以后,我们怎么防止它们在看不见的地方漂移、误判、连锁放大,最后变成一次生产事故。

这件事的重点不在“AI 会不会更聪明”。

重点在“AI 被接进系统以后,谁来管它”。

它不是聊天机器人了

Forbes 原文不长,大约五百多个英文词,更像一篇采访式观点短文。它采访的是 PagerDuty 的执行董事长、前 CEO Jenn Tejada。

这个身份很重要。

PagerDuty 关心的不是模型榜单,也不是聊天体验,而是数字运营和事件响应。系统出事以后,谁先知道?谁判断严重程度?谁升级?谁止损?谁让服务恢复?这些才是它的世界。

所以这篇文章没有从“模型有多强”讲起,而是从“AI 进入生产以后会怎么出事故”讲起。

这个角度更朴素,也更有用。

过去两年,大家讨论 AI 代理,常常问的是:它能替我做什么?

它能不能写代码?能不能做客服?能不能帮销售跟进客户?能不能查日志?能不能整理报告?能不能把几个系统串起来?

这些问题当然重要。

但它们只问了前半句。

后半句是:如果它做错了,谁知道?

更难的是:如果它不是明显做错,而是慢慢偏掉,谁知道?

传统软件故障往往很吵。服务挂了,页面打不开,数据库连不上,用户看到错误码。事情很糟,但它至少会喊疼。

AI 代理不一定。

它可能继续运行,继续返回看起来合理的结果,继续完成任务,只是任务方向已经偏了。

这比崩溃更难处理。

崩溃是系统喊疼。

漂移是系统不喊疼,但开始做错事。

漂移不是一次错误,是方向慢慢偏了

Forbes 原文里的核心词是 model drift,模型漂移。

漂移这个词很准。它不是一声脆响,不是某个零件突然断掉。它更像船慢慢离岸。风向变了,水流变了,岸线也变了,可船还以为自己沿着原来的航线前进。

漂移最麻烦的地方,是它常常没有一个清脆的断裂声。

插图 02
没有断裂声的漂移
插图 02|没有断裂声的漂移 漂移不是一次断裂,而是方向在没有警报的时候慢慢偏掉。 打开原图

AI 系统里的漂移,可能来自很多地方。

用户行为变了,业务规则变了,产品流程变了,数据分布变了,外部环境变了。模型没有立刻坏掉,但它越来越不适合新的场景。

如果只是问答机器人,漂移多半表现为回答质量下降。麻烦有,但大多还停在内容层。

AI 代理不一样。

代理有行动能力。它会把判断变成操作。

一个客服代理漂移,可能把应该升级的投诉当成普通咨询。

一个代码代理漂移,可能把临时修复写进主分支,还绕过测试。

一个销售代理漂移,可能把低意向线索判成高意向,反复触发跟进邮件。

一个财务流程代理漂移,可能把一次性例外当成常规路径。

一个运维代理漂移,可能在证据不足时重启服务、扩容资源、关闭告警。

这些事不一定马上表现为“系统挂了”。

它们更像业务层面的慢性事故。

这也是 AI 代理比普通自动化更难治理的地方。普通自动化通常是明确规则:如果 A,就做 B。它可能很笨,但边界清楚。

AI 代理更灵活。它会补上下文,会解释,会在规则不完整时自己找路。它好用,正是因为它能处理灰区。

可生产系统里,灰区从来不是免费的。

你让它在灰区里行动,就必须给它灰区里的护栏。

小团队加代理群,效率和风险一起上升

Forbes 原文提到一个组织变化:更小的团队,会管理更多专门化 AI 代理。

过去科技公司喜欢讲 one-pizza team、two-pizza team,也就是一两张披萨就能喂饱的小团队。团队小,沟通快,责任更集中。

以后,一个小团队可能不只是几个人,而是几个人加一组代理。

一个代理看告警。

一个代理查日志。

一个代理写修复建议。

一个代理通知客户。

一个代理生成复盘。

一个代理把信息同步到项目系统。

听起来效率很高。

但复杂度也会突然上去。

因为这些代理不是孤立存在的。一个代理的输出,会成为另一个代理的输入;一个代理的判断,会触发另一个代理的行动。

这时错误就有了路。

一个代理的判断,变成另一个代理的输入,错误就有了路。

插图 03
代理接力里的错误路径
插图 03|代理接力里的错误路径 一个小误判经过代理接力,会越来越像正式结论。 打开原图

最开始可能只是一个小误判:系统把某类异常归错了类。第二个代理根据这个分类查错日志。第三个代理根据日志生成错误修复建议。第四个代理把建议推给人,甚至在低风险权限下自动执行一部分。第五个代理又把结果写进复盘,成为下一次判断的参考。

错误被一层层加工以后,看起来越来越像一个正式结论。

这很危险。

流程越完整,错误有时越显得正规。

过去一个人犯错,旁边的人可能会问一句:你这个判断从哪来的?

但代理之间如果缺少独立校验,它们可能非常顺滑地把错误接力下去。

顺滑,本身就会让人放松警惕。

所以防止 AI 代理搞垮互联网,不是防止某个模型突然失控。更现实的任务,是防止一堆看似小的、合理的、局部正确的动作,在系统里合成一个全局错误。

AWS 的例子提醒的是依赖关系

Forbes 原文还提到 2025 年 10 月 AWS 的一次大规模服务中断。

这个例子不能误读。它不是说那次 AWS 故障由 AI 代理造成。AWS 后来的事件总结显示,那次 us-east-1 区域的 DynamoDB 服务中断,与自动化 DNS 管理系统中的潜在缺陷有关,后来又影响到 EC2、NLB 和多个依赖服务。

这个例子放在这里,真正提醒的是:现代互联网本来就由非常密集的依赖关系构成。

一个底层组件的问题,可能影响上层服务。

一个区域性问题,可能影响全球应用。

一个自动化系统里的潜在缺陷,可能在极端条件下被触发,然后沿着依赖链扩散。

基础设施事故真正提醒我们的,是依赖关系从来不会只停在原地。

插图 04
依赖关系的级联
插图 04|依赖关系的级联 现代系统的风险不只在单点,而在依赖链怎样把动作放大。 打开原图

AI 代理进入的不是白纸。

它们进入的是已有的云基础设施、业务系统、权限系统、告警系统、客户系统和内部流程。

这时,代理的错误也会继承系统的依赖关系。

它不是在真空里犯错。

它是在一个会放大动作的环境里犯错。

所以“AI 代理搞垮互联网”这个说法虽然夸张,但背后的担心并不空。互联网不一定会因为一个代理写错一句话而崩掉,但可能会因为许多代理在许多系统里不断做出小动作,而这些小动作又沿着复杂依赖被放大。

让 AI 看着 AI,不只是再叠一个模型

Tejada 在原文里给出的答案很短:AI watching AI。

让 AI 看着 AI。

这句话很容易被理解成再买一个更大的模型,来监督一堆小模型。这样理解太浅了。

更好的理解是:给 AI 代理系统加一层独立的观察和干预机制。

这句话最好的理解,不是再买一个更大的模型,而是给代理系统加一层独立观察。

插图 05
独立观察和停止线
插图 05|独立观察和停止线 监控不是事后看录像,而是能在偏差扩大前插手。 打开原图

这层机制看的不只是系统有没有响应。

它要看代理行为有没有偏离目标。

一个客服代理最近是不是突然把更多退款请求判成“不符合条件”?

一个代码代理是不是开始更频繁地绕过测试?

一个运营代理是不是不断把灰色内容判成可发布?

一个销售代理是不是明显提高了打扰频率?

一个运维代理是不是在证据不足时更频繁地触发恢复动作?

这些都不是传统意义上的宕机指标。

它们是行为偏差指标。

如果企业只看 CPU、延迟、错误码和接口可用性,就可能错过这类问题。AI 代理的风险不只在技术层,也在业务层、流程层、权限层。

所以“AI watching AI”最好理解成一种新的运营层。

它至少要做四件事。

第一,记录代理的行为轨迹。

它看到了什么输入?调用了什么工具?引用了什么规则?给出了什么判断?修改了什么数据?把结果交给了谁?有没有表达不确定?有没有触碰高风险动作?

没有这些记录,出了事根本没法复盘。

第二,监控代理的行为分布。

如果一个代理平时只有 5% 的请求需要升级,突然变成 30%,就应该有人知道。如果它平时很少调用删除类操作,最近开始频繁调用,也应该触发检查。

第三,设置干预入口。

发现偏差以后,系统必须能暂停代理、降级到人工、撤回动作、锁住权限、切换只读模式,或者把某类任务重新送进人工队列。

否则监控只是事后看录像。

第四,把小事故变成材料。

今天客服代理错判一个投诉,明天代码代理误修一个小问题,后天运营代理误发一条内容。如果每次都靠人工补一下,系统就不会变好。

小错必须被看见,才能成为经验。

别把代理当成“聪明实习生”

很多企业喜欢把 AI 代理叫作数字员工。

这个比喻有好处,因为它提醒人们 AI 不只是工具,也能承担任务。但它也有危险。人一旦把它想成“员工”,就容易默认它会慢慢懂事。

它会自己学吧?

它会知道轻重吧?

它应该知道什么事不能做吧?

问题是,AI 代理不是人。

它没有真正的责任感,也不会因为闯祸而睡不着。它没有组织记忆里的羞耻、经验里的分寸、对后果的身体感。它所谓的判断,本质上还是在给定输入、上下文、工具和目标下生成下一步动作。

所以它不能只靠“应该懂”。

生产环境里的 AI 代理,需要权限设计。

哪些动作只能读,不能写?

哪些动作可以生成草稿,不能自动发送?

哪些动作可以在沙盒执行,不能进生产?

哪些动作只要涉及删除、退款、封号、发信、权限变更、代码合并、资源扩容,就必须人工确认?

哪些动作超过金额、用户数、影响范围、时间窗口,就必须自动停止?

这些规则不酷。

但真正上线以后,酷没有用。

可控才有用。

AI 代理不是聪明实习生。更准确地说,它是一套带有语言界面的自动执行系统。对自动执行系统,最重要的不是相信它能做好,而是设计它做坏时的边界。

停下来也是能力

很多演示喜欢展示 AI 代理的连续行动能力。

你给它一个目标,它拆任务,查资料,调用工具,整理结果,修正错误,再继续下一步。它看起来像一个不用休息的执行者。

但生产系统真正需要的,不只是“继续做”。

还需要“知道什么时候不能继续做”。

一个好的 AI 代理系统,应该有清晰的停止条件。

连续失败三次,停止。

置信度低于阈值,停止。

输入明显超出熟悉范围,停止。

调用高风险工具前,停止。

影响用户超过一定规模,停止。

不同代理给出冲突判断,停止。

检测到行为分布异常,停止。

涉及不可逆动作,停止。

停止不是效率低。

停止是生产能力的一部分。

今天很多自动化系统最大的问题,不是不会启动,而是不好停。它会不断尝试替代路径:接口失败就换接口,权限不够就请求更多权限,数据缺失就估计一个值,证据不足就用概率最高的判断继续往下走。

这些能力在演示里很漂亮,在真实系统里必须被限制。

成熟的自动化,不是永远往前冲。

成熟的自动化,是在不确定性变大时,把控制权还给人。

能停下来的系统,才真的配得上自动化。

上线前先问这十个问题

这篇 Forbes 文章不是在劝企业不要用 AI 代理。

AI 代理会越来越多地进入真实流程。客服、销售、研发、运维、财务、法务、市场、数据分析,都可能出现代理化。

真正的问题是,企业不能用试用工具的心态上线 AI 代理。

上线前至少要问十个问题:

这些问题没有模型发布会热闹。

但它们决定 AI 代理能不能成为生产力,而不是生产事故。

越是强的代理,越需要清楚的边界。

因为能力越强,错误半径也越大。

最后,互联网不是被一句错话搞垮的

互联网不会因为一个 AI 代理答错一句话就崩掉。

它更可能因为许多代理在许多地方看似正常地工作,却在缺少监控、权限边界和停手机制的情况下,把错误沿着依赖关系传下去。

这不是科幻。

这是运营问题。

我们过去总把 AI 风险想成一个宏大故事:模型太强,人类失控,机器获得意识。可企业接下来更常见的风险,也许朴素得多:

一个代理误判了。

一个流程自动接上了。

一个权限给大了。

一个告警没看见。

一个人工审批变成形式。

一个小故障没人记录。

最后所有小事,合成一件大事。

所以,防止 AI 代理搞垮互联网,靠的不是一句“相信技术”,也不是一句“人类监督”。

它需要一套具体的生产纪律:

看得见。

管得住。

停得下。

追得回。

学得到。

AI 代理越像真正的执行者,这套纪律越不能省。

因为最危险的,从来不是机器偶尔犯错。

最危险的是,我们给了它执行权,却没有给系统留下足够多的刹车。


本文仅为行业观察与技术风险讨论,不构成任何投资建议。