很多 Agent 系统失控,并不是因为模型突然变坏,而是因为同一个角色同时承担了观察、判断、执行和自我纠错。它既负责解释外部输入,也负责评估风险,还能直接调用工具落地动作。这样一来,一旦最初判断偏了,后续执行与“自我证明”就会沿着同一条错误路径不断放大。
把观察者和执行者分离,真正解决的不是组织分工问题,而是系统里的权力耦合问题。结合 LangGraph 对 Human In The Loop 的设计、MCP 的授权边界,以及 NIST 对风险治理的要求,我们更应该让一个角色负责看见异常、提出判断、给出建议,另一个角色只在边界明确、条件满足时执行高影响动作。对 TaskPilots 全自定义 Agent Studio 而言,这正是治理模型与权限边界从“能配置”走向“能控风险”的关键设计。
为什么这个问题重要
同一角色既观察又执行时,错误会沿着同一条链路自我放大
如果同一个 Agent 同时负责读取上下文、判断是否安全、决定下一步并执行工具调用,那么任何早期偏差都会被后续动作不断强化。它不仅会误判风险,还会在误判基础上继续触发外部副作用,例如发送错误通知、修改错误配置、推进错误状态,最后再用自己的新输出证明原判断“看起来合理”。
这种结构最大的问题,不是单次判断失误,而是缺少独立视角来纠偏。观察者和执行者一旦耦合,系统就失去了在执行前停下来重新核对的自然机会。
角色分离把“看见问题”和“做出动作”拆成两个可审计节点
一旦把观察和执行分开,系统就能明确地区分两类责任。观察者负责描述当前状态、识别风险信号、提出候选路径;执行者只在权限、上下文和审批条件满足时推进动作。这样团队在事后复盘时,也能更清楚地回答:是观察出了错,还是执行越了界。
这层拆分的价值,在高风险自动化里尤其明显。对接真实权限和真实副作用的系统,不该把“发现异常”和“继续执行”交给同一只手。
适用场景
最适合高影响、副作用明确、需要持续审计的自动化流程
这套方法最适合那些一旦执行错误就会带来真实损失的场景,例如权限开通、资金动作、生产配置变更、客户承诺更新、工单关闭、内容发布和跨系统数据回写。它们的共同点是:系统不仅要判断内容是否合理,还要决定是否值得真正动手。
如果团队已经在为“谁批准了这次动作”“为什么系统没有拦住它”“为什么没有人在执行前再看一眼”反复复盘,那么观察者与执行者分离通常就是值得尽快引入的结构调整。
不适合的是纯建议型、无副作用、即时丢弃也无明显代价的任务
如果 Agent 当前只做建议生成、信息汇总、草稿起草,不直接调用高影响工具,也不会改变真实业务状态,那么完整的角色分离可能偏重。此时更轻量的输出审查或抽样人工复核,往往就够用了。
一个简单判断标准是:如果执行错误后不会触发外部副作用,也无需事后明确追责,就可以先不把观察与执行拆得太开;反之,只要动作一旦落地就会留下真实后果,这层拆分就很值得。
推荐系统结构
让观察者负责描述、评估和升级,让执行者只负责受控落地
更稳健的结构,是把观察者定义成“只读视角”。它可以读取上下文、发现异常、生成风险摘要、给出候选动作和升级建议,但默认不直接产生高影响副作用。执行者则只能在接收到明确授权、满足策略检查、拿到足够证据后,才允许调用工具或改变系统状态。
这样设计的好处是,观察者可以更大胆地发现问题,而不必同时承担“我现在就要把它做掉”的压力。执行者则因为职责更窄,更容易被权限边界、审批链路和审计机制牢牢约束。
在 TaskPilots 中,用角色分层替代单 Agent 全能路径
映射到 TaskPilots,全自定义 Agent Studio 不应默认把检测、判断和执行都塞进同一个 Agent。更合理的方式,是让观察型 Agent 输出状态评估、风险分级和建议动作,再由执行型 Agent 或受控执行器根据权限信封、审批状态和策略引擎结果决定是否落地。必要时,人类审批节点也应被视为执行前的正式角色,而不是临时插入的补丁。
这样一来,治理模型就有了真正的层次:观察层负责解释世界,执行层负责改变世界,中间再用审批和策略把两者连接起来。风险会更容易被隔离在执行前,而不是执行后。
风险与失效点
最常见的失控,是把观察结果直接当成执行许可
很多系统的问题,不是没有观察,而是观察结果一出来就直接驱动执行。比如模型刚识别出“这大概率是低风险请求”,系统就马上调用工具处理;或者模型刚判断“用户似乎有这个权限”,就直接开通访问。这种结构本质上仍是单角色路径,只是把执行包在了观察结果后面。
另一个高频问题是执行者拿到了过多上下文和判断权。执行者一旦既能调用工具,又能修改自己的执行条件,角色分离就会重新塌回单 Agent 结构,失去原本想要的制衡效果。
高影响节点必须保留人工复核、拒绝执行和证据留存
即便已经做了角色分离,高影响动作仍不该完全自动化。涉及资金、权限提升、客户承诺、生产变更、敏感数据读取等节点时,系统应保留人工审批或双重确认,并且允许执行者在证据不足时明确拒绝执行,而不是硬着头皮继续猜。
同时,每一次观察结论、执行动作和人工审批都需要被记录下来。若系统只能告诉你“最后执行了”,却说不清是谁观察、谁批准、谁落地,那么角色分离就只剩下名义上的结构,而没有真正形成治理闭环。
验证指标
上线前重点验证观察与执行之间是否真的存在独立闸门
发布前不要只看任务能否成功执行,更要看观察结论是否会被无条件放大成执行动作。至少要测试三类样例:观察者给出高置信建议的场景、观察者给出模糊建议需升级人工的场景、以及观察结论被策略或审批链路明确拦下的场景。只有这三类都稳定,角色分离才算真的成立。
如果条件允许,还应做反向测试:故意给观察层喂入边缘样例、噪声输入和错误线索,确认执行层不会因为观察层的一次偏差就直接走到高影响动作上。
上线后持续看阻断准确率、审批命中率和误放行率
上线后建议至少跟踪四类指标:高风险动作被成功升级人工的比例、应被阻断但仍被执行的误放行率、观察结论与最终执行结果的偏差率,以及关键执行路径的审计证据完备度。这几项能比较直接地反映角色分离是否真的降低了失控风险。
此外,还值得单独观察“人工复核后推翻观察结论”的比例,以及“执行层因证据不足主动拒绝”的比例。前者能帮助团队校准观察层质量,后者则能看出执行边界是否真的在起作用。
下一步 / FAQ
下一步先列出哪些动作绝不能由观察角色直接触发
最有效的第一步,不是马上重构全部 Agent,而是先把当前系统里所有高影响动作列出来,明确哪些动作不能由观察角色直接落地,例如权限开通、外部通知、配置修改、资金处理、客户状态变更。然后再为这些动作补上执行角色、审批节点和证据要求。只要这份清单做出来,你们通常就会看见哪些路径其实还在“观察即执行”。
完成这一步后,再去调整角色边界、工具权限和审批流,会比直接从模型表现入手更稳。因为你们改的是系统权力结构,而不是只在输出质量上打补丁。
FAQ
问:观察者和执行者分离是不是一定要两个模型?
答:不一定。关键不是模型数量,而是角色边界是否在系统层被真正拆开,是否拥有不同权限、不同输入和不同放行条件。
问:已经有人工审批了,还需要角色分离吗?
答:需要。人工审批能挡住一部分高风险动作,但如果观察与执行仍在同一条自动路径上,很多低可见度错误仍会在到达人之前被放大。
问:这样会不会让系统变慢?
答:会让高影响路径多一道判断,但通常也会显著减少误执行和事后返工。对接真实权限和副作用的流程来说,这种慢往往是值得的。
问:如何避免角色分离后职责过于僵硬?
答:关键是把高风险路径收紧,而不是把所有动作都拆得很重。对低风险任务保持顺畅,对高风险动作明确分层,通常就是更实用的平衡点。