我现在越来越觉得,很多 Agent 项目最后能不能上线,关键根本不在模型。模型当然重要,但它通常不是第一个把项目卡死的地方。更常见的现实是:团队刚把原型跑起来,接下来就被一连串更难回答的问题绊住——谁来审计?谁来兜底?错误动作怎么算?权限怎么切?出事后能不能还原发生了什么?
OpenAI 在 2026 年发布的《Building Governed AI Agents – A Practical Guide to Agentic Scaffolding》很值得开发者认真看。它真正点出来的一件事是:企业不是不想上 Agent,而是很多试点卡在“看起来能做事”和“可以放心上线”之间。这中间缺的,往往不是能力,而是治理层。
为什么治理会比模型更早成为问题
因为模型问题通常能被局部观察到:答错了、漏了、跑偏了,大家能看见。但治理问题更像系统性债务,平时不一定显眼,一旦进入真实流程就会集中爆发。比如:
- 谁能给 Agent 生产权限;
- 什么动作必须人工确认;
- 调用外部系统后,日志和证据怎么保留;
- 多工具链路里,责任边界怎么划分;
- 一旦行为异常,谁有权暂停和回滚。
这些问题不解决,哪怕模型回答得再漂亮,项目也很难真正进到生产场景。因为组织怕的通常不是“它偶尔不聪明”,而是“它一旦做错,系统有没有控制杆”。
我为什么很认同“scaffolding”这个说法
因为它很准确。很多人把治理理解成加一些规则、加几个审核点,我觉得这还是太轻了。真正的治理更像脚手架:系统能不能安全长高,不取决于最上面那层看起来多强,而取决于底下有没有一套稳定承重的结构。
在 Agent 里,这层脚手架通常包括:
- 权限分级;
- 策略路由;
- 人工审批节点;
- 可追踪事件流;
- 异常熔断与回滚机制;
- 面向上线的评测与监控。
少了这些,系统可能能跑,但很难被信任。尤其一旦 Agent 开始接 CRM、工单、支付、代码仓库、邮件这类真实系统,治理就不再是“锦上添花的企业功能”,而是生产门槛。
policy:
read_actions:
- allowed
write_actions:
- require_human_review
destructive_actions:
- blocked
observability:
- trace_id
- tool_call_log
- approval_log
failsafe:
- pause_on_policy_violation
- rollback_if_external_write_failed这段配置不复杂,但已经足够说明:治理层不是一句“加 guardrails”能带过的,它是一组会影响架构的系统能力。
被夸大的地方:很多人把治理说得像拖慢创新
我不太认同这种说法。好的治理当然会增加前期工作量,但它并不只是“踩刹车”。很多时候,它反而决定你能不能规模化试错。因为没有治理层,团队通常只能在很窄的、安全感不足的边界里做演示;有了治理层,才可能把试点扩大到真实流程。
换句话说,治理不是创新的对立面,而是让创新不至于只停留在 demo 的前提条件。
个人开发者有没有必要关心这一层
我觉得非常有必要,哪怕你现在不是做企业产品。因为治理层本质上是在回答两个问题:系统能不能被别人信任,系统出错时你能不能解释。对个人开发者来说,这两件事同样重要。
你可能没有完整的审批系统,也没有复杂的审计平台,但至少应该早点建立这些最小能力:
- 区分只读动作和写动作;
- 高风险动作默认人工确认;
- 关键工具调用有日志可查;
- 失败后能知道错在模型、工具还是外部系统。
这套最小治理层,会直接决定你的产品是“看上去很酷”,还是“别人愿意把真实工作交给它”。
如果半天时间只做一次验证
我会选一个涉及写操作的真实场景,比如修改数据库记录、创建工单、发送客户邮件。然后故意制造三种异常:权限不足、外部系统超时、模型输出越权动作。看系统能不能做到:
- 及时拦截;
- 明确报错;
- 留下足够的追踪信息;
- 不把错误扩大成更大的操作事故。
如果这四件事做不到,先别急着考虑更强模型。那说明真正的短板不在智能层,而在控制层。
我的判断
Agent 能不能从 demo 走到生产,治理层很可能比模型更早决定答案。模型决定上限,治理决定能不能上线。对企业团队来说,这已经不是附加题,而是主问题;对个人开发者和小团队来说,也应该尽早形成最小治理习惯。别把“能自动做事”误以为“已经可以放心交付”,中间隔着一整层脚手架。
参考来源类型:OpenAI Developers Cookbook(Building Governed AI Agents – A Practical Guide to Agentic Scaffolding),Agents/Evals/Guardrails 官方资料。