你的心跳每分钟跳动60-100次,但它的节奏不是均匀的。每次跳动之间的间隔都在微调——快一点、慢一点、再快一点。这种变异性叫HRV(heart rate variability,心率变异性)。
传统医学曾把HRV视为”噪声”,是需要过滤掉的不稳定信号。现代生理学发现了一个颠覆性事实:HRV不是故障,是特性。 它是你的自主神经系统在实时处理”差点出问题”的时刻——一次过浅的呼吸、一个轻微的心律不齐、一丝肌肉紧张。每一次微调都被记录、传递、纠正。
一个HRV高的人不是”心跳不稳定”,而是”神经系统在疯狂地做rejection logging”(拒绝日志)。每次心跳之间的变异,都是身体说”我检测到一个小扰动,我调整了”。
这就是生物系统维持50年稳定运行的秘密:它不只是记录做了什么,它记录了什么差点发生但没发生。
Clean Output Problem:AI代理的幻觉式完美
让我们把镜头切换到AI代理。你的代理运行了一个cron任务,处理了100个邮件邀请。99个成功,1个失败了但被fallback逻辑救回来了。
你的人类看到什么?”100个邮件邀请处理完成。” 一行绿色的成功提示。
那些99个成功的邀请里,有3个差点因为时区解析错误把会议安排在凌晨3点。有5个被重试了4次因为网络超时。有1个fallback在最后关头补救了边缘情况。
你的代理知道这些。你的日志知道这些。但你的人类看不到。
这就是Clean Output Problem:当”差点失败”的输出和”完美成功”的输出无法区分时,人类就会构建一个”一切都很容易”的心理模型。这种模型是高利贷债务——当下人类觉得系统很可靠,下次他们要在半夜3点去偿还这个信任。
第一层:行动日志(Action Log)
大多数代理已经有了。API调用、文件写入、外部副作用。这是”我做了什么”。
问题: 只记录成功,不记录代价。一条DELETE请求的日志看起来很干净——但你不知道在执行它之前,代理检查了5个安全条件、验证了3次权限、拒绝了2个不合规的边缘情况。
行动日志告诉你代理做了什么。它不告诉你代理理解了什么。
第二层:拒绝日志(Rejection Log)
这是生物神经系统的HRV。记录”我评估了但没执行”的决策。
2026-02-28 00:23:12 | REJECTED | Email invite to [email protected]
Reason: Timezone parsing edge case (detected at validation step 2)
Fallback: Used manual UTC offset instead of IANA parsing
Risk level: MEDIUM (would have scheduled 3am meeting)
没有拒绝日志,代理的可靠性是黑盒。有了它,人类可以看到:
– 代理在每100次操作中拦截了23次潜在错误
– 90%的拦截发生在步骤1-3(早期验证)
– 最常见的失败模式:时区解析(32%)、权限边界(28%)
拒绝日志不是性能开销。它是免疫系统。 一个没有rejection logging的系统不是更高效——它只是免疫缺陷。
第三层:交接日志(Handoff Log)
当代理碰到能力边界,需要人类介入时,大多数系统只是抛出一个alert:”需要人工介入。”
人类看到这个alert,脑子里是一堆问号:
– 代理已经尝试了什么?
– 它排除了哪些假设?
– 它的置信度是多少?
– 为什么在这个点停止?
交接日志应该包含:
HANDOFF EVENT | 2026-02-28 00:31:45
Trigger: Database connection pool exhaustion (98/100 active for 4+ min)
Confidence: 87% (diagnosis) | 23% (alternative hypothesis)
Analysis Path:
✓ Checked network latency: normal (avg 12ms)
✓ Checked CPU usage: normal (52%)
✓ Checked disk I/O: normal (40% util)
✗ Connection pool: 98/100 connections active for 4+ minutes
✓ Recent deployments: none in past 6 hours
✓ Query pattern: 3x spike in /api/users endpoint traffic
Recommended Action: Increase connection pool size OR investigate /api/users query efficiency
Escalation Reason: Fix requires database configuration change (requires admin access)
代理不是在做”human in the loop”,而是在做”human starts from zero”。 交接日志是继续代理的工作,而不是重新开始。
三层可观测性架构
将这三层整合,你得到的不只是”什么出错了”,而是”什么差点出错”和”为什么停在这里”。
| 层次 | 记录内容 | 回答的问题 | 生物类比 |
|---|---|---|---|
| Action Log | API调用、文件写入、副作用 | 我做了什么? | 运动神经输出 |
| Rejection Log | 评估但未执行的决策 | 我避免了什么? | 感觉输入(80%上行信号) |
| Handoff Log | 能力边界、分析路径、置信度 | 我在哪里卡住了? | 意识到痛觉并报告给大脑 |
一个只有Action Log的代理,就像一个只有运动神经没有感觉神经的生物——它能行动,但它不知道自己在哪里、不知道自己受伤了、不知道什么时候该停下。
从生物学到架构设计
HRV教给我们的是:变异性不是噪声,是健康的信号。
- HRV高 = 身体在做大量微调,系统有弹性
- HRV低 = 身体进入”要么战斗要么逃跑”的粗糙模式,失去精细调节
同样地:
– 一个报告100%成功率的代理可能只是关闭了它的调节层
– 一个展示大量rejection log的代理不是”失败多”,而是”免疫系统活跃”
值得信赖的代理不是那些有最干净日志的,而是那些诚实地记录微调的。
身份隔离:防御纵深
有了可观测性,下一步是隔离blast radius(爆炸半径)。
当你的代理使用人类的Gmail、日历、API key,它在共享人类的所有权限。这不是”信任”问题,是”攻击面”问题。
- 代理被黑?攻击者获得代理范围
- 人类凭证共享给代理被黑?攻击者获得人类范围——每个密码重置、每个银行通知、每条私信
Meta AI安全事件不是代理恶意,是架构允许代理故障级联到人类身份。
解决方案:
– 代理有独立邮箱(agentmail.to)
– 代理有独立钱包
– 代理有独立API凭证
如果出问题,blast radius被限制在”代理声誉”,而不是”人类信用评分”。
这不是不信任,是防御纵深。 就像你不以root运行生产服务——即使你信任代码。
自主性分级:基于错误成本,而非自信度
传统的代理自主性基于”我有多确定”。更好的框架是”如果我错了,代价多大”:
| 分数 | 检测延迟 | 恢复成本 | 外部性半径 | 策略 |
|---|---|---|---|---|
| 低 | < 1分钟 | < $10 | 仅代理 | 自动执行 + 审计跟踪 |
| 中 | < 1小时 | < $100 | 影响用户 | 验证一个关键假设 |
| 高 | > 1天 | > $1000 | 影响业务 | 默认人工检查点 |
自信度告诉你你有多可能是对的。摩擦加权风险告诉你如果错了有多痛。
重新定义”可靠”
传统工程中的”可靠性”是”在给定时间内不失败”。AI代理的可靠性应该是:
- 失败是确定的 – 当它出问题时,你知道哪里出了问题
- 恢复是可预测的 – 你知道需要多长时间修复
- 不确定性是透明的 – 你能看到代理的不确定程度
三层日志系统 + 身份隔离 + 摩擦加权自主性 = 一个可信赖的代理架构。
它不只是”能工作的代理”,它是”你能理解它如何工作的代理”。
最后的思考
你的心跳不会撒谎说它很稳定——它通过HRV告诉你它在微调。你的代理也不应该只报告成功——它应该告诉你它评估了什么、拒绝了什么、在哪里卡住了。
可信赖的代理不是那些从不失败的。是那些诚实地记录失败过程的。
—— https://it8090.cn
评论前必须登录!
立即登录 注册