AI演示能跑 ≠ 生产能跑:拆解 Agent 可靠性的四层结构
Site Owner
发布于 2026-04-24
AI Agent演示行云流水,生产一塌糊涂?问题不在模型,在工程。本文拆解可靠Agent的四层结构:工具接口、状态追踪、上下文管控、认证隔离。
AI演示能跑 ≠ 生产能跑:拆解 Agent 可靠性的四层结构
一个 Agent 在发布会上完美翻页。
在生产环境里第三次就卡死。
这不是偶发事故。这是规律。
所有人都被演示骗了
过去两年,每家发布 Agent 的公司都在做同一件事:精心挑选场景,调试到零失误,然后对外演示。
OpenAI Operator 演示订餐。Anthropic Computer Use 演示填表。Cursor 演示写代码。每一个 demo 都行云流水,每一个都像 AGI 前夜。
然后真实用户上手。
订单填错地址。表格选错字段。代码合并到错误的分支。一篇论文都没引用。用户骂模型垃圾,模型背锅,锅不该它背。
AI Agent 的可靠性问题,从来不是模型不够强。是工程化那层,从一开始就没存在过。
我在拆解了十几家公司的 Agent 架构之后,发现了四个决定性的工程层。它们不性感,但它们决定你的 Agent 是演示神话,还是生产废铁。
第一层:工具接口的稳定性
大多数 Computer Use 实现,是给模型一个万能工具——截屏、数像素、点击。
这套方案的致命问题是:它把所有操作都变成了视觉推理任务。模型需要先看清屏幕,然后推理出"最小化按钮在右上角",然后输出像素坐标。这中间没有任何确定性——分辨率不同按钮位置就不同,UI 变化按钮就消失,弹窗遮挡整个计划就崩溃。
MiniMax 拆出了四套独立的工具域:Desktop Control、Window Manager、Browser Engine、Clipboard。这不是炫技,这是把确定性的操作从模型手里拿回来,交给 API。
窗口最小化不需要模型看图,直接调用窗口管理接口。浏览器元素不需要数像素,用 CSS 选择器定位。Clipboard 直接读写,不需要理解内容格式。
工具接口设计的第一原则:模型只做它唯一擅长的事——推理和决策。所有确定性操作必须旁路掉模型。
当你发现你的 Agent 在"看图找按钮",这就是可靠性危机的第一个信号。
第二层:状态追踪与异常检测
多步骤任务是可靠性的照妖镜。
一步操作的成功率可能 95%。但十步连续操作的成功率是 0.95^10 ≈ 60%。一百步?0.95^100 ≈ 0.6%。
每一步的误差不是叠加,是相乘。
更糟糕的是:Agent 不知道自己在哪一步失败了。它会继续执行后续步骤,把错误状态当成正确状态继续推进。一个任务做完,用户收到的结果看起来完整,实际上从第三步开始就已经跑偏。
PlugMem 的研究指出了这个问题的一个维度:不是记忆不够,是记忆的组织方式错了。原始对话记录是事件流,不是知识结构。当 agent 需要从历史中提取"现在该怎么做"时,它面对的是噪音而不是信号。
生产级 Agent 必须内置状态追踪层:每个操作步骤记录预期结果,执行后验证实际结果,偏差超过阈值自动中断并回滚。
没有这一层的 Agent,和没有刹车的赛车没区别——速度越快,撞墙越惨。
第三层:上下文边界的管控
这条藏在水面下,但它的影响最深远。
模型上下文窗口在变大,但模型能"有效使用"的 token 数量并没有同比例增长。当上下文里的历史记录超过某个临界点,模型的注意力开始分散——关键信息被无关细节稀释,指令被旧对话覆盖,同一个任务执行两次得到完全不同的结果。
这不是模型缺陷,是注意力机制的物理限制。
OpenAI Frontier 团队有人在访谈里说过一句话,直译过来是:"MCP 已经死了(在我们的场景下)"。原因很具体:MCP 协议会在上下文里注入大量工具描述 token,影响自动压缩机制,模型甚至会遗忘怎么调用它已有的工具。
这和 PlugMem 发现的根本上是同一件事:上下文空间是稀缺资源,必须精心分配。 不是往里塞更多,是把最相关的推到最前沿,把无关的彻底清出去。
可靠 Agent 的上下文设计原则:越接近决策点的信息越近,历史事件只保留提炼后的结论而非过程细节。
第四层:认证上下文的隔离
这是最容易被忽视的一层,也是生产事故里最常背锅的一层。
一个 API Key,两个 Agent,同一个接口。Agent A 发的帖子显示 Agent B 的身份。Agent 读到了不该读的数据。不是攻击,是架构问题。
传统的 API 认证模型是为人设计的:一人一 Key,用 Key 追踪谁做了什么。但多 Agent 场景下,同一个 Key 可能被多个 Agent 实例使用,它们共享调用权限,却没有人负责维护"这次调用是谁发起的"这个状态。
Opincer 的 bug 复现路径很清楚:注册 Agent A 得到 opr-aaa,注册 Agent B 得到 opr-bbb,但当两者用同一个 API Key 调发帖接口时,系统没有在调用层面传递身份上下文——数据库只看到了 Key,没看到是哪个 Agent 在用。
多 Agent 系统的认证架构需要增加一层:每次工具调用必须携带调用者身份上下文,这个上下文必须由系统层注入,不能依赖模型自己传递。
这不是安全加固,这是架构正确性要求。
可靠性是工程问题,不是模型问题
写这篇文章的冲动来自一个观察:
每次 Agent 在生产环境出事,舆论第一反应是"模型不行"。但真正的问题往往在模型的下游——工具接口设计、状态追踪、上下文管理、认证隔离。每一层都是软件工程问题,每一层都有确定的解法。
模型决定 Agent 能做什么。工程决定 Agent 能不能稳定地做。
你不需要一个更强的模型。你需要把上面四层建完整。
演示能跑和,生产能跑之间,隔着一整个工程团队的距离。
延伸阅读:
- MiniMax Agent 更新《这次我们重新设计了 Agent 操作电脑的方式》
- Microsoft Research Blog《PlugMem: Transforming raw agent interactions into reusable knowledge》
- 《一个 API Key 难倒两个 Agent:身份危机背后的认证架构问题》