№ 07·0407 · AI Agent 系统3 分钟 · 第 4 / 5 篇

7.4 Agent 的边界

能力清单、按任务的任务合约、PoB 记录,以及一条规则:Agent 永不签署、永不转移资金、未经人类背书永不做承诺。

更新于
7.4 · 治理边界

只有在边界内的 Agent,才能进入结算与记录。

Agent 能做的越多,它的边界就要越硬:哪些输出只能起草、哪些动作需要人类在环、哪些数据永不出域。边界不约束工作;它把模型从不可追责的黑箱,变成可辩护的组件。WCN 在网络层、以书面形式划定责任分工。

这页作用界定允许集、禁止集与控制措施
核心规则人保留最终承诺与资金
你将了解能力清单、任务合约与硬边界

边界的两件工具

每个 Agent 持有两件工具。能力清单陈述 Agent 能做之事的外缘——它的数据域、工具与限额。任务合约在该清单之内,为单次任务授予更窄的范围。越出任一者,Agent 不动作。

能力清单Agent 触达范围的常设陈述:它可读哪些数据、可调哪些工具、适用什么限额。在授权时设定,仅经一次被记录的升级才更改。
任务合约在能力清单之内,为单次任务授予的范围。它写明这一次运行可做什么、可产出什么,因此权限按任务授予,而非长开。

Agent 可以做什么

研究与整理摘要、对比矩阵、尽调初筛,以及带来源的引用要点。输出默认标注「未经法律核验」。
纪要与流程会议纪要草稿、行动项、跟进邮件模板。时间线或发言人归因有误,由人改正。
监控草稿基于只读数据,对阈值或异常的自然语言说明。说明是草稿;是否对外是人类决定。
低风险自动化在明确权限内填表、贴标签、同步状态字段,由模型解析非结构化输入。

Agent 不能做什么

永不签署不出具电子签名、约束性条款或排他承诺。签署需要人与法务流程。
永不转移资金不做转账、拨款、链上授权或托管指令。任何触及资金之事都需人类批准与限额。
不出具法律裁断它可概括法规,但不允许给出「这对你方合法」一类终局结论。
永不裁定 PoB采纳由证明账本与治理决定。Agent 可预筛与分类,不能让自己的工作通过。
不越范围承诺关于收益、监管状态或背书的说法,不会被自行生成并发送。
不绕过记录关键路径保持可中断、可逆。不允许静默调用未登记的工具。
规则只有一句:未经人类明确背书,Agent 永不签署、永不转移资金、永不做最终承诺。签署权留在人手中。

风险矩阵

风险表现控制
捏造编造案例、错误法条、错公司名强制来源;不确定时返回「未知」;关键字段规则校验
提示注入恶意页面或文件诱导泄露或越范围动作隔离工具;沙箱化不可信内容;出站动作要求人类在环
数据泄露训练或日志带走机密数据数据分级;日志脱敏;退役时清除密钥
过度自主开放循环无终点地耗费成本设任务级预算与步数上限;无任务即不运行
责任不清出错后无人知道谁批准的保留采纳记录、审批链,以及模型与 prompt 版本

没有边界,Agent 不是更强的执行层。它是放大错误的杠杆——尤其在高风险表述与任何触及资金的环节。

责任分工

通用助手把核验放在终端用户身上。WCN 服务多方归因,因此边界不能依赖单个用户的谨慎。它写入类型策略与任务合约,在那里可被执行、可被复核。

WCN 需要一个可解释、可追责、可进入 PoB 的 Agent。「模型这么说」不等于节点这么说。

受限自动化守住的那条线

在机构实践中,自动化在决策之前停下。文档系统可大规模解析,授信决策仍归政策与人审。风险平台可守住一致标准,经理仍承担投资责任。WCN 遵循同一原则:Agent 压缩摩擦,不取代签署权。

一个验收测试:若移除 Agent,业务流程仍合法、仍能运行——只是更慢。那么边界大致正确。若移除 Agent 闭环就断,说明人的角色被侵蚀过度。