7.4 · 治理边界
只有在边界内的 Agent,才能进入结算与记录。
Agent 能做的越多,它的边界就要越硬:哪些输出只能起草、哪些动作需要人类在环、哪些数据永不出域。边界不约束工作;它把模型从不可追责的黑箱,变成可辩护的组件。WCN 在网络层、以书面形式划定责任分工。
边界的两件工具
每个 Agent 持有两件工具。能力清单陈述 Agent 能做之事的外缘——它的数据域、工具与限额。任务合约在该清单之内,为单次任务授予更窄的范围。越出任一者,Agent 不动作。
能力清单Agent 触达范围的常设陈述:它可读哪些数据、可调哪些工具、适用什么限额。在授权时设定,仅经一次被记录的升级才更改。
任务合约在能力清单之内,为单次任务授予的范围。它写明这一次运行可做什么、可产出什么,因此权限按任务授予,而非长开。
Agent 可以做什么
研究与整理摘要、对比矩阵、尽调初筛,以及带来源的引用要点。输出默认标注「未经法律核验」。
纪要与流程会议纪要草稿、行动项、跟进邮件模板。时间线或发言人归因有误,由人改正。
监控草稿基于只读数据,对阈值或异常的自然语言说明。说明是草稿;是否对外是人类决定。
低风险自动化在明确权限内填表、贴标签、同步状态字段,由模型解析非结构化输入。
Agent 不能做什么
永不签署不出具电子签名、约束性条款或排他承诺。签署需要人与法务流程。
永不转移资金不做转账、拨款、链上授权或托管指令。任何触及资金之事都需人类批准与限额。
不出具法律裁断它可概括法规,但不允许给出「这对你方合法」一类终局结论。
永不裁定 PoB采纳由证明账本与治理决定。Agent 可预筛与分类,不能让自己的工作通过。
不越范围承诺关于收益、监管状态或背书的说法,不会被自行生成并发送。
不绕过记录关键路径保持可中断、可逆。不允许静默调用未登记的工具。
规则只有一句:未经人类明确背书,Agent 永不签署、永不转移资金、永不做最终承诺。签署权留在人手中。
风险矩阵
| 风险 | 表现 | 控制 |
|---|---|---|
| 捏造 | 编造案例、错误法条、错公司名 | 强制来源;不确定时返回「未知」;关键字段规则校验 |
| 提示注入 | 恶意页面或文件诱导泄露或越范围动作 | 隔离工具;沙箱化不可信内容;出站动作要求人类在环 |
| 数据泄露 | 训练或日志带走机密数据 | 数据分级;日志脱敏;退役时清除密钥 |
| 过度自主 | 开放循环无终点地耗费成本 | 设任务级预算与步数上限;无任务即不运行 |
| 责任不清 | 出错后无人知道谁批准的 | 保留采纳记录、审批链,以及模型与 prompt 版本 |
没有边界,Agent 不是更强的执行层。它是放大错误的杠杆——尤其在高风险表述与任何触及资金的环节。
责任分工
通用助手把核验放在终端用户身上。WCN 服务多方归因,因此边界不能依赖单个用户的谨慎。它写入类型策略与任务合约,在那里可被执行、可被复核。
WCN 需要一个可解释、可追责、可进入 PoB 的 Agent。「模型这么说」不等于节点这么说。
受限自动化守住的那条线
在机构实践中,自动化在决策之前停下。文档系统可大规模解析,授信决策仍归政策与人审。风险平台可守住一致标准,经理仍承担投资责任。WCN 遵循同一原则:Agent 压缩摩擦,不取代签署权。
一个验收测试:若移除 Agent,业务流程仍合法、仍能运行——只是更慢。那么边界大致正确。若移除 Agent 闭环就断,说明人的角色被侵蚀过度。