7.4 · Agent 边界
受控的 Agent 才可进入结算与信誉体系。
能力越强,越需要硬边界:哪些输出只能草稿、哪些动作必须 HITL、哪些数据永不出域。边界不是限制创新,而是把 LLM 从「不可追责的黑箱」变成「可辩护的组件」——与 Copilot 仅建议、用户全责不同,WCN 要在网络层显式划分责任。
Agent 可以做什么(允许集)
研究与整理摘要、对比矩阵、尽调初筛、引用带来源的 bullet;适合 GPT-4 / Claude 长文 + RAG。输出默认标注「未法律验证」。
流程与纪要会议纪要草稿、行动项、跟进邮件模板;Execution 类核心场景。时间线与发言人归因错误需人工改。
增长与监控文案变体、渠道要点、指标异常的叙述性说明;Liquidity 类只读行情后的自然语言警报。
低风险自动化在明确权限内填表、贴标签、同步状态字段;类比 RPA,但由 LLM 解析非结构化输入。
Agent 不能做什么(禁止集)
不能替代签约电子签、具约束力条款、排他/对赌结论须人类与法务流程。
不能单独驱动资金转账、拨款、链上授权、托管指令——即使接钱包工具也需多重人类批准与限额。
不能出具法律/税务/审计意见可检索法规摘要,不得输出「对你方合法」类终局结论。
不能最终裁定 PoBProof Desk 与治理规则决定采纳;Agent 可预审排序,不可「自证通过」。
不能越权对外承诺收益、监管状态、上所时间、背书关系——律所级表述禁止自动生成发送。
不能绕过日志与接管关键路径须可中断、可回滚;禁止静默调用未登记工具。
风险矩阵(简)
| 风险 | 表现 | 控制思路 |
|---|---|---|
| 幻觉 | 捏造案例、错误法条、错公司名 | 强制引用;不确定则输出「未知」;关键字段规则校验 |
| 提示注入 | 恶意网页/ PDF 诱导泄露或越权 | 工具隔离;不可信内容沙箱;出站动作 HITL |
| 数据泄露 | 训练或日志带走机密 | 数据分级;日志脱敏;Retired 后清除密钥 |
| 过度自主 | AutoGPT 式无限循环与费用 | 任务级预算与步数上限;无任务即不运行 |
| 责任模糊 | 出事不知谁批的 | 采纳记录 + 审批链 + 模型/ prompt 版本号 |
没有边界时,AI 不是更强的执行层,而是放大错误的杠杆——尤其在高 stakes 文案与资金邻近流程。
与 Microsoft Copilot / 通用助手的责任分界
Copilot 通常条款约定:建议由用户负责核实。WCN 网络侧还要服务多方归因:因此 Agent 边界必须写入类型策略与任务合同,而不是仅靠终端用户自律。
WCN 需要的是可解释、可追责、可进入 PoB 的 Agent;不可把「模型说了」当成节点说了。
TradFi 启示:自动化停在决策链之前
COIN 类系统处理大量文档解析,授信决策仍在银行政策与人审;Aladdin 强调风险口径一致,组合经理仍承担投资责任。WCN 对齐同一原则:Agent 压缩摩擦,不取代签字权。
产品验收一句:若删除 Agent,业务流程仍合法可跑,只是更慢——则边界大致正确。若删除 Agent 流程无法闭环,说明人类环节被侵蚀过度。