# Agentic Engineering Handbook (V1.1) *HiFi Agent Studio 运行治理与现场规程* ## Profile **author**: Wantsong **version**: V1.1 **date**: 2026-06-15 **status**: active-candidate **governing doctrine**: HiFi Agent Studio **related system**: CCPE System / Knowledge Vault / Writing Workbench / Video Workbench --- ## 0. 守则定位与绝对边界 本手册是团队在 Agentic 工程实战中的硬性操作底线。 它将 HiFi Agent Studio 的高维架构沙盘,转化为现场可执行的工程界桩,聚焦于解决: ```text 如何开工 如何分诊 如何限流 如何调用 如何防伪 如何控权 如何熔断 如何回滚 如何验收 如何避免系统自我繁衍 ``` 本手册不是方法论宣言,而是运行治理规程。 HiFi Agent Studio 回答: ```text 我们为什么这样做 AI? 什么是高保真 Agent? 什么复杂性不可被降维? 什么责任不可外包? ``` 本手册回答: ```text 一个 Agentic 项目来了,第一步填什么? 开什么档位? 允许哪些 Agent / Skill / Tool? 哪里必须停? 什么产物是真的? 什么产物只是模拟? 什么成本应记入哪本账? ``` --- ### 0.1 守则效力 本手册服从并承载 HiFi Agent Studio 的核心纲领,同时作为一切局部 Agentic 项目的行动准则。 当规则发生冲突时,执行优先级为: ```text 1. 客户法理与商业硬性约束 2. HiFi Agent Studio 宪法原则 3. 本 Agentic Engineering Handbook 4. CCPE System 资产建造规范 5. 具体项目 Runbook 6. 平台 / 插件 / 工具默认行为 ``` 若底层平台、自动化框架、插件或 Skill Pack 的默认行为与本手册冲突,必须以本手册为准。 --- ### 0.2 反向兜底 任何自动化框架,例如 Codex、Claude Code、OpenClaw、SuperPowers 或其他 Agentic Runtime,其底层默认行为若出现以下倾向: ```text 遇错无限重试 自动创建子线程 自动扩展目录结构 自动补全缺失产物 自动进入重型评审流程 自动调用高权限工具 自动将模拟输出包装成正式结果 ``` 必须立即挂起进程,并向上请求架构裁决。 严禁为了适配底层工具的便利性,而让步甚至阉割以下治理底线: ```text 执行真实性 最小权限 成本分账 绝对停止权 Human Gate 来源保真 数据安全 责任边界 ``` --- ### 0.3 模拟与正式执行的边界 绿野仙踪阶段允许人类专家、主控节点或单一模型模拟 Agent,以低成本验证价值流。 但所有此类产物必须被标记为: ```text simulation_only: true formal_output: false excluded_from_synthesis: true ``` 模拟产物只能用于价值验证、流程草图、人工参考,不得冒充正式 Agentic 输出进入生产决策链。 正式运行阶段必须具备真实 Invocation Record。 --- ## 1. 任务入口与档位挂载 ## Project Intake & Mode Selector 在 Agentic 时代的极压舱内,算力失控与治理灾难往往始于入口处的定性溃败。 在敲下第一行 Prompt、创建第一个 Thread、调用第一个 Skill 或启动第一个 Worker 之前,必须完成强制分诊。 --- ### 1.1 QPI 强制分诊 所有接管需求必须第一时间进行问题颗粒度探测,禁止含糊其辞地“先跑起来看看”。 #### 【Q】查询 / Question **核心匮乏**:数据或信息缺失。 **场景特征**:线性因果,存在明确答案或可查询事实。 **系统响应**:搜索、检索、数据库查询、RAG、工具 API。 **默认架构**:单节点调用。 红线: ```text 绝对禁止为 Q 域任务编排复杂多体流程。 绝对禁止为单次查询启动委员会、覆盖审计或治理级 Runtime。 ``` 示例: ```text 查一个文件路径 确认某个定义 提取某段材料中的事实 查询某个指标 ``` --- #### 【P】求解 / Problem **核心匮乏**:路径缺失。 **场景特征**:目标明确,但需要工程化转换、拆解、生产或优化。 **系统响应**:SOP、模板化约束、工具链、批量执行、人工抽检。 **默认架构**:逻辑轮机或生产工坊。 P 域架构复杂性应优先倾注于: ```text 稳定吞吐 可验证输出 低返工 可复用生产线 格式一致性 上下文压缩 批处理效率 ``` 而不是多角色治理。 示例: ```text 长文转分镜 批量生成配音稿 图片提示词生成 文档拆分 素材蒸馏 报价模板生成 标准报告初稿 ``` --- #### 【I】治理 / Issue **核心匮乏**:秩序、共识与责任边界缺失。 **场景特征**:无唯一最优解,存在隐蔽变量、多方权衡、非遍历性风险或单向门决策。 **系统响应**:战略透镜、人机回环、预设委员会、Human Gate、权限阻断。 **默认架构**:Interactive Runtime 或 Governed Runtime。 I 域架构复杂性必须倾注于: ```text 保真度 责任锚定 多视角张力 审计可追踪 人工裁决 反例处理 风险阻断 ``` 绝不允许用并发掩盖判断逻辑的脆弱。 示例: ```text 核心立意判定 重大客户方案取舍 战略级评审 高风险心理诊断辅助 不可逆商业决策 模型边界裁决 组织流程重构 ``` --- ### 1.2 任务性质定性 完成 QPI 后,必须明确当前动作的终极标的。 同一个表面任务,可能属于完全不同的性质。 #### A. 一次性内容产出 系统运作仅为获取当下的单一结果材料。 示例: ```text 整理一篇 5 万字讨论稿 生成一个视频分镜 提炼一次会议纪要 写一份客户报告初稿 ``` 默认要求: ```text Lite 档 最小充分产物 轻量记录 禁止自动升级为 Runtime 建设 ``` --- #### B. 可复用能力沉淀 系统运作为了提炼可跨项目复用的资产。 示例: ```text 把某个提炼方法沉淀为 Skill 把某个专家判断结构沉淀为 Model Card 把某类报告流程沉淀为 Workflow 把旧 Prompt 升级为 CCPE-Lite ``` 默认要求: ```text Standard 档 资产合约 局部评测 明确下游消费场景 ``` --- #### C. 治理级系统建设 系统运作为了构建可长久运行、可审计、可追责、可恢复的 Runtime 或工作台。 示例: ```text 多 Agent 写作评审 Runtime 知识加工 Runtime 客户方案生成与审核工作台 高风险决策辅助系统 Agentic 生产系统 ``` 默认要求: ```text Full 档候选 完整权限矩阵 Invocation Record Runtime State Protocol Evaluation Stack Rollback Protocol ``` --- #### D. 校准与评测任务 系统运作为了修正模型偏差、构建评测集、记录专家反馈、对齐专家判断边界。 示例: ```text 收集专家修改痕迹 构建 100 道标准评测题 分析 AI 与专家判断差异 调整 Agent 的错误分类 建立返工率指标 ``` 默认要求: ```text Calibration Cost 记账 过程数据授权 Evaluation Stack Expert Attention Budget ``` --- #### E. 探索预演任务 系统运作为了验证新范式、新工具、新调用链路或新组织方式。 示例: ```text 测试 Codex Thread 是否能作为真实 Agent carrier 测试 Claude Code subagent 调用 测试 SuperPowers 对流程的影响 测试新型多 Agent 协作拓扑 ``` 默认要求: ```text Exploration Cost 记账 不得伪装为生产任务 不得承诺稳定交付 必须记录失败边界 ``` --- ### 1.3 铁律:任务性质不得暗中变轨 如果原始目标只是: ```text 提炼一篇 5 万字文稿 ``` 系统绝不能在执行中私自搭建一套: ```text 知识加工园区 多 Agent 治理 Runtime 通用 Skill 生态 完整覆盖审计体系 长期下游 handoff 协议 ``` 一旦任务从内容产出滑入系统建设,必须触发 Scope Drift Review。 --- ### 1.4 档位挂载 / Mode Selector 默认轻量,证据驱动升级。 系统物理操作杆在启动时,必须且只能挂在 Lite 档。 除非出现明确升级证据,否则不得凭借工程师的架构审美、算法崇拜或自动化惯性擅自升档。 --- #### Lite 档:默认启动 适用边界: ```text 一次性任务 低法理风险 单源或少量源材料 源材料可被单个高上下文模型完整处理 无需真实多 Agent 独立判断 下游不依赖完整过程审计 ``` 控制策略: ```text 单模型或单主控极简闭环 可使用局部 Skill 或工具 不默认唤醒多 Agent 独立沙箱 不默认创建厚重 handoff 不默认做覆盖审计 不默认生成治理级日志 ``` 核心产物: ```text 目标输出文件 极简输入记录 关键人工确认点 必要时的抽样检查 ``` 禁止事项: ```text 不得自动拉起委员会 不得自动创建 Runtime 不得自动生成厚 topic docs 不得自动做 lossless coverage audit 不得将一次性任务重构为平台建设 ``` --- #### Standard 档:证据驱动升级 升级证据: ```text 多源异构材料 明确下游自动化消费依赖 需要可复用 Skill / Workflow / Model Card 用户明确要求能力沉淀 存在局部追踪与复盘需求 需要少量真实 Agent / Worker 调用 ``` 控制策略: ```text 结构化上下文编译 有限真实调用 局部 Invocation Record 可复用资产合约 局部评测 关键 Human Gate ``` 核心产物: ```text Source Pack Context Pack Reusable Artifacts Decision Record 局部追踪日志 目标输出文件 ``` 限制: ```text 允许真实 Agent / Worker,但必须限定角色数量、调用目的与产物边界。 允许审计,但必须是 targeted audit,不得自动进入 Full 覆盖审计。 ``` --- #### Full 档:极限治理 升级证据: ```text 高法理追责风险 单向门商业决策 外部客户关键交付 多角色真实张力对撞 长期运行 Runtime 强审计需求 不可逆工具执行 生产环境自动化 ``` 控制策略: ```text 全规格多智能体编排 Authority Matrix Runtime State Protocol 完整 Invocation Records Coverage / Governance Audit Rollback Protocol Human Gate Contract Data Security Policy ``` 核心产物: ```text 完整 Runtime 状态机 append-only / tamper-evident Invocation Records Authority Map Risk Log Distortion Log Evaluation Report Downstream Handoff Recovery Plan ``` Full 档启动必须有人工授权。 系统不得自发进入 Full 档。 --- ### 1.5 预算合约 / Budget Contract 每个 Runtime 启动前必须声明预算。 预算不只是 token,还包括时间、存储、工具调用和专家注意力。 必须声明: ```text source_size_estimate target_mode token_budget time_budget human_attention_budget storage_budget tool_call_budget escalation_threshold abort_threshold budget_owner ``` 默认预算倍率: ```text Lite: source_tokens × 10–30 Standard: source_tokens × 30–100 Full: source_tokens × 100+,必须有明确治理理由和人工授权 ``` 若预计消耗超过当前档位预算上限,系统必须暂停并请求升级授权,不得静默继续。 --- ### 1.6 组件启用矩阵 / Component Activation Matrix | 组件 | Lite | Standard | Full | | -------------------------- | -------- | -------- | ----- | | QPI Intake | 必须 | 必须 | 必须 | | Task Nature Classification | 必须 | 必须 | 必须 | | Cost Ledger | 简版 | 必须 | 必须 | | Budget Contract | 简版 | 必须 | 必须 | | Scope Drift Detection | 必须 | 必须 | 必须 | | Stop Rule | 必须 | 必须 | 必须 | | Human Gate | 关键点可选 | 必须 | 多层必须 | | Invocation Record | 仅真实调用时 | 必须 | 全链路必须 | | Simulation Labeling | 必须 | 必须 | 必须 | | Context Compiler | 简版 | 必须 | 全规格 | | Authority Matrix | 可选 | 必须 | 必须 | | Artifact Contract | 简版 | 必须 | 必须 | | Runtime State Protocol | 简版 | 必须 | 必须 | | Tool Safety | 有工具时必须 | 必须 | 强制 | | Data Security | 有敏感数据时必须 | 必须 | 强制 | | Evaluation Stack | E0–E2 | E0–E5 | E0–E7 | | Rollback Protocol | 有写入时必须 | 必须 | 强制 | | Governance Audit | 禁止默认启用 | targeted | full | --- ## 2. 成本隔离与防蔓延机制 ## Cost Ledger & Scope Drift 在 Agentic 自动化管线中,最致命的失控往往不是报错崩溃,而是系统在暗中无休止运转,将一次简单内容提取异化为庞大系统基建。 为了夺回对计算资源和专家注意力的控制权,必须在系统底盘焊死成本核算与边界探测组件。 --- ### 2.1 四重消耗账本 / Cost Ledger 任何 Agentic 工作流在启动时,其消耗的 token、算时、存储、工具调用和人工注意力,必须被记入以下四个账本之一。 --- #### Content Cost / 内容产出成本 为完成当前用户直接任务所消耗的核心资源。 示例: ```text 蒸馏一篇材料 转译一份分镜 生成一份口播稿 整理一次会议纪要 生成客户报告初稿 ``` --- #### System-Building Cost / 系统建设成本 为设计、搭建或重构以下资产所消耗的资源: ```text Agent Skill Runtime Protocol Evaluation Toolchain Workflow Model Index Project Directory Invocation Standard ``` 示例: ```text 为了蒸馏讨论稿而设计一个通用知识加工 Runtime 为了一次提纲评审而重构多 Agent invocation protocol 为了一个输出流程而建设完整生产线目录体系 ``` --- #### Calibration Cost / 校准修复成本 为纠正模型偏差、记录人工反馈、对齐专家判断边界、构建标准评测集所消耗的资源。 示例: ```text 分析 AI 与专家判断差异 收集专家修改痕迹 构建真题评测集 调整错误分类 建立返工率指标 ``` --- #### Exploration Cost / 探索预演成本 为了验证新范式、新工具、新平台调用链路或新协作拓扑所消耗的实验性资源。 示例: ```text 测试 Codex Thread 作为真实 Agent carrier 测试 Claude Code subagent 测试 SuperPowers 对流程复杂度的影响 测试 OpenClaw 自动化能力边界 ``` --- ### 2.2 核算铁律 绝对禁止将系统建设成本伪装为单次任务的内容产出成本。 如果一次任务中实际发生了: ```text 设计新 Runtime 编写通用 Protocol 创建新 Agent / Skill 构建评测栈 设计目录结构 定义 invocation record 构建长期资产 ``` 这些消耗必须记入 System-Building Cost,而不是 Content Cost。 系统架构的重工业投入必须光明正大地记入基建账本,以接受长周期 ROI 审计。 --- ### 2.3 漂移探测触发 / Scope Drift Detection 由于 LLM 内置的规划、反思和补完惯性,轻量级 P 域任务极易在无监督状态下向 I 域治理滑移。 系统必须在管线节点埋入漂移探针。一旦捕捉到以下信号,即刻判定发生任务蔓延。 --- #### 信号一:基建过度行为 一个被定性为 One-off 的任务,开始出现: ```text 创建通用 Protocol 设计未来复用目录树 撰写与当前产出无关的抽象规则 新增 Agent / Skill / Runtime 升级为长期工作台建设 ``` --- #### 信号二:并发无序扩张 Lite 档流程开始擅自: ```text 派发多个 Worker 拉起多角色审查委员会 开启并行 coverage audit 创建多个 sub-session 进行未授权的动态 agent routing ``` --- #### 信号三:产物交付延宕 用户期待的核心产物迟迟未出现,系统资源却被大量消耗于: ```text routing log coverage audit handoff packet review report repair protocol directory scaffolding meta-analysis ``` --- #### 信号四:预算穿透 当前或预估消耗已超出原定预算阈值,且未主动申报分账。 默认触发条件: ```text Lite 超过 source_tokens × 30 Standard 超过 source_tokens × 100 任一任务专家注意力消耗超过预设 human_attention_budget ``` --- #### 信号五:成功标准变更 任务从: ```text 完成一个结果 ``` 变成: ```text 定义一套以后如何持续完成结果的系统 ``` 这说明任务性质已经从 Content Output 滑入 System Building。 --- ### 2.4 漂移处置协议 / Drift Resolution Protocol 一旦漂移探测器被触发,系统必须放弃顺其自然的工程惯性,执行强制介入。 --- #### Step 1:挂起进程 立即阻断当前 Agentic Runtime 的继续执行与自我繁衍。 状态切换为: ```text paused_by_scope_review ``` --- #### Step 2:核心发问 必须回答: ```text 1. 我们现在还是在执行原始内容产出任务吗? 2. 如果不是,是否需要正式立项为系统建设任务? 3. 当前已消耗成本应记入哪一本账? 4. 是否需要调整 Lite / Standard / Full 档位? 5. 原始任务是否仍需先完成? ``` --- #### Step 3:物理分账 若确认任务变轨,必须将此前及后续超额消耗从 Content Cost 中切割,划入: ```text System-Building Cost Calibration Cost Exploration Cost ``` --- #### Step 4:人工授权重启 只有在完成以下动作后,系统方可解除挂起: ```text 重新 QPI 定性 重新 Mode Selector 重新 Budget Contract 重新 Stop Rule 记录 human decision ``` --- ## 3. 物理防伪与绝对制动 ## Execution Authenticity & Stop Rule 缺乏硬约束的 Agentic 环境中,系统极易陷入两种工程灾难: ```text 流程幻觉:主节点伪造执行过程 过度执行:子节点无限繁衍中间产物 ``` 本章为自动化管线装配测谎探针与制动系统。 --- ### 3.1 执行真实性 / Execution Authenticity 多智能体架构的真正价值,来源于不同思维模型在隔离沙箱中产生的真实逻辑张力,而不是单一模型在同一上下文里的文本模拟。 任何被声明为以下来源的正式产物: ```text 独立 Agent Reviewer Worker Auditor Committee Member External Participant ``` 必须具备真实调用证据链。 --- ### 3.2 真实调用证据链 / Invocation Record 最小 Invocation Record 必须包含: ```text invocation_id agent_id / role_id canonical_prompt_path / agent_spec_path runtime_id carrier_type carrier_id / thread_id / sub_session_id input_context_path input_context_hash execution_timestamp returned_output_path returned_output_hash orchestrator_id entered_synthesis: true / false human_gate_id_if_applicable ``` --- ### 3.3 主控越权阻断 主会话或 Orchestrator 仅被赋予: ```text 调度 路由 聚合综合 状态记录 有限验证 人工确认转译 ``` 绝对禁止主会话凭借自身高上下文能力去代写或模拟子节点输出。 若无法拉起真实子线程、外部参与者或 carrier,进程必须进入: ```text blocked_waiting_for_participant_output ``` 不得用伪造报告填补流程真空。 --- ### 3.4 模拟标记与沙箱隔离 / Simulation Labeling 当系统因环境限制、调用失败、人类手动干预或流程占位,产生缺乏真实调用证据的产物时,必须实施资产隔离。 所有模拟产物必须包含: ```text simulation_only: true formal_output: false excluded_from_synthesis: true simulation_reason: allowed_use: ``` 允许用途: ```text 价值流预演 人工参考草稿 流程设计样例 绿野仙踪验证 ``` 禁止用途: ```text 正式 synthesis 客户可见交付 下游自动化依据 模型沉淀依据 审计依据 ``` --- ### 3.5 最小充分阈值 / Minimum Sufficient Threshold 任何 Runtime 启动前,必须与人类专家确立验收合约。 必须定义: ```text minimum_viable_output sufficient_criteria optional_artifacts forbidden_artifacts human_gate_points budget_limit stop_condition ``` --- #### Minimum Viable Output 为了满足下游消费,当前任务必须交付的最核心、最少信息量。 示例: ```text 只需视频总纲与分镜骨架,不需要详细配音稿 只需 topic map 与 reusable material units,不需要 full coverage audit 只需 outline review,不需要完整正文写作 Runtime ``` --- #### Sufficient Criteria 一旦达到该状态,即视为已达标。 达标后,Optional Artifacts 默认被剥夺生成权限,除非人类显式授权。 --- #### Human Gate Points 提前锚定机器绝对不能自决的单向门。 示例: ```text 是否进入 Full 档 是否采纳红队意见 是否创建 writing project 是否进入 model mining 是否对客户可见 是否执行外部 API ``` --- ### 3.6 Human Gate Contract / 人工决策门合约 Human-in-the-loop 不是一句空话,而是责任坐标。 每个 Human Gate 必须声明: ```text gate_id decision_owner input_artifacts decision_options default_action downstream_effect reversibility escalation_condition record_path timeout_policy ``` 禁止设置无合约的“人工确认”。 --- #### Human Gate 输出格式 每个决策记录至少包含: ```text decision_id: gate_id: decision_owner: accepted_option: rejected_options: reason: risk_notes: downstream_effect: rollback_condition: timestamp: ``` --- ### 3.7 Runtime State Protocol / 运行状态协议 所有 Runtime 必须使用标准状态。 ```text initialized running blocked_waiting_for_human blocked_waiting_for_participant_output blocked_waiting_for_tool paused_by_scope_review paused_by_budget_guard failed_recoverable failed_terminal completed aborted_by_human archived ``` 每次状态变化必须记录: ```text previous_state new_state trigger responsible_actor timestamp next_allowed_actions ``` --- ### 3.8 Stop Rule / 绝对停止权 人类意志的最高体现不在于启动自动化,而在于何时决绝地踩下刹车。 Stop Rule 是系统免于冗余完美主义与中间物繁殖的最后防线。 --- #### 触发条件 一旦出现以下情况,必须触发停止: ```text 已达到 Minimum Sufficient Threshold 触及 Human Gate 预算接近 abort_threshold 发生 Scope Drift 真实 invocation 不可用 工具权限不足 数据安全边界不清 来源保真无法验证 ``` --- #### 制动执行 系统必须: ```text 停止创建新任务 取消未启动的排队任务 对运行中任务发出 cooperative cancellation 保存当前状态、日志与未完成动作清单 阻断非必要产物继续生成 将状态切换为 blocked_waiting_for_human ``` 对于无法响应 cooperative cancellation 的非关键线程,可执行强制终止。 终止前必须尽可能保存: ```text partial_outputs state_snapshot action_log unfinished_tasks risk_notes ``` --- ## 4. 权限、安全与副作用控制 ## Authority, Tool Safety & Data Security Agentic 系统真正危险的地方,不只是会说,而是会做。 因此,所有工具权限、文件写入、外部 API、客户可见输出,都必须纳入权限矩阵与副作用隔离。 --- ### 4.1 权力矩阵 / Authority Matrix 每一个 Agent、Skill、Runtime Node 必须声明权限等级。 --- #### A0 Observe / 观察 仅拥有读取权限。 可生成内部标注。 无权修改任何状态或产物。 --- #### A1 Suggest / 建议 允许输出分析、建议、优化方案。 产物不能直接覆写正式文件。 仅供高阶节点参考。 --- #### A2 Draft / 起草 允许生成初稿物料。 产物必须经过 Human Gate 或 Owner Agent 签发后,方可流转。 --- #### A3 Modify / 修改 允许在预设范围内修改正式产物。 必须限定: ```text allowed_paths allowed_files allowed_fields modification_scope rollback_path ``` --- #### A4 Decide / 裁决 拥有结构性决策权。 行使该权限时,必须同步输出: ```text decision record decision rationale risk notes downstream effect ``` --- #### A5 Execute / 执行 A5 必须拆分为三个子级。 ```text A5-R Read Tool A5-W Write Tool A5-X External Action ``` --- ##### A5-R Read Tool 只读工具调用。 示例: ```text 搜索 读取文件 查询数据库 查看日志 读取状态 ``` --- ##### A5-W Write Tool 写入动作。 示例: ```text 写文件 改代码 更新配置 生成资产 修改目录 保存结果 ``` 必须满足: ```text 允许路径 变更日志 diff 回滚策略 ``` --- ##### A5-X External Action 外部动作。 示例: ```text 发送消息 发布内容 调用客户 API 支付 删除远程资源 修改客户可见状态 触发生产任务 ``` 默认禁止自动执行。 必须经过 Human Gate 或 Runtime 级明确授权。 --- #### A6 Block / 阻断 最高优先级熔断权限。 一旦触发,系统全线进程挂起,进入: ```text blocked_waiting_for_human ``` 适用场景: ```text 严重逻辑悖论 法理违规 数据泄漏风险 权限越界 预算穿透 来源不可验证 执行真实性缺失 高风险动作未授权 ``` --- ### 4.2 最小权限原则 / Least Privilege Agent 的工具权限必须小于其语言能力。 ```text 能分析,不代表能执行。 能建议,不代表能写入。 能生成,不代表能发布。 能理解任务,不代表拥有全目录权限。 ``` 任何权限必须按任务最小授权。 禁止: ```text 通用推理 Agent 获得无限工具权限 默认授予全仓库写入权限 默认授予外部 API 权限 默认授予发布权限 默认授予删除权限 ``` --- ### 4.3 副作用隔离 / Side-effect Isolation 具备写入、发布、删除、外部 API、客户可见输出能力的 Agent,必须满足: ```text 沙箱目录或沙箱环境 明确 allowed_paths 明确 forbidden_paths dry-run / preview 优先 执行前生成 action plan 执行后生成 action log 支持回滚或人工恢复 高风险动作必须二次确认 ``` --- ### 4.4 数据分级 / Data Classification 所有输入材料必须标记数据等级。 ```text Public:公开材料 Internal:内部材料 Confidential:客户资料、商业方案、报价、合同、业务数据 Sensitive:个人信息、密钥、账号、财务、法律、医疗、未成年人、内部战略等高敏感数据 ``` 不同数据等级决定: ```text 是否允许外发 是否允许进入外部模型 是否需要脱敏 是否允许保存日志 是否允许被用于校准 是否允许进入知识库 ``` --- ### 4.5 密钥纪律 / Secrets Discipline 任何 Agent、Skill、Runtime 不得: ```text 将 API Key、Token、Cookie、账号密码写入 Prompt 将密钥保存到普通日志 将密钥复制进 Context Pack 将密钥暴露给不需要该权限的子 Agent 将包含密钥的返回结果进入长期知识库 ``` 密钥必须通过安全环境变量、密钥管理服务或平台授权通道传递。 --- ### 4.6 数据外发红线 调用外部模型、外部 API、图片 / 语音 / 视频服务前,必须确认: ```text 数据是否允许外发 是否包含客户资料 是否包含个人信息 是否需要脱敏 第三方是否保存日志 返回结果是否可以保存 是否允许进入训练或校准流程 ``` 若无法确认,默认禁止外发。 --- ### 4.7 过程数据授权 / Process Data Sovereignty 专家修改痕迹、反馈、编辑轨迹、隐性遥测、光标行为、反驳意见,是高价值认知资产,也是高敏感数据。 采集这些数据必须具备: ```text 明确授权 用途边界 最小采集 可撤回机制 隔离存储 保留期限 访问权限 删除机制 ``` 禁止以“系统学习”为名,默认吞并专家经验或客户场景数据。 --- ### 4.8 平台与插件治理 / Platform & Plugin Governance 任何平台、插件、Skill Pack、自动化框架的默认行为,不得覆盖本手册。 当平台默认流程倾向于: ```text 自动创建子线程 自动调用复杂 Skill 自动进入 TDD / Review / Audit 自动补全缺失产物 自动扩展目录结构 自动执行高权限工具 自动将失败流程补成完整故事 ``` 系统必须先进行 Mode Selector 与 Scope Review。 --- #### 项目级白名单 每个项目必须声明: ```text allowed_skills blocked_skills manual_only_skills allowed_tool_scopes forbidden_tool_scopes allowed_external_services blocked_external_services ``` --- #### 非代码任务默认禁用重型软件工程插件 对于以下任务: ```text 知识蒸馏 写作 模型提炼 素材整理 方案分析 研究讨论 概念设计 ``` 默认禁止启用重型软件工程流程插件,除非用户明确将任务升级为系统建设或工具开发。 --- #### 插件输出不得自动成为正式产物 插件生成的输出仍必须经过: ```text Artifact Contract Execution Authenticity Evaluation Stack Human Gate Source Fidelity ``` 插件不是治理豁免权。 --- ## 5. 运行修复与回滚 ## Retry, Repair & Rollback Agentic 系统里的失败并不可怕。 真正危险的是无限重试、静默修补、越修越偏和不可回滚。 --- ### 5.1 重试上限 / Retry Limits 任何自动重试必须有上限。 默认规则: ```text 工具调用失败:最多重试 2 次 格式错误:最多自动修复 2 次 网络/API 临时失败:最多重试 2 次 权限失败:不得自动绕过 推理质量不达标:不得无限重写 外部 API 失败:不得通过更换高风险 API 绕过权限边界 ``` 超过重试上限后,状态切换为: ```text failed_recoverable ``` 或: ```text blocked_waiting_for_human ``` --- ### 5.2 失败分类 / Failure Classification 失败必须分类,不得笼统写作“执行失败”。 ```text F0 Format Failure:格式失败 F1 Tool Failure:工具失败 F2 Permission Failure:权限失败 F3 Data Failure:数据缺失或数据污染 F4 Source Fidelity Failure:来源保真失败 F5 Reasoning Failure:推理失败 F6 Invocation Failure:真实调用失败 F7 Budget Failure:预算失败 F8 Governance Failure:治理失败 F9 Terminal Failure:不可恢复失败 ``` --- ### 5.3 修复计划 / Repair Plan 产物失败后,系统必须先生成 Repair Plan,而不是直接重写。 Repair Plan 必须说明: ```text failure_type failure_location affected_artifacts impact_level repair_scope whether_human_gate_required whether_reinvocation_required whether_rollback_required new_budget_estimate ``` --- ### 5.4 回滚协议 / Rollback Protocol 任何 A5-W / A5-X 权限动作必须支持回滚协议。 必须具备: ```text pre_change_snapshot diff / action_log rollback_path rollback_owner irreversibility_warning ``` 不可回滚动作必须提前阻断,并要求 Human Gate。 示例: ```text 发布客户可见内容 删除远程资源 发送正式邮件 触发生产 API 修改客户数据库 覆盖正式知识库资产 ``` --- ### 5.5 修复后的再验证 修复后必须重新通过相关评测层级。 示例: ```text 格式修复后 -> E1 Format Test 事实修复后 -> E2 Factual Test 推理修复后 -> E3 Reasoning Test 权限修复后 -> E7 Governance Test ``` 不得因为“已修复”而跳过验证。 --- ## 6. 通用运行组件与资产标准 ## Agentic Runtime Components & Artifact Standards 本章定义 Agentic 系统在 Standard / Full 档中必须使用的运行组件。Lite 档可采用简版,但不得违背其核心原则。 --- ### 6.1 产物合约 / Artifact Contract 文件很多但不知道哪个是真的,是伪工程化的典型症状。 任何脱离草稿态进入正式资产池的产物,必须声明其生命周期与校验元数据。 正式产物头部必须包含: ```text artifact_type: status: authority: source_of_truth: downstream_use: invalidation_condition: cost_class: created_by: created_at: last_updated: ``` --- #### artifact_type 允许值: ```text Prompt Agent Spec Skill Runtime Model Card Model Index Evaluation Tool Workflow Context Pack Final Output Simulation Output ``` --- #### status 允许值: ```text draft candidate active deprecated archived rejected simulation-only ``` --- #### authority 允许值: ```text internal_note reference_only formal_basis customer_visible runtime_executable simulation_only excluded_from_synthesis ``` --- #### invalidation_condition 必须说明何时失效。 示例: ```text 上游源文件更新 canonical prompt 更新 用户推翻结构 规则变更 模型版本迁移 客户约束变更 Human Gate 未通过 ``` --- ### 6.2 运行时成熟度模型 / Runtime Maturity Model 为了防止团队在概念沙盘与生产交付之间产生致命预期错位,必须用成熟度模型丈量每个 Agentic 项目的坐标。 --- #### M0 Concept / 概念态 仅存在思想模型或业务论证。 尚未进行自动化流程拆解。 --- #### M1 Manual / 手工态 专家人工跑通闭环。 符合 Wizard of Oz 绿野仙踪协议。 验证智能流核心业务价值。 --- #### M2 Assisted / 辅助态 AI 介入生成草稿或检查项。 核心推进与流程驱动依赖人类。 --- #### M3 Protocolized / 协议态 以下内容已显性化: ```text 输入 输出 角色边界 状态机流转 Human Gate Stop Rule 权限范围 ``` 但尚未实现完整自动化调用。 --- #### M4 Semi-Agentic / 半 Agentic 态 部分 Agent、Skill 或 Tool 已实现真实自动化调用。 具备 Invocation Record。 但仍依赖人类推进关键节点。 --- #### M5 Production / 生产态 具备可重复运行管线。 必须具备: ```text 自动化评测 执行监控 异常捕获 权限管控 日志记录 基础回滚 ``` 达到内部工程可用标准。 --- #### M6 Governed / 治理态 具备抗审计、法理追责与灾难回滚能力。 适用于: ```text 高风险场景 外部客户严苛交付 长期运行系统 客户可见自动化 不可逆工具执行 ``` --- #### 成熟度铁律 ```text M2 不得伪装 M5。 M3 不得伪装 M6。 模拟产物不得伪装 M4。 无 Invocation Record 不得声明真实 Agentic。 无 Evaluation Stack 不得声明 Production。 无 Governance Test 不得声明 Governed。 ``` --- ### 6.3 上下文编译 / Context Compiler 绝对禁止将漫长、原始、异质的语料一股脑倾倒进所有 Agent 的上下文窗口。 在任何 I 域或高价值 P 域任务前,必须将上下文工程剥离为独立预处理动作。 --- #### Whole-source Gestalt 面对高连贯性长文本,在启动分块前,必须优先实施全局扫描,锁定: ```text 核心张力 主轴结构 目录骨架 模型演化线 层级风险 关键反例 ``` 防止 chunk-first 造成结构性失明。 适用边界: ```text 源材料高度连贯 源材料可被高上下文模型完整处理 下游依赖整体结构 ``` 若源材料是 mixed source,应先做 macro-topic split。 若源材料是 fragmented source,应采用 flat discovery,不得强行制造层级。 --- #### Context Pack 类型 上下文编译器应根据下游目标输出: ```text source_digest task_specific_context_pack role_specific_dispatch_pack decision_context evaluation_context source_index risk_notes ``` --- #### 上下文最小充分原则 上下文包必须足够支撑任务,但不得将所有材料倾倒给所有角色。 ```text 主控需要全局状态 执行节点需要任务相关材料 评审节点需要标准、目标与产物 人工决策门需要候选方案、风险与差异摘要 ``` --- ### 6.4 来源保真与证据索引 ### Source Fidelity & Evidence Index 任何涉及材料加工、报告生成、知识蒸馏、客户方案、分析结论的 Runtime,必须保留来源索引。 正式输出中的关键判断必须能回溯至: ```text 原始来源 source range / paragraph / block id 参与该判断的 Agent / Worker 该判断是否来自原文、推理、归纳、用户裁决或模型补充 ``` --- #### 来源铁律 ```text 禁止将中间摘要当作新的 source of truth。 禁止把模型综合判断伪装成原始材料事实。 禁止在未标明推理性质的情况下输出确定性结论。 禁止在 source index 缺失时声明 lossless extraction。 ``` --- #### 判断类型标记 关键判断必须标明类型: ```text source_fact:原文事实 source_claim:原文主张 inference:模型推理 synthesis:综合归纳 human_decision:人工裁决 external_fact:外部事实 assumption:假设 ``` --- ### 6.5 分层评测栈 / Evaluation Stack 依靠单一准确率或相似度,无法测度专家级 Agentic 系统的真实抗压能力。 系统必须部署从底层机械属性到顶层战略效用的多维探针。 --- #### E0 Smoke Test / 冒烟测试 检验系统能否走通骨架。 ```text 文件是否生成 Tool Call 是否响应 目录是否正确 流程是否启动 ``` --- #### E1 Format Test / 格式测试 检验输出是否遵守: ```text Schema 长度预算 语言规范 命名规范 字段完整性 ``` --- #### E2 Factual Test / 事实测试 核查文本溯源保真度。 ```text 是否编造事实 是否遗漏关键材料 是否错误引用 是否混淆来源 ``` --- #### E3 Reasoning Test / 推理测试 刺探逻辑链健壮性。 ```text 假设是否暴露 推理是否闭合 反例是否处理 边界条件是否说明 ``` --- #### E4 Expert Similarity / 专家相似度 测度结论与人类专家判断的重合度。 同时记录偏差部分是否可解释。 --- #### E5 Decision Utility / 决策效用 验证系统是否真实帮助人类专家完成: ```text 更优决策 更快判断 更低认知消耗 更低返工率 更稳风险控制 ``` --- #### E6 Calibration Test / 校准测试 评测系统纠错摩擦力。 ```text 专家是否容易指出错误 系统是否能理解纠错 修复是否影响后续批处理 反馈是否进入评测集 ``` --- #### E7 Governance Test / 治理测试 审计视角终极测试。 ```text trace 是否完整 authority 是否隔离 rollback 是否可行 human gate 是否记录 liability boundary 是否清晰 data policy 是否合规 ``` --- ### 6.6 按场景选择评测层级 ```text Q 域查询:E0–E2 基础 P 域生产:E0–E3 生产工坊:E0–E5 专家辅助系统:E2–E6 战略透镜:E3–E7 治理级 Runtime:E0–E7 ``` 不得用单一准确率评估战略透镜。 不得用“看起来不错”替代 E5 / E6 / E7。 --- ## 7. 开工清单与反模式 ## Start Checklist & Anti-patterns 本章用于将前述规则压缩为现场可执行动作。 --- ### 7.1 Agentic Project Start Checklist 每个 Agentic 项目开工前,必须回答: ```text 1. 原始任务是什么? 2. Q / P / I 定性是什么? 3. 任务性质是什么:内容产出、系统建设、校准、探索? 4. 启动档位是什么:Lite / Standard / Full? 5. 最小充分产物是什么? 6. 停止条件是什么? 7. token / time / human attention 预算上限是什么? 8. 是否涉及客户资料、密钥或敏感数据? 9. 是否需要真实 Agent 调用? 10. 若需要,Invocation Record 保存在哪里? 11. 是否允许工具写入? 12. 是否允许外部 API? 13. Human Gate 在哪里? 14. 谁是 decision_owner? 15. 产物如何进入 Artifact Contract? 16. 评测层级到 E 几? 17. 是否需要 Source Fidelity? 18. 是否需要 Rollback Protocol? 19. 哪些平台插件允许自动触发? 20. 什么时候触发 Scope Drift Review? ``` 未完成清单,不得进入 Standard 或 Full 档。 --- ### 7.2 常见反模式 / Anti-patterns --- #### 1. Prompt 万能化 把 Agent、Skill、Runtime、Model Card 全塞进一个巨型 Prompt。 后果: ```text 难维护 难评测 难复用 难追踪 难迁移 ``` --- #### 2. 流程幻觉 文件齐全,但真实 Agent 没有被调用。 典型症状: ```text 有 report 有 dispatch pack 有目录 有日志 但没有 Invocation Record ``` --- #### 3. 治理过载 一次性任务启用 Full Runtime。 典型症状: ```text 5 万字材料 3000 万 tokens 大量 topic docs 大量 audit 大量 handoff 核心产物 ROI 失真 ``` --- #### 4. 成本混账 把系统建设成本算成内容产出成本。 典型症状: ```text 用户只要一个结果 系统却建设了一个机器 最后把机器成本记到结果上 ``` --- #### 5. 中间物繁殖 核心产物未交付,系统不断生成: ```text audit routing log handoff repair note review report meta-analysis ``` --- #### 6. 上下文倾倒 把所有原始材料一股脑塞给所有 Agent。 后果: ```text 角色污染 判断失焦 token 浪费 source fidelity 降低 ``` --- #### 7. 权限裸奔 让能推理的 Agent 直接拥有: ```text 写入权限 删除权限 发布权限 外部 API 权限 客户可见输出权限 ``` --- #### 8. 无评测上线 只凭“我觉得不错”进入生产。 红线: ```text 无 Evaluation Stack,不得声明 Production。 ``` --- #### 9. 模拟污染 simulation-only 产物进入正式 synthesis。 这是多 Agent 系统的根级污染。 --- #### 10. 黑盒校准 系统输出错了,但专家不知道如何低成本纠正。 症状: ```text 没有 decision rationale 没有 error category 没有 feedback slot 没有 repair plan ``` --- #### 11. 插件篡权 平台插件默认流程覆盖项目治理规则。 症状: ```text 自动开子线程 自动进入重型审查 自动生成无关目录 自动补全失败产物 ``` --- #### 12. 停止权失效 系统已经达到最小充分产物,却继续生产“看似有用”的附加物。 红线: ```text 系统不得因为还能生成,就继续生成。 ``` --- ## 8. 附录:标准元数据模板 ## Appendix: Standard Metadata Templates --- ### 8.1 Invocation Record Template ```yaml invocation_id: runtime_id: agent_id: role_id: canonical_prompt_path: agent_spec_path: carrier_type: carrier_id: thread_id: input_context_path: input_context_hash: execution_timestamp: returned_output_path: returned_output_hash: orchestrator_id: entered_synthesis: false human_gate_id_if_applicable: status: notes: ``` --- ### 8.2 Simulation Metadata Template ```yaml simulation_only: true formal_output: false excluded_from_synthesis: true simulation_reason: allowed_use: created_by: created_at: must_not_enter: - formal_synthesis - customer_delivery - model_card_source - governance_audit ``` --- ### 8.3 Human Gate Record Template ```yaml decision_id: gate_id: decision_owner: input_artifacts: decision_options: accepted_option: rejected_options: reason: risk_notes: downstream_effect: reversibility: rollback_condition: timestamp: ``` --- ### 8.4 Artifact Contract Template ```yaml artifact_type: status: authority: source_of_truth: downstream_use: invalidation_condition: cost_class: created_by: created_at: last_updated: related_invocations: related_human_gates: related_sources: ``` --- ### 8.5 Runtime State Transition Template ```yaml runtime_id: previous_state: new_state: trigger: responsible_actor: timestamp: next_allowed_actions: blocked_reason: related_artifacts: notes: ``` --- ### 8.6 Cost Ledger Entry Template ```yaml ledger_id: task_id: cost_class: mode: token_estimate: token_actual: time_spent: tool_calls: human_attention_minutes: storage_used: reason: approved_by: timestamp: ``` --- ### 8.7 Repair Plan Template ```yaml repair_id: failure_type: failure_location: affected_artifacts: impact_level: repair_scope: human_gate_required: false reinvocation_required: false rollback_required: false new_budget_estimate: repair_owner: next_state: ``` --- ## 9. 结语:现场纪律 Agentic 工程不是“让 AI 多干点”。 它是把人类专家的判断、责任、隐性经验、材料处理、流程边界和工具权限,装入一台会高速运转的认知反应堆。 因此,本手册的目的不是鼓励自动化,而是给自动化装上: ```text 入口闸门 成本账本 权限阀门 防伪探针 状态仪表 数据隔离 评测探针 回滚绳索 绝对刹车 ``` 系统越聪明,越要守规矩。 流程越丝滑,越要看后端废热。 Agent 越能干,越不能让它裸奔。 **HiFi Agentic 工程的底线不是“自动完成”,而是:高保真、可校准、可追踪、可停止、可追责。**