knowledge-vault/rules/Templates/Agentic-Engineering-Handboo...

2453 lines
43 KiB
Markdown
Raw Permalink Blame History

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# Agentic Engineering Handbook (V1.1)
*HiFi Agent Studio 运行治理与现场规程*
## Profile
**author**: Wantsong
**version**: V1.1
**date**: 2026-06-15
**status**: active-candidate
**governing doctrine**: HiFi Agent Studio
**related system**: CCPE System / Knowledge Vault / Writing Workbench / Video Workbench
---
## 0. 守则定位与绝对边界
本手册是团队在 Agentic 工程实战中的硬性操作底线。
它将 HiFi Agent Studio 的高维架构沙盘,转化为现场可执行的工程界桩,聚焦于解决:
```text
如何开工
如何分诊
如何限流
如何调用
如何防伪
如何控权
如何熔断
如何回滚
如何验收
如何避免系统自我繁衍
```
本手册不是方法论宣言,而是运行治理规程。
HiFi Agent Studio 回答:
```text
我们为什么这样做 AI
什么是高保真 Agent
什么复杂性不可被降维?
什么责任不可外包?
```
本手册回答:
```text
一个 Agentic 项目来了,第一步填什么?
开什么档位?
允许哪些 Agent / Skill / Tool
哪里必须停?
什么产物是真的?
什么产物只是模拟?
什么成本应记入哪本账?
```
---
### 0.1 守则效力
本手册服从并承载 HiFi Agent Studio 的核心纲领,同时作为一切局部 Agentic 项目的行动准则。
当规则发生冲突时,执行优先级为:
```text
1. 客户法理与商业硬性约束
2. HiFi Agent Studio 宪法原则
3. 本 Agentic Engineering Handbook
4. CCPE System 资产建造规范
5. 具体项目 Runbook
6. 平台 / 插件 / 工具默认行为
```
若底层平台、自动化框架、插件或 Skill Pack 的默认行为与本手册冲突,必须以本手册为准。
---
### 0.2 反向兜底
任何自动化框架,例如 Codex、Claude Code、OpenClaw、SuperPowers 或其他 Agentic Runtime其底层默认行为若出现以下倾向
```text
遇错无限重试
自动创建子线程
自动扩展目录结构
自动补全缺失产物
自动进入重型评审流程
自动调用高权限工具
自动将模拟输出包装成正式结果
```
必须立即挂起进程,并向上请求架构裁决。
严禁为了适配底层工具的便利性,而让步甚至阉割以下治理底线:
```text
执行真实性
最小权限
成本分账
绝对停止权
Human Gate
来源保真
数据安全
责任边界
```
---
### 0.3 模拟与正式执行的边界
绿野仙踪阶段允许人类专家、主控节点或单一模型模拟 Agent以低成本验证价值流。
但所有此类产物必须被标记为:
```text
simulation_only: true
formal_output: false
excluded_from_synthesis: true
```
模拟产物只能用于价值验证、流程草图、人工参考,不得冒充正式 Agentic 输出进入生产决策链。
正式运行阶段必须具备真实 Invocation Record。
---
## 1. 任务入口与档位挂载
## Project Intake & Mode Selector
在 Agentic 时代的极压舱内,算力失控与治理灾难往往始于入口处的定性溃败。
在敲下第一行 Prompt、创建第一个 Thread、调用第一个 Skill 或启动第一个 Worker 之前,必须完成强制分诊。
---
### 1.1 QPI 强制分诊
所有接管需求必须第一时间进行问题颗粒度探测,禁止含糊其辞地“先跑起来看看”。
#### 【Q】查询 / Question
**核心匮乏**:数据或信息缺失。
**场景特征**:线性因果,存在明确答案或可查询事实。
**系统响应**搜索、检索、数据库查询、RAG、工具 API。
**默认架构**:单节点调用。
红线:
```text
绝对禁止为 Q 域任务编排复杂多体流程。
绝对禁止为单次查询启动委员会、覆盖审计或治理级 Runtime。
```
示例:
```text
查一个文件路径
确认某个定义
提取某段材料中的事实
查询某个指标
```
---
#### 【P】求解 / Problem
**核心匮乏**:路径缺失。
**场景特征**:目标明确,但需要工程化转换、拆解、生产或优化。
**系统响应**SOP、模板化约束、工具链、批量执行、人工抽检。
**默认架构**:逻辑轮机或生产工坊。
P 域架构复杂性应优先倾注于:
```text
稳定吞吐
可验证输出
低返工
可复用生产线
格式一致性
上下文压缩
批处理效率
```
而不是多角色治理。
示例:
```text
长文转分镜
批量生成配音稿
图片提示词生成
文档拆分
素材蒸馏
报价模板生成
标准报告初稿
```
---
#### 【I】治理 / Issue
**核心匮乏**:秩序、共识与责任边界缺失。
**场景特征**:无唯一最优解,存在隐蔽变量、多方权衡、非遍历性风险或单向门决策。
**系统响应**战略透镜、人机回环、预设委员会、Human Gate、权限阻断。
**默认架构**Interactive Runtime 或 Governed Runtime。
I 域架构复杂性必须倾注于:
```text
保真度
责任锚定
多视角张力
审计可追踪
人工裁决
反例处理
风险阻断
```
绝不允许用并发掩盖判断逻辑的脆弱。
示例:
```text
核心立意判定
重大客户方案取舍
战略级评审
高风险心理诊断辅助
不可逆商业决策
模型边界裁决
组织流程重构
```
---
### 1.2 任务性质定性
完成 QPI 后,必须明确当前动作的终极标的。
同一个表面任务,可能属于完全不同的性质。
#### A. 一次性内容产出
系统运作仅为获取当下的单一结果材料。
示例:
```text
整理一篇 5 万字讨论稿
生成一个视频分镜
提炼一次会议纪要
写一份客户报告初稿
```
默认要求:
```text
Lite 档
最小充分产物
轻量记录
禁止自动升级为 Runtime 建设
```
---
#### B. 可复用能力沉淀
系统运作为了提炼可跨项目复用的资产。
示例:
```text
把某个提炼方法沉淀为 Skill
把某个专家判断结构沉淀为 Model Card
把某类报告流程沉淀为 Workflow
把旧 Prompt 升级为 CCPE-Lite
```
默认要求:
```text
Standard 档
资产合约
局部评测
明确下游消费场景
```
---
#### C. 治理级系统建设
系统运作为了构建可长久运行、可审计、可追责、可恢复的 Runtime 或工作台。
示例:
```text
多 Agent 写作评审 Runtime
知识加工 Runtime
客户方案生成与审核工作台
高风险决策辅助系统
Agentic 生产系统
```
默认要求:
```text
Full 档候选
完整权限矩阵
Invocation Record
Runtime State Protocol
Evaluation Stack
Rollback Protocol
```
---
#### D. 校准与评测任务
系统运作为了修正模型偏差、构建评测集、记录专家反馈、对齐专家判断边界。
示例:
```text
收集专家修改痕迹
构建 100 道标准评测题
分析 AI 与专家判断差异
调整 Agent 的错误分类
建立返工率指标
```
默认要求:
```text
Calibration Cost 记账
过程数据授权
Evaluation Stack
Expert Attention Budget
```
---
#### E. 探索预演任务
系统运作为了验证新范式、新工具、新调用链路或新组织方式。
示例:
```text
测试 Codex Thread 是否能作为真实 Agent carrier
测试 Claude Code subagent 调用
测试 SuperPowers 对流程的影响
测试新型多 Agent 协作拓扑
```
默认要求:
```text
Exploration Cost 记账
不得伪装为生产任务
不得承诺稳定交付
必须记录失败边界
```
---
### 1.3 铁律:任务性质不得暗中变轨
如果原始目标只是:
```text
提炼一篇 5 万字文稿
```
系统绝不能在执行中私自搭建一套:
```text
知识加工园区
多 Agent 治理 Runtime
通用 Skill 生态
完整覆盖审计体系
长期下游 handoff 协议
```
一旦任务从内容产出滑入系统建设,必须触发 Scope Drift Review。
---
### 1.4 档位挂载 / Mode Selector
默认轻量,证据驱动升级。
系统物理操作杆在启动时,必须且只能挂在 Lite 档。
除非出现明确升级证据,否则不得凭借工程师的架构审美、算法崇拜或自动化惯性擅自升档。
---
#### Lite 档:默认启动
适用边界:
```text
一次性任务
低法理风险
单源或少量源材料
源材料可被单个高上下文模型完整处理
无需真实多 Agent 独立判断
下游不依赖完整过程审计
```
控制策略:
```text
单模型或单主控极简闭环
可使用局部 Skill 或工具
不默认唤醒多 Agent 独立沙箱
不默认创建厚重 handoff
不默认做覆盖审计
不默认生成治理级日志
```
核心产物:
```text
目标输出文件
极简输入记录
关键人工确认点
必要时的抽样检查
```
禁止事项:
```text
不得自动拉起委员会
不得自动创建 Runtime
不得自动生成厚 topic docs
不得自动做 lossless coverage audit
不得将一次性任务重构为平台建设
```
---
#### Standard 档:证据驱动升级
升级证据:
```text
多源异构材料
明确下游自动化消费依赖
需要可复用 Skill / Workflow / Model Card
用户明确要求能力沉淀
存在局部追踪与复盘需求
需要少量真实 Agent / Worker 调用
```
控制策略:
```text
结构化上下文编译
有限真实调用
局部 Invocation Record
可复用资产合约
局部评测
关键 Human Gate
```
核心产物:
```text
Source Pack
Context Pack
Reusable Artifacts
Decision Record
局部追踪日志
目标输出文件
```
限制:
```text
允许真实 Agent / Worker但必须限定角色数量、调用目的与产物边界。
允许审计,但必须是 targeted audit不得自动进入 Full 覆盖审计。
```
---
#### Full 档:极限治理
升级证据:
```text
高法理追责风险
单向门商业决策
外部客户关键交付
多角色真实张力对撞
长期运行 Runtime
强审计需求
不可逆工具执行
生产环境自动化
```
控制策略:
```text
全规格多智能体编排
Authority Matrix
Runtime State Protocol
完整 Invocation Records
Coverage / Governance Audit
Rollback Protocol
Human Gate Contract
Data Security Policy
```
核心产物:
```text
完整 Runtime 状态机
append-only / tamper-evident Invocation Records
Authority Map
Risk Log
Distortion Log
Evaluation Report
Downstream Handoff
Recovery Plan
```
Full 档启动必须有人工授权。
系统不得自发进入 Full 档。
---
### 1.5 预算合约 / Budget Contract
每个 Runtime 启动前必须声明预算。
预算不只是 token还包括时间、存储、工具调用和专家注意力。
必须声明:
```text
source_size_estimate
target_mode
token_budget
time_budget
human_attention_budget
storage_budget
tool_call_budget
escalation_threshold
abort_threshold
budget_owner
```
默认预算倍率:
```text
Lite: source_tokens × 1030
Standard: source_tokens × 30100
Full: source_tokens × 100+,必须有明确治理理由和人工授权
```
若预计消耗超过当前档位预算上限,系统必须暂停并请求升级授权,不得静默继续。
---
### 1.6 组件启用矩阵 / Component Activation Matrix
| 组件 | Lite | Standard | Full |
| -------------------------- | -------- | -------- | ----- |
| QPI Intake | 必须 | 必须 | 必须 |
| Task Nature Classification | 必须 | 必须 | 必须 |
| Cost Ledger | 简版 | 必须 | 必须 |
| Budget Contract | 简版 | 必须 | 必须 |
| Scope Drift Detection | 必须 | 必须 | 必须 |
| Stop Rule | 必须 | 必须 | 必须 |
| Human Gate | 关键点可选 | 必须 | 多层必须 |
| Invocation Record | 仅真实调用时 | 必须 | 全链路必须 |
| Simulation Labeling | 必须 | 必须 | 必须 |
| Context Compiler | 简版 | 必须 | 全规格 |
| Authority Matrix | 可选 | 必须 | 必须 |
| Artifact Contract | 简版 | 必须 | 必须 |
| Runtime State Protocol | 简版 | 必须 | 必须 |
| Tool Safety | 有工具时必须 | 必须 | 强制 |
| Data Security | 有敏感数据时必须 | 必须 | 强制 |
| Evaluation Stack | E0E2 | E0E5 | E0E7 |
| Rollback Protocol | 有写入时必须 | 必须 | 强制 |
| Governance Audit | 禁止默认启用 | targeted | full |
---
## 2. 成本隔离与防蔓延机制
## Cost Ledger & Scope Drift
在 Agentic 自动化管线中,最致命的失控往往不是报错崩溃,而是系统在暗中无休止运转,将一次简单内容提取异化为庞大系统基建。
为了夺回对计算资源和专家注意力的控制权,必须在系统底盘焊死成本核算与边界探测组件。
---
### 2.1 四重消耗账本 / Cost Ledger
任何 Agentic 工作流在启动时,其消耗的 token、算时、存储、工具调用和人工注意力必须被记入以下四个账本之一。
---
#### Content Cost / 内容产出成本
为完成当前用户直接任务所消耗的核心资源。
示例:
```text
蒸馏一篇材料
转译一份分镜
生成一份口播稿
整理一次会议纪要
生成客户报告初稿
```
---
#### System-Building Cost / 系统建设成本
为设计、搭建或重构以下资产所消耗的资源:
```text
Agent
Skill
Runtime
Protocol
Evaluation
Toolchain
Workflow
Model Index
Project Directory
Invocation Standard
```
示例:
```text
为了蒸馏讨论稿而设计一个通用知识加工 Runtime
为了一次提纲评审而重构多 Agent invocation protocol
为了一个输出流程而建设完整生产线目录体系
```
---
#### Calibration Cost / 校准修复成本
为纠正模型偏差、记录人工反馈、对齐专家判断边界、构建标准评测集所消耗的资源。
示例:
```text
分析 AI 与专家判断差异
收集专家修改痕迹
构建真题评测集
调整错误分类
建立返工率指标
```
---
#### Exploration Cost / 探索预演成本
为了验证新范式、新工具、新平台调用链路或新协作拓扑所消耗的实验性资源。
示例:
```text
测试 Codex Thread 作为真实 Agent carrier
测试 Claude Code subagent
测试 SuperPowers 对流程复杂度的影响
测试 OpenClaw 自动化能力边界
```
---
### 2.2 核算铁律
绝对禁止将系统建设成本伪装为单次任务的内容产出成本。
如果一次任务中实际发生了:
```text
设计新 Runtime
编写通用 Protocol
创建新 Agent / Skill
构建评测栈
设计目录结构
定义 invocation record
构建长期资产
```
这些消耗必须记入 System-Building Cost而不是 Content Cost。
系统架构的重工业投入必须光明正大地记入基建账本,以接受长周期 ROI 审计。
---
### 2.3 漂移探测触发 / Scope Drift Detection
由于 LLM 内置的规划、反思和补完惯性,轻量级 P 域任务极易在无监督状态下向 I 域治理滑移。
系统必须在管线节点埋入漂移探针。一旦捕捉到以下信号,即刻判定发生任务蔓延。
---
#### 信号一:基建过度行为
一个被定性为 One-off 的任务,开始出现:
```text
创建通用 Protocol
设计未来复用目录树
撰写与当前产出无关的抽象规则
新增 Agent / Skill / Runtime
升级为长期工作台建设
```
---
#### 信号二:并发无序扩张
Lite 档流程开始擅自:
```text
派发多个 Worker
拉起多角色审查委员会
开启并行 coverage audit
创建多个 sub-session
进行未授权的动态 agent routing
```
---
#### 信号三:产物交付延宕
用户期待的核心产物迟迟未出现,系统资源却被大量消耗于:
```text
routing log
coverage audit
handoff packet
review report
repair protocol
directory scaffolding
meta-analysis
```
---
#### 信号四:预算穿透
当前或预估消耗已超出原定预算阈值,且未主动申报分账。
默认触发条件:
```text
Lite 超过 source_tokens × 30
Standard 超过 source_tokens × 100
任一任务专家注意力消耗超过预设 human_attention_budget
```
---
#### 信号五:成功标准变更
任务从:
```text
完成一个结果
```
变成:
```text
定义一套以后如何持续完成结果的系统
```
这说明任务性质已经从 Content Output 滑入 System Building。
---
### 2.4 漂移处置协议 / Drift Resolution Protocol
一旦漂移探测器被触发,系统必须放弃顺其自然的工程惯性,执行强制介入。
---
#### Step 1挂起进程
立即阻断当前 Agentic Runtime 的继续执行与自我繁衍。
状态切换为:
```text
paused_by_scope_review
```
---
#### Step 2核心发问
必须回答:
```text
1. 我们现在还是在执行原始内容产出任务吗?
2. 如果不是,是否需要正式立项为系统建设任务?
3. 当前已消耗成本应记入哪一本账?
4. 是否需要调整 Lite / Standard / Full 档位?
5. 原始任务是否仍需先完成?
```
---
#### Step 3物理分账
若确认任务变轨,必须将此前及后续超额消耗从 Content Cost 中切割,划入:
```text
System-Building Cost
Calibration Cost
Exploration Cost
```
---
#### Step 4人工授权重启
只有在完成以下动作后,系统方可解除挂起:
```text
重新 QPI 定性
重新 Mode Selector
重新 Budget Contract
重新 Stop Rule
记录 human decision
```
---
## 3. 物理防伪与绝对制动
## Execution Authenticity & Stop Rule
缺乏硬约束的 Agentic 环境中,系统极易陷入两种工程灾难:
```text
流程幻觉:主节点伪造执行过程
过度执行:子节点无限繁衍中间产物
```
本章为自动化管线装配测谎探针与制动系统。
---
### 3.1 执行真实性 / Execution Authenticity
多智能体架构的真正价值,来源于不同思维模型在隔离沙箱中产生的真实逻辑张力,而不是单一模型在同一上下文里的文本模拟。
任何被声明为以下来源的正式产物:
```text
独立 Agent
Reviewer
Worker
Auditor
Committee Member
External Participant
```
必须具备真实调用证据链。
---
### 3.2 真实调用证据链 / Invocation Record
最小 Invocation Record 必须包含:
```text
invocation_id
agent_id / role_id
canonical_prompt_path / agent_spec_path
runtime_id
carrier_type
carrier_id / thread_id / sub_session_id
input_context_path
input_context_hash
execution_timestamp
returned_output_path
returned_output_hash
orchestrator_id
entered_synthesis: true / false
human_gate_id_if_applicable
```
---
### 3.3 主控越权阻断
主会话或 Orchestrator 仅被赋予:
```text
调度
路由
聚合综合
状态记录
有限验证
人工确认转译
```
绝对禁止主会话凭借自身高上下文能力去代写或模拟子节点输出。
若无法拉起真实子线程、外部参与者或 carrier进程必须进入
```text
blocked_waiting_for_participant_output
```
不得用伪造报告填补流程真空。
---
### 3.4 模拟标记与沙箱隔离 / Simulation Labeling
当系统因环境限制、调用失败、人类手动干预或流程占位,产生缺乏真实调用证据的产物时,必须实施资产隔离。
所有模拟产物必须包含:
```text
simulation_only: true
formal_output: false
excluded_from_synthesis: true
simulation_reason:
allowed_use:
```
允许用途:
```text
价值流预演
人工参考草稿
流程设计样例
绿野仙踪验证
```
禁止用途:
```text
正式 synthesis
客户可见交付
下游自动化依据
模型沉淀依据
审计依据
```
---
### 3.5 最小充分阈值 / Minimum Sufficient Threshold
任何 Runtime 启动前,必须与人类专家确立验收合约。
必须定义:
```text
minimum_viable_output
sufficient_criteria
optional_artifacts
forbidden_artifacts
human_gate_points
budget_limit
stop_condition
```
---
#### Minimum Viable Output
为了满足下游消费,当前任务必须交付的最核心、最少信息量。
示例:
```text
只需视频总纲与分镜骨架,不需要详细配音稿
只需 topic map 与 reusable material units不需要 full coverage audit
只需 outline review不需要完整正文写作 Runtime
```
---
#### Sufficient Criteria
一旦达到该状态,即视为已达标。
达标后Optional Artifacts 默认被剥夺生成权限,除非人类显式授权。
---
#### Human Gate Points
提前锚定机器绝对不能自决的单向门。
示例:
```text
是否进入 Full 档
是否采纳红队意见
是否创建 writing project
是否进入 model mining
是否对客户可见
是否执行外部 API
```
---
### 3.6 Human Gate Contract / 人工决策门合约
Human-in-the-loop 不是一句空话,而是责任坐标。
每个 Human Gate 必须声明:
```text
gate_id
decision_owner
input_artifacts
decision_options
default_action
downstream_effect
reversibility
escalation_condition
record_path
timeout_policy
```
禁止设置无合约的“人工确认”。
---
#### Human Gate 输出格式
每个决策记录至少包含:
```text
decision_id:
gate_id:
decision_owner:
accepted_option:
rejected_options:
reason:
risk_notes:
downstream_effect:
rollback_condition:
timestamp:
```
---
### 3.7 Runtime State Protocol / 运行状态协议
所有 Runtime 必须使用标准状态。
```text
initialized
running
blocked_waiting_for_human
blocked_waiting_for_participant_output
blocked_waiting_for_tool
paused_by_scope_review
paused_by_budget_guard
failed_recoverable
failed_terminal
completed
aborted_by_human
archived
```
每次状态变化必须记录:
```text
previous_state
new_state
trigger
responsible_actor
timestamp
next_allowed_actions
```
---
### 3.8 Stop Rule / 绝对停止权
人类意志的最高体现不在于启动自动化,而在于何时决绝地踩下刹车。
Stop Rule 是系统免于冗余完美主义与中间物繁殖的最后防线。
---
#### 触发条件
一旦出现以下情况,必须触发停止:
```text
已达到 Minimum Sufficient Threshold
触及 Human Gate
预算接近 abort_threshold
发生 Scope Drift
真实 invocation 不可用
工具权限不足
数据安全边界不清
来源保真无法验证
```
---
#### 制动执行
系统必须:
```text
停止创建新任务
取消未启动的排队任务
对运行中任务发出 cooperative cancellation
保存当前状态、日志与未完成动作清单
阻断非必要产物继续生成
将状态切换为 blocked_waiting_for_human
```
对于无法响应 cooperative cancellation 的非关键线程,可执行强制终止。
终止前必须尽可能保存:
```text
partial_outputs
state_snapshot
action_log
unfinished_tasks
risk_notes
```
---
## 4. 权限、安全与副作用控制
## Authority, Tool Safety & Data Security
Agentic 系统真正危险的地方,不只是会说,而是会做。
因此,所有工具权限、文件写入、外部 API、客户可见输出都必须纳入权限矩阵与副作用隔离。
---
### 4.1 权力矩阵 / Authority Matrix
每一个 Agent、Skill、Runtime Node 必须声明权限等级。
---
#### A0 Observe / 观察
仅拥有读取权限。
可生成内部标注。
无权修改任何状态或产物。
---
#### A1 Suggest / 建议
允许输出分析、建议、优化方案。
产物不能直接覆写正式文件。
仅供高阶节点参考。
---
#### A2 Draft / 起草
允许生成初稿物料。
产物必须经过 Human Gate 或 Owner Agent 签发后,方可流转。
---
#### A3 Modify / 修改
允许在预设范围内修改正式产物。
必须限定:
```text
allowed_paths
allowed_files
allowed_fields
modification_scope
rollback_path
```
---
#### A4 Decide / 裁决
拥有结构性决策权。
行使该权限时,必须同步输出:
```text
decision record
decision rationale
risk notes
downstream effect
```
---
#### A5 Execute / 执行
A5 必须拆分为三个子级。
```text
A5-R Read Tool
A5-W Write Tool
A5-X External Action
```
---
##### A5-R Read Tool
只读工具调用。
示例:
```text
搜索
读取文件
查询数据库
查看日志
读取状态
```
---
##### A5-W Write Tool
写入动作。
示例:
```text
写文件
改代码
更新配置
生成资产
修改目录
保存结果
```
必须满足:
```text
允许路径
变更日志
diff
回滚策略
```
---
##### A5-X External Action
外部动作。
示例:
```text
发送消息
发布内容
调用客户 API
支付
删除远程资源
修改客户可见状态
触发生产任务
```
默认禁止自动执行。
必须经过 Human Gate 或 Runtime 级明确授权。
---
#### A6 Block / 阻断
最高优先级熔断权限。
一旦触发,系统全线进程挂起,进入:
```text
blocked_waiting_for_human
```
适用场景:
```text
严重逻辑悖论
法理违规
数据泄漏风险
权限越界
预算穿透
来源不可验证
执行真实性缺失
高风险动作未授权
```
---
### 4.2 最小权限原则 / Least Privilege
Agent 的工具权限必须小于其语言能力。
```text
能分析,不代表能执行。
能建议,不代表能写入。
能生成,不代表能发布。
能理解任务,不代表拥有全目录权限。
```
任何权限必须按任务最小授权。
禁止:
```text
通用推理 Agent 获得无限工具权限
默认授予全仓库写入权限
默认授予外部 API 权限
默认授予发布权限
默认授予删除权限
```
---
### 4.3 副作用隔离 / Side-effect Isolation
具备写入、发布、删除、外部 API、客户可见输出能力的 Agent必须满足
```text
沙箱目录或沙箱环境
明确 allowed_paths
明确 forbidden_paths
dry-run / preview 优先
执行前生成 action plan
执行后生成 action log
支持回滚或人工恢复
高风险动作必须二次确认
```
---
### 4.4 数据分级 / Data Classification
所有输入材料必须标记数据等级。
```text
Public公开材料
Internal内部材料
Confidential客户资料、商业方案、报价、合同、业务数据
Sensitive个人信息、密钥、账号、财务、法律、医疗、未成年人、内部战略等高敏感数据
```
不同数据等级决定:
```text
是否允许外发
是否允许进入外部模型
是否需要脱敏
是否允许保存日志
是否允许被用于校准
是否允许进入知识库
```
---
### 4.5 密钥纪律 / Secrets Discipline
任何 Agent、Skill、Runtime 不得:
```text
将 API Key、Token、Cookie、账号密码写入 Prompt
将密钥保存到普通日志
将密钥复制进 Context Pack
将密钥暴露给不需要该权限的子 Agent
将包含密钥的返回结果进入长期知识库
```
密钥必须通过安全环境变量、密钥管理服务或平台授权通道传递。
---
### 4.6 数据外发红线
调用外部模型、外部 API、图片 / 语音 / 视频服务前,必须确认:
```text
数据是否允许外发
是否包含客户资料
是否包含个人信息
是否需要脱敏
第三方是否保存日志
返回结果是否可以保存
是否允许进入训练或校准流程
```
若无法确认,默认禁止外发。
---
### 4.7 过程数据授权 / Process Data Sovereignty
专家修改痕迹、反馈、编辑轨迹、隐性遥测、光标行为、反驳意见,是高价值认知资产,也是高敏感数据。
采集这些数据必须具备:
```text
明确授权
用途边界
最小采集
可撤回机制
隔离存储
保留期限
访问权限
删除机制
```
禁止以“系统学习”为名,默认吞并专家经验或客户场景数据。
---
### 4.8 平台与插件治理 / Platform & Plugin Governance
任何平台、插件、Skill Pack、自动化框架的默认行为不得覆盖本手册。
当平台默认流程倾向于:
```text
自动创建子线程
自动调用复杂 Skill
自动进入 TDD / Review / Audit
自动补全缺失产物
自动扩展目录结构
自动执行高权限工具
自动将失败流程补成完整故事
```
系统必须先进行 Mode Selector 与 Scope Review。
---
#### 项目级白名单
每个项目必须声明:
```text
allowed_skills
blocked_skills
manual_only_skills
allowed_tool_scopes
forbidden_tool_scopes
allowed_external_services
blocked_external_services
```
---
#### 非代码任务默认禁用重型软件工程插件
对于以下任务:
```text
知识蒸馏
写作
模型提炼
素材整理
方案分析
研究讨论
概念设计
```
默认禁止启用重型软件工程流程插件,除非用户明确将任务升级为系统建设或工具开发。
---
#### 插件输出不得自动成为正式产物
插件生成的输出仍必须经过:
```text
Artifact Contract
Execution Authenticity
Evaluation Stack
Human Gate
Source Fidelity
```
插件不是治理豁免权。
---
## 5. 运行修复与回滚
## Retry, Repair & Rollback
Agentic 系统里的失败并不可怕。
真正危险的是无限重试、静默修补、越修越偏和不可回滚。
---
### 5.1 重试上限 / Retry Limits
任何自动重试必须有上限。
默认规则:
```text
工具调用失败:最多重试 2 次
格式错误:最多自动修复 2 次
网络/API 临时失败:最多重试 2 次
权限失败:不得自动绕过
推理质量不达标:不得无限重写
外部 API 失败:不得通过更换高风险 API 绕过权限边界
```
超过重试上限后,状态切换为:
```text
failed_recoverable
```
或:
```text
blocked_waiting_for_human
```
---
### 5.2 失败分类 / Failure Classification
失败必须分类,不得笼统写作“执行失败”。
```text
F0 Format Failure格式失败
F1 Tool Failure工具失败
F2 Permission Failure权限失败
F3 Data Failure数据缺失或数据污染
F4 Source Fidelity Failure来源保真失败
F5 Reasoning Failure推理失败
F6 Invocation Failure真实调用失败
F7 Budget Failure预算失败
F8 Governance Failure治理失败
F9 Terminal Failure不可恢复失败
```
---
### 5.3 修复计划 / Repair Plan
产物失败后,系统必须先生成 Repair Plan而不是直接重写。
Repair Plan 必须说明:
```text
failure_type
failure_location
affected_artifacts
impact_level
repair_scope
whether_human_gate_required
whether_reinvocation_required
whether_rollback_required
new_budget_estimate
```
---
### 5.4 回滚协议 / Rollback Protocol
任何 A5-W / A5-X 权限动作必须支持回滚协议。
必须具备:
```text
pre_change_snapshot
diff / action_log
rollback_path
rollback_owner
irreversibility_warning
```
不可回滚动作必须提前阻断,并要求 Human Gate。
示例:
```text
发布客户可见内容
删除远程资源
发送正式邮件
触发生产 API
修改客户数据库
覆盖正式知识库资产
```
---
### 5.5 修复后的再验证
修复后必须重新通过相关评测层级。
示例:
```text
格式修复后 -> E1 Format Test
事实修复后 -> E2 Factual Test
推理修复后 -> E3 Reasoning Test
权限修复后 -> E7 Governance Test
```
不得因为“已修复”而跳过验证。
---
## 6. 通用运行组件与资产标准
## Agentic Runtime Components & Artifact Standards
本章定义 Agentic 系统在 Standard / Full 档中必须使用的运行组件。Lite 档可采用简版,但不得违背其核心原则。
---
### 6.1 产物合约 / Artifact Contract
文件很多但不知道哪个是真的,是伪工程化的典型症状。
任何脱离草稿态进入正式资产池的产物,必须声明其生命周期与校验元数据。
正式产物头部必须包含:
```text
artifact_type:
status:
authority:
source_of_truth:
downstream_use:
invalidation_condition:
cost_class:
created_by:
created_at:
last_updated:
```
---
#### artifact_type
允许值:
```text
Prompt
Agent Spec
Skill
Runtime
Model Card
Model Index
Evaluation
Tool
Workflow
Context Pack
Final Output
Simulation Output
```
---
#### status
允许值:
```text
draft
candidate
active
deprecated
archived
rejected
simulation-only
```
---
#### authority
允许值:
```text
internal_note
reference_only
formal_basis
customer_visible
runtime_executable
simulation_only
excluded_from_synthesis
```
---
#### invalidation_condition
必须说明何时失效。
示例:
```text
上游源文件更新
canonical prompt 更新
用户推翻结构
规则变更
模型版本迁移
客户约束变更
Human Gate 未通过
```
---
### 6.2 运行时成熟度模型 / Runtime Maturity Model
为了防止团队在概念沙盘与生产交付之间产生致命预期错位,必须用成熟度模型丈量每个 Agentic 项目的坐标。
---
#### M0 Concept / 概念态
仅存在思想模型或业务论证。
尚未进行自动化流程拆解。
---
#### M1 Manual / 手工态
专家人工跑通闭环。
符合 Wizard of Oz 绿野仙踪协议。
验证智能流核心业务价值。
---
#### M2 Assisted / 辅助态
AI 介入生成草稿或检查项。
核心推进与流程驱动依赖人类。
---
#### M3 Protocolized / 协议态
以下内容已显性化:
```text
输入
输出
角色边界
状态机流转
Human Gate
Stop Rule
权限范围
```
但尚未实现完整自动化调用。
---
#### M4 Semi-Agentic / 半 Agentic 态
部分 Agent、Skill 或 Tool 已实现真实自动化调用。
具备 Invocation Record。
但仍依赖人类推进关键节点。
---
#### M5 Production / 生产态
具备可重复运行管线。
必须具备:
```text
自动化评测
执行监控
异常捕获
权限管控
日志记录
基础回滚
```
达到内部工程可用标准。
---
#### M6 Governed / 治理态
具备抗审计、法理追责与灾难回滚能力。
适用于:
```text
高风险场景
外部客户严苛交付
长期运行系统
客户可见自动化
不可逆工具执行
```
---
#### 成熟度铁律
```text
M2 不得伪装 M5。
M3 不得伪装 M6。
模拟产物不得伪装 M4。
无 Invocation Record 不得声明真实 Agentic。
无 Evaluation Stack 不得声明 Production。
无 Governance Test 不得声明 Governed。
```
---
### 6.3 上下文编译 / Context Compiler
绝对禁止将漫长、原始、异质的语料一股脑倾倒进所有 Agent 的上下文窗口。
在任何 I 域或高价值 P 域任务前,必须将上下文工程剥离为独立预处理动作。
---
#### Whole-source Gestalt
面对高连贯性长文本,在启动分块前,必须优先实施全局扫描,锁定:
```text
核心张力
主轴结构
目录骨架
模型演化线
层级风险
关键反例
```
防止 chunk-first 造成结构性失明。
适用边界:
```text
源材料高度连贯
源材料可被高上下文模型完整处理
下游依赖整体结构
```
若源材料是 mixed source应先做 macro-topic split。
若源材料是 fragmented source应采用 flat discovery不得强行制造层级。
---
#### Context Pack 类型
上下文编译器应根据下游目标输出:
```text
source_digest
task_specific_context_pack
role_specific_dispatch_pack
decision_context
evaluation_context
source_index
risk_notes
```
---
#### 上下文最小充分原则
上下文包必须足够支撑任务,但不得将所有材料倾倒给所有角色。
```text
主控需要全局状态
执行节点需要任务相关材料
评审节点需要标准、目标与产物
人工决策门需要候选方案、风险与差异摘要
```
---
### 6.4 来源保真与证据索引
### Source Fidelity & Evidence Index
任何涉及材料加工、报告生成、知识蒸馏、客户方案、分析结论的 Runtime必须保留来源索引。
正式输出中的关键判断必须能回溯至:
```text
原始来源
source range / paragraph / block id
参与该判断的 Agent / Worker
该判断是否来自原文、推理、归纳、用户裁决或模型补充
```
---
#### 来源铁律
```text
禁止将中间摘要当作新的 source of truth。
禁止把模型综合判断伪装成原始材料事实。
禁止在未标明推理性质的情况下输出确定性结论。
禁止在 source index 缺失时声明 lossless extraction。
```
---
#### 判断类型标记
关键判断必须标明类型:
```text
source_fact原文事实
source_claim原文主张
inference模型推理
synthesis综合归纳
human_decision人工裁决
external_fact外部事实
assumption假设
```
---
### 6.5 分层评测栈 / Evaluation Stack
依靠单一准确率或相似度,无法测度专家级 Agentic 系统的真实抗压能力。
系统必须部署从底层机械属性到顶层战略效用的多维探针。
---
#### E0 Smoke Test / 冒烟测试
检验系统能否走通骨架。
```text
文件是否生成
Tool Call 是否响应
目录是否正确
流程是否启动
```
---
#### E1 Format Test / 格式测试
检验输出是否遵守:
```text
Schema
长度预算
语言规范
命名规范
字段完整性
```
---
#### E2 Factual Test / 事实测试
核查文本溯源保真度。
```text
是否编造事实
是否遗漏关键材料
是否错误引用
是否混淆来源
```
---
#### E3 Reasoning Test / 推理测试
刺探逻辑链健壮性。
```text
假设是否暴露
推理是否闭合
反例是否处理
边界条件是否说明
```
---
#### E4 Expert Similarity / 专家相似度
测度结论与人类专家判断的重合度。
同时记录偏差部分是否可解释。
---
#### E5 Decision Utility / 决策效用
验证系统是否真实帮助人类专家完成:
```text
更优决策
更快判断
更低认知消耗
更低返工率
更稳风险控制
```
---
#### E6 Calibration Test / 校准测试
评测系统纠错摩擦力。
```text
专家是否容易指出错误
系统是否能理解纠错
修复是否影响后续批处理
反馈是否进入评测集
```
---
#### E7 Governance Test / 治理测试
审计视角终极测试。
```text
trace 是否完整
authority 是否隔离
rollback 是否可行
human gate 是否记录
liability boundary 是否清晰
data policy 是否合规
```
---
### 6.6 按场景选择评测层级
```text
Q 域查询E0E2
基础 P 域生产E0E3
生产工坊E0E5
专家辅助系统E2E6
战略透镜E3E7
治理级 RuntimeE0E7
```
不得用单一准确率评估战略透镜。
不得用“看起来不错”替代 E5 / E6 / E7。
---
## 7. 开工清单与反模式
## Start Checklist & Anti-patterns
本章用于将前述规则压缩为现场可执行动作。
---
### 7.1 Agentic Project Start Checklist
每个 Agentic 项目开工前,必须回答:
```text
1. 原始任务是什么?
2. Q / P / I 定性是什么?
3. 任务性质是什么:内容产出、系统建设、校准、探索?
4. 启动档位是什么Lite / Standard / Full
5. 最小充分产物是什么?
6. 停止条件是什么?
7. token / time / human attention 预算上限是什么?
8. 是否涉及客户资料、密钥或敏感数据?
9. 是否需要真实 Agent 调用?
10. 若需要Invocation Record 保存在哪里?
11. 是否允许工具写入?
12. 是否允许外部 API
13. Human Gate 在哪里?
14. 谁是 decision_owner
15. 产物如何进入 Artifact Contract
16. 评测层级到 E 几?
17. 是否需要 Source Fidelity
18. 是否需要 Rollback Protocol
19. 哪些平台插件允许自动触发?
20. 什么时候触发 Scope Drift Review
```
未完成清单,不得进入 Standard 或 Full 档。
---
### 7.2 常见反模式 / Anti-patterns
---
#### 1. Prompt 万能化
把 Agent、Skill、Runtime、Model Card 全塞进一个巨型 Prompt。
后果:
```text
难维护
难评测
难复用
难追踪
难迁移
```
---
#### 2. 流程幻觉
文件齐全,但真实 Agent 没有被调用。
典型症状:
```text
有 report
有 dispatch pack
有目录
有日志
但没有 Invocation Record
```
---
#### 3. 治理过载
一次性任务启用 Full Runtime。
典型症状:
```text
5 万字材料
3000 万 tokens
大量 topic docs
大量 audit
大量 handoff
核心产物 ROI 失真
```
---
#### 4. 成本混账
把系统建设成本算成内容产出成本。
典型症状:
```text
用户只要一个结果
系统却建设了一个机器
最后把机器成本记到结果上
```
---
#### 5. 中间物繁殖
核心产物未交付,系统不断生成:
```text
audit
routing log
handoff
repair note
review report
meta-analysis
```
---
#### 6. 上下文倾倒
把所有原始材料一股脑塞给所有 Agent。
后果:
```text
角色污染
判断失焦
token 浪费
source fidelity 降低
```
---
#### 7. 权限裸奔
让能推理的 Agent 直接拥有:
```text
写入权限
删除权限
发布权限
外部 API 权限
客户可见输出权限
```
---
#### 8. 无评测上线
只凭“我觉得不错”进入生产。
红线:
```text
无 Evaluation Stack不得声明 Production。
```
---
#### 9. 模拟污染
simulation-only 产物进入正式 synthesis。
这是多 Agent 系统的根级污染。
---
#### 10. 黑盒校准
系统输出错了,但专家不知道如何低成本纠正。
症状:
```text
没有 decision rationale
没有 error category
没有 feedback slot
没有 repair plan
```
---
#### 11. 插件篡权
平台插件默认流程覆盖项目治理规则。
症状:
```text
自动开子线程
自动进入重型审查
自动生成无关目录
自动补全失败产物
```
---
#### 12. 停止权失效
系统已经达到最小充分产物,却继续生产“看似有用”的附加物。
红线:
```text
系统不得因为还能生成,就继续生成。
```
---
## 8. 附录:标准元数据模板
## Appendix: Standard Metadata Templates
---
### 8.1 Invocation Record Template
```yaml
invocation_id:
runtime_id:
agent_id:
role_id:
canonical_prompt_path:
agent_spec_path:
carrier_type:
carrier_id:
thread_id:
input_context_path:
input_context_hash:
execution_timestamp:
returned_output_path:
returned_output_hash:
orchestrator_id:
entered_synthesis: false
human_gate_id_if_applicable:
status:
notes:
```
---
### 8.2 Simulation Metadata Template
```yaml
simulation_only: true
formal_output: false
excluded_from_synthesis: true
simulation_reason:
allowed_use:
created_by:
created_at:
must_not_enter:
- formal_synthesis
- customer_delivery
- model_card_source
- governance_audit
```
---
### 8.3 Human Gate Record Template
```yaml
decision_id:
gate_id:
decision_owner:
input_artifacts:
decision_options:
accepted_option:
rejected_options:
reason:
risk_notes:
downstream_effect:
reversibility:
rollback_condition:
timestamp:
```
---
### 8.4 Artifact Contract Template
```yaml
artifact_type:
status:
authority:
source_of_truth:
downstream_use:
invalidation_condition:
cost_class:
created_by:
created_at:
last_updated:
related_invocations:
related_human_gates:
related_sources:
```
---
### 8.5 Runtime State Transition Template
```yaml
runtime_id:
previous_state:
new_state:
trigger:
responsible_actor:
timestamp:
next_allowed_actions:
blocked_reason:
related_artifacts:
notes:
```
---
### 8.6 Cost Ledger Entry Template
```yaml
ledger_id:
task_id:
cost_class:
mode:
token_estimate:
token_actual:
time_spent:
tool_calls:
human_attention_minutes:
storage_used:
reason:
approved_by:
timestamp:
```
---
### 8.7 Repair Plan Template
```yaml
repair_id:
failure_type:
failure_location:
affected_artifacts:
impact_level:
repair_scope:
human_gate_required: false
reinvocation_required: false
rollback_required: false
new_budget_estimate:
repair_owner:
next_state:
```
---
## 9. 结语:现场纪律
Agentic 工程不是“让 AI 多干点”。
它是把人类专家的判断、责任、隐性经验、材料处理、流程边界和工具权限,装入一台会高速运转的认知反应堆。
因此,本手册的目的不是鼓励自动化,而是给自动化装上:
```text
入口闸门
成本账本
权限阀门
防伪探针
状态仪表
数据隔离
评测探针
回滚绳索
绝对刹车
```
系统越聪明,越要守规矩。
流程越丝滑,越要看后端废热。
Agent 越能干,越不能让它裸奔。
**HiFi Agentic 工程的底线不是“自动完成”,而是:高保真、可校准、可追踪、可停止、可追责。**