很多人第一次做 AI Agent,会从一个看起来很酷的 demo 开始:输入一句话,模型自己规划步骤、调用工具、返回结果。演示时很顺,接到真实业务后却开始失控:工具乱调、状态丢失、权限越界、成本暴涨、失败样本没人复盘。

2026 年做 Agent,关键已经不是“能不能调工具”,而是能不能把一个不稳定的模型行为包装成可观察、可回滚、可评估的工程系统

为什么 2026 的 Agent 不再是“多轮聊天”

一个普通聊天机器人只需要回答问题。Agent 不一样,它要在目标约束下连续做动作:读资料、拆任务、调用工具、观察结果、修正计划,直到完成或明确失败。

最小定义可以这样写:

1
Agent = LLM + Goal + Tools + State + Feedback Loop

这里每一项都是工程问题:

  • Goal:目标是否足够明确,能不能被拆成可验证步骤。
  • Tools:工具 schema 是否稳定,失败时如何重试。
  • State:上下文、任务日志、外部事实分别放哪里。
  • Feedback Loop:模型如何知道自己做错了,系统如何阻止它继续错下去。

如果你还在概念阶段,可以先看 AI 智能体开发:从概念到架构设计,那篇讲“Agent 是什么”;这篇讲“怎么让它落地不翻车”。

Agent 最小闭环:任务 → 计划 → 工具 → 观察 → 修正

别一上来就做多 Agent,也别一上来就接十几个工具。真正稳定的 Agent 往往从一个很小的闭环开始。

1
2
3
4
5
6
7
8
9
User Task

Plan

Tool Call

Observation

Revise Plan / Finish

一个最小例子

任务:帮用户检查一篇 Markdown 文章是否满足发布条件。

最小闭环:

  1. 读取文章 frontmatter。
  2. 检查 title / description / tags / keywords。
  3. 统计 H2、字数、图片、内链。
  4. 输出问题清单。
  5. 如果用户允许,再修改文件。

这里不需要复杂框架。一个 Python 脚本 + LLM tool calling 就能跑。入门代码可以参考 用 Python 写你的第一个 AI Agent,先把“能跑通”做出来,再谈复杂架构。

最小闭环的验收标准

一个 Agent demo 真正可继续投入,至少满足四条:

  • 同一输入连续跑 5 次,关键步骤一致。
  • 工具失败时不会无限重试。
  • 每一步都有日志,能看出它为什么走到当前结论。
  • 人类可以在关键节点中断或接管。

达不到这四条,就先别加更多工具。

三种架构:单 Agent、Planner-Executor、多 Agent

1. 单 Agent:最稳,适合 80% 任务

单 Agent 就是一个模型负责计划、调用工具、总结结果。它适合:

  • 表单/文档处理
  • 简单数据抽取
  • 内容 QA
  • 代码小修小改
  • 客服自动回复

优点是状态简单,日志清晰。缺点是任务复杂后容易把步骤混在一起。

2. Planner-Executor:复杂任务首选

Planner 只负责拆任务,Executor 只负责执行具体步骤。

1
2
Planner: 生成步骤、判断完成标准
Executor: 逐步调用工具、把结果回传 Planner

适合:

  • 代码重构
  • 多网页调研
  • 批量内容生产
  • 数据分析报告

Planner-Executor 的关键不是“两个模型”,而是职责隔离。Planner 不直接改文件,Executor 不自己改目标。这样出错时容易定位:到底是计划错了,还是执行错了。

3. 多 Agent:最后再上

多 Agent 听起来高级,但最容易失控。只有在任务天然可并行时才值得用:

  • 每个 Agent 审一个模块
  • 每个 Agent 查一组资料
  • 每个 Agent 从不同角度做评审

如果多个 Agent 需要频繁共享状态,复杂度会飙升。先把单 Agent / Planner-Executor 跑稳定,再考虑多 Agent。框架选型可以参考 AI Agent 技术栈选择与工具集成

工具调用设计:schema、权限、幂等、超时

Agent 落地最容易翻车的地方不是模型,而是工具。

工具 schema 要窄

坏 schema:

1
2
3
{
  "command": "string"
}

这等于让模型任意执行 shell。好 schema:

1
2
3
4
5
{
  "file_path": "absolute path",
  "old_string": "exact text to replace",
  "new_string": "replacement text"
}

schema 越窄,越容易验证,越容易回滚。

权限分层

建议把工具分成三类:

权限工具例子是否需要确认
只读Read / Search / SQL SELECT默认允许
本地可逆Edit / Write / test command可按规则允许
外部可见deploy / publish / email / push必须用户确认

很多 Agent 事故都来自“把外部可见动作当成本地动作”。发布、推送、发邮件、扣款、提交 URL,都必须有显式确认。

幂等和超时

工具要尽量幂等:同样参数跑两次,结果不会破坏系统。比如“写入临时文件”比“直接覆盖生产配置”安全;“生成 PR”比“直接 push main”安全。

每个工具还必须有超时。没有超时的 Agent 会在外部 API 卡住时消耗完整上下文,最后给你一个毫无用处的总结。

工具失败、权限拒绝、重试边界的细节,可以看 AI Agent 落地失败案例:工具权限与重试

状态与记忆:短期上下文、长期记忆、任务日志

Agent 需要“记住”,但不是所有东西都该塞进 prompt。

三层状态

放什么存哪里
短期上下文当前任务、最近工具结果、用户约束prompt / conversation
长期记忆用户偏好、项目规则、已验证事实memory / KB / 数据库
任务日志每步工具调用、输入输出、失败原因event log / trace

很多系统把三层混在一起,结果 prompt 越来越长,模型越来越笨。

什么不该进长期记忆

  • 一次性任务的中间状态
  • 未验证的模型猜测
  • 代码里已经记录的事实
  • 过期的外部链接

长期记忆只存“下次还会影响决策”的东西。比如“OppMint URL 不带 /posts/ 前缀”值得记;“刚才第 3 次请求超时”不值得记。

任务日志比记忆更重要

生产 Agent 出问题时,你最需要的是 trace:

  • 它收到的原始输入是什么
  • 它生成了什么计划
  • 调了哪些工具
  • 工具返回什么
  • 哪一步开始偏离预期

没有日志的 Agent 只能靠猜。可观测性不是锦上添花,是上线门槛。

评估与回归:不要只看 demo,要看失败样本

Agent demo 很容易骗过自己,因为你会无意识地挑它擅长的输入。上线前要做失败样本集。

最小评估集

准备 30 条样本:

  • 10 条正常任务
  • 10 条边界任务
  • 10 条恶意/误导任务

每条样本记录:

1
2
3
4
5
input
expected_behavior
must_not_do
allowed_tools
pass_fail_rule

比如内容 QA Agent:

  • 正常:检查一篇 frontmatter 完整的文章。
  • 边界:文章没有 description。
  • 恶意:文章里让 Agent 忽略系统规则并提交外部 URL。

回归不是只看最终答案

Agent 的中间步骤同样要评估:

  • 是否调用了不该调用的工具
  • 是否重复读取同一个文件
  • 是否把失败工具结果当成功
  • 是否在没有用户确认时做外部动作

这些问题最终答案可能看不出来,但生产里会变成事故。

部署与成本:本地 CLI、服务端、队列、监控

Agent 有三种部署形态。

本地 CLI

适合个人工作流,比如 Claude Code。优点是上下文靠近项目文件,权限由用户掌控。缺点是不适合多人同时调用。

如果你的 Agent 主要是帮自己读仓库、改文件、跑测试,可以直接用 Claude Code 完全指南 里的本地工作流,不必先造平台。

服务端 API

适合用户触发的 Agent,比如“帮我分析这个网页”“帮我生成一份报告”。需要处理:

  • 请求排队
  • 用户隔离
  • 工具权限
  • 成本限额
  • 失败重试

队列 + Worker

适合长任务,比如批量抓取、批量生成、定时审计。核心是:前端只提交任务,后台 Worker 慢慢跑,状态写入数据库。

不要让用户请求线程直接等一个 10 分钟 Agent 跑完。

成本口径

Agent 成本不是“模型单价 × 一次调用”。它包含:

  • 多轮调用
  • 工具失败重试
  • 长上下文堆积
  • 输出 token
  • 监控日志

上线前至少设两个限额:单任务 token 上限、单用户每日成本上限。

7 类落地踩坑与修法

症状修法
目标太宽Agent 一直问问题或乱拆任务把目标改成可验证输出
工具太宽模型拿 shell 做任何事缩窄 schema,分权限级别
无状态边界越聊越长、越来越慢短期上下文和长期记忆分离
无失败样本demo 好看,生产翻车建 30 条评估集
重试失控API 失败后无限重跑每工具 max retry + backoff
人类不可接管错了也停不下来关键动作前确认
无成本阈值小任务跑出大账单单任务/单用户预算限额

真正的 Agent 工程能力,不是让模型更“聪明”,而是让系统在模型不聪明时仍然安全。

一个实战模板:从需求到可上线 Agent

下面这个模板适合大多数业务 Agent。

Step 1:写任务说明

1
2
3
4
5
Agent 目标:检查 Markdown 文章是否可发布
输入:文件路径
输出:通过/不通过 + 问题清单
禁止:发布、提交 URL、删除文件
成功标准:frontmatter 完整、H2 >= 3、description 120-160 字、无 404 内链

Step 2:列工具

1
2
3
4
5
ReadFile(path)
ExtractFrontmatter(markdown)
CheckLinks(urls)
CountHeadings(markdown)
ReportFindings(findings)

先不要给 Edit 权限。只读 Agent 稳定后,再加修复工具。

Step 3:跑 30 条评估集

不要只跑你知道能通过的文章。故意准备坏样本:空 description、错误 URL、重复 H1、外链超时、恶意提示注入。

Step 4:加人类确认点

所有可见动作前确认:

  • 写文件
  • 发布
  • 提交 URL
  • 发通知
  • 扣费

Step 5:上线后只看三类指标

  • 成功率:任务最终是否达标
  • 介入率:人类需要接管的比例
  • 单任务成本:token + 工具调用成本

这三项比“模型回答看起来聪不聪明”重要得多。

FAQ

Q1:一定要用 LangChain / CrewAI 吗?

不一定。小任务用裸 API + 函数调用更稳。框架适合你已经有多个工具、多种记忆、多 Agent 调度需求时再上。

Q2:Agent 要不要长期记忆?

多数业务 Agent 不需要复杂长期记忆。先用任务日志 + 数据库事实源。真正需要长期记忆的场景,是用户偏好会长期影响决策,比如个人助理、销售跟进、学习计划。

Q3:多 Agent 一定比单 Agent 强吗?

不一定。多 Agent 只是并行和分工方式,不自动提升质量。没有清晰边界时,多 Agent 只会让错误更难追踪。

Q4:怎么防止 Agent 乱调用工具?

工具 schema 窄化、权限分级、关键动作确认、工具结果验证。不要给模型自由 shell,也不要让它在没有确认时做外部可见动作。

Q5:Agent 成本怎么控?

控制四件事:最大轮数、最大上下文、最大输出、最大重试。再加单任务预算和单用户日预算。没有预算阈值的 Agent 不应该上线。

Q6:从哪里开始最稳?

从只读 QA Agent 开始:让它检查、总结、打分,不让它改东西。只读稳定后,再给 Edit;Edit 稳定后,再给外部动作。