Google 发布了一份关于 AI 智能体的综合白皮书,作者包括 Alan Blount、Antonio Gulli、Shubham Saboo、Michael Zimmermann 和 Vladimir Vuskovic(2025 年 11 月)。这是一份 54 页的深度文档,本文提炼了其核心见解——一份从原型到生产级智能体系统的完整指南。
1. 从预测式 AI 到自主智能体
人工智能正在经历范式转变。多年来,AI 的重点一直是擅长被动、离散任务的模型:回答问题、翻译文本或根据提示生成图像。这种范式虽然强大,但每一步都需要人类的持续指导。
我们现在正见证一个范式转变:从只是预测或创建内容的 AI,转向能够自主解决问题和执行任务的新型软件。
智能体是语言模型的自然进化,使其在软件中变得真正有用。
1.1 什么是 AI 智能体?
AI 智能体不仅仅是静态工作流程中的 AI 模型;它是一个完整的应用程序,能够制定计划并采取行动来实现目标。它结合了语言模型(LM)的推理能力与行动能力,使其能够处理单独模型无法完成的复杂多步骤任务。
关键能力:智能体可以自主工作,在没有人类逐步指导的情况下找出达成目标所需的下一步。
2. AI 智能体的四大核心组件
用最简单的术语来说,AI 智能体可以定义为模型、工具、编排层和运行时服务的组合,在循环中使用语言模型来完成目标。
2.1 模型(“大脑”)
核心语言模型或基础模型,作为智能体的中央推理引擎,处理信息、评估选项并做出决策。模型类型(通用、微调或多模态)决定了智能体的认知能力。
智能体系统是语言模型输入上下文窗口的终极管理者。
2.2 工具(“双手”)
这些机制将智能体的推理与外部世界连接起来,使其能够执行超越文本生成的操作。包括:
- API 扩展
- 代码函数
- 数据存储(如数据库或向量存储)用于访问实时、事实性信息
智能体系统允许语言模型规划使用哪些工具,执行工具,并将工具结果放入下一次语言模型调用的输入上下文窗口。
2.3 编排层(“神经系统”)
管理智能体操作循环的治理流程。它处理:
- 规划
- 记忆(状态)
- 推理策略执行
这一层使用提示框架和推理技术(如思维链 Chain-of-Thought 或 ReAct)将复杂目标分解为步骤,并决定何时思考 vs 何时使用工具。这一层还负责给智能体"记忆"的能力。
2.4 部署(“身体和腿”)
虽然在笔记本电脑上构建智能体对原型设计很有效,但生产部署才是使其成为可靠、可访问服务的关键。这涉及:
- 在安全、可扩展的服务器上托管智能体
- 与监控、日志记录和管理的基本生产服务集成
- 通过图形界面供用户访问
- 通过 Agent-to-Agent (A2A) API 供其他智能体程序化访问
3. 智能体问题解决的五步循环
智能体在连续的循环过程中运作以实现目标。虽然这个循环可能变得高度复杂,但可以分解为五个基本步骤:
3.1 获取任务(Get the Mission)
流程由特定的高级目标启动。这个任务可以由用户提供(例如,“为即将到来的会议组织我团队的差旅”)或自动触发器提供(例如,“一个新的高优先级客户工单已到达”)。
3.2 扫描场景(Scan the Scene)
智能体感知其环境以收集上下文。这涉及编排层访问其可用资源:
- “用户的请求说了什么?”
- “我的长期记忆中有什么信息?我之前是否已经尝试过这个任务?用户上周是否给了我指导?”
- “我可以从我的工具中访问什么,如日历、数据库或 API?”
3.3 深思熟虑(Think It Through)
这是智能体的核心**“思考"循环**,由推理模型驱动。智能体分析任务(步骤1)与场景(步骤2),并制定计划。这不是单一的想法,而通常是一个推理链:
“要预订差旅,我首先需要知道团队中有谁。我将使用
get_team_roster工具。然后我需要通过calendar_api检查他们的可用性。”
3.4 采取行动(Take Action)
编排层执行计划的第一个具体步骤。它选择并调用适当的工具——调用 API、运行代码函数或查询数据库。这是智能体在其内部推理之外对世界采取行动。
3.5 观察与迭代(Observe and Iterate)
智能体观察其行动的结果。get_team_roster 工具返回五个名字的列表。这些新信息被添加到智能体的上下文或"记忆"中。然后循环重复,返回步骤3:
“现在我有了名单,我的下一步是检查这五个人的日历。我将使用
calendar_api。”
这个**“思考、行动、观察"循环**持续进行——由编排层管理,由模型推理,由工具执行——直到智能体的内部计划完成,初始任务达成。
4. 智能体系统的分类法(五个等级)
理解操作循环是拼图的第一部分。第二部分是认识到这个循环可以在复杂性上扩展,创建不同类别的智能体。
4.0 级别 0:核心推理系统
在我们有智能体之前,必须从最基本形式的"大脑"开始:推理引擎本身。在此配置中,语言模型孤立运行,仅基于其庞大的预训练知识进行响应,没有任何工具、记忆或与实时环境的交互。
优势:可以解释已建立的概念,并能深入规划如何解决问题。
权衡:完全缺乏实时意识;在其训练数据之外的任何事件或事实上是功能性"盲目"的。
示例:它可以解释职业棒球的规则和纽约扬基队的完整历史。但如果你问"昨晚扬基队比赛的最终比分是多少?",它将无法回答——那场比赛是在其训练数据收集后发生的特定真实世界事件。
4.1 级别 1:连接型问题解决者
在这个级别,推理引擎通过连接和使用外部工具——我们架构的"双手"组件——成为功能性智能体。其问题解决不再局限于静态的预训练知识。
使用五步循环,智能体现在可以回答我们之前的问题:
- 任务:“昨晚扬基队比赛的最终比分是多少?”
- 思考:识别这是实时数据需求
- 行动:调用工具,如 Google Search API,使用正确的日期和搜索词
- 观察:搜索结果(例如,“扬基队 5-3 获胜”)
- 综合:将该事实综合为最终答案
这种与世界互动的基本能力——无论是使用搜索工具获取比分、金融 API 获取实时股票价格,还是通过检索增强生成(RAG)查询数据库——是级别1智能体的核心能力。
4.2 级别 2:战略型问题解决者
级别2标志着能力的重大扩展,从执行简单任务转向战略性规划复杂的多部分目标。这里出现的关键技能是上下文工程:智能体主动选择、打包和管理每个计划步骤最相关信息的能力。
智能体的准确性依赖于聚焦的、高质量的上下文。上下文工程管理模型有限的注意力,防止过载并确保高效性能。
示例任务:“找一个在我办公室(1600 Amphitheatre Parkway, Mountain View)和我客户办公室(1 Market St, San Francisco)之间中点的好咖啡店。”
级别2智能体的计划:
-
思考:“我必须首先找到中点。”
- 行动:使用两个地址调用 Maps 工具
- 观察:“中点是 Millbrae, CA。”
-
思考:“现在我必须在 Millbrae 找咖啡店。用户要求’好的’,所以我将搜索4星或更高评级的地方。”
- 行动:调用
google_places工具,查询=“coffee shop in Millbrae, CA”,min_rating=4.0 - 观察:“搜索返回 ‘Millbrae Coffee’ 和 ‘The Daily Grind’。”
- 行动:调用
-
思考:“我将综合这些结果并呈现给用户。”
这种战略规划还支持主动协助,比如智能体读取长长的航班确认邮件,提取关键上下文(航班号、日期),并通过将其添加到您的日历来采取行动。
4.3 级别 3:协作型多智能体系统
在最高级别,范式完全转变。我们从构建单一的、全能的"超级智能体"转向**“专家团队"协同工作**,这种模式直接模仿人类组织。系统的集体优势在于这种分工。
在这里,智能体将其他智能体视为工具。想象一个"项目经理"智能体收到任务:“启动我们新的’Solaris’耳机。”
项目经理智能体不会自己完成全部工作。它通过为其专业智能体团队创建新任务来采取行动,就像在现实生活中的工作方式:
- 委派给 MarketResearchAgent:“分析降噪耳机的竞争对手定价。明天之前返回摘要文档。”
- 委派给 MarketingAgent:“使用’Solaris’产品规格表作为上下文,起草三个版本的新闻稿。”
- 委派给 WebDevAgent:“根据附加的设计模型生成新产品页面 HTML。”
这种协作模式虽然目前受到当今语言模型推理能力的限制,但代表了从头到尾自动化整个复杂业务工作流程的前沿。
4.4 级别 4:自我进化系统
级别4代表从委派到自主创建和适应的深刻飞跃。在这个级别,智能体系统可以识别自身能力的差距,并动态创建新工具甚至新智能体来填补它们。它从使用固定资源集转向主动扩展它们。
继续我们的示例,“项目经理"智能体在执行"Solaris"启动任务时,可能意识到它需要监控社交媒体情感,但团队中不存在这样的工具或智能体:
- 思考(元推理):“我必须为’Solaris’追踪社交媒体热度,但我缺乏这个能力。”
- 行动(自主创建):不是失败,而是调用高级
AgentCreator工具,带着新任务:“构建一个新智能体,监控社交媒体关键词’Solaris headphones’,执行情感分析,并报告每日摘要。” - 观察:一个新的、专业的
SentimentAnalysisAgent被动态创建、测试并添加到团队中,准备为原始任务做出贡献。
这种自主性——系统可以动态扩展自身能力——将智能体团队转变为真正的学习和进化组织。
5. 核心智能体架构详解
5.1 模型:AI 智能体的"大脑”
语言模型是智能体的推理核心,其选择是关键的架构决策,决定了智能体的认知能力、运营成本和速度。
常见错误:将选择简单地视为选择基准测试得分最高的模型。智能体在生产环境中的成功很少由通用学术基准决定。
真实世界成功需要的模型擅长智能体基础能力:
- 卓越推理:导航复杂的多步骤问题
- 可靠工具使用:与世界互动
最佳实践:
- 从定义业务问题开始,然后针对直接映射到该结果的指标测试模型
- 如果您的智能体需要编写代码,在您的私有代码库上测试它
- 如果它处理保险理赔,评估其从您特定文档格式中提取信息的能力
- 将此分析与成本和延迟的实际情况交叉引用
“最佳"模型是在质量、速度和价格的最佳交叉点上针对您特定任务的那个。
模型路由策略:“专家团队"方法。
- 复杂任务:使用前沿模型如 Gemini 2.5 Pro 进行初始规划和复杂推理
- 简单高频任务:使用更快、更具成本效益的模型如 Gemini 2.5 Flash 处理分类用户意图或总结文本
重要提醒:AI 领域处于持续、快速的演进状态。您今天选择的模型将在六个月内被超越。“设置后忘记"的心态是不可持续的。构建一个强大的 CI/CD 管道,持续针对您的关键业务指标评估新模型。
5.2 工具:AI 智能体的"双手”
如果模型是智能体的大脑,工具就是将其推理连接到现实的双手。它们允许智能体超越其静态训练数据来检索实时信息和在世界中采取行动。
5.2.1 检索信息:扎根现实
| 工具类型 | 描述 | 用例 |
|---|---|---|
| 检索增强生成(RAG) | 给智能体一张"图书馆卡"来查询外部知识 | 查询内部公司文档到通过 Google Search 查询网络知识 |
| 自然语言转 SQL(NL2SQL) | 允许智能体查询数据库以回答分析问题 | “上季度我们销量最高的产品是什么?” |
通过在说话前查找信息——无论是在文档还是数据库中——智能体将自己扎根于事实,大大减少幻觉。
5.2.2 执行操作:改变世界
当智能体从读取信息转向主动做事时,其真正的力量被释放:
- 包装现有 API 和代码函数作为工具:发送电子邮件、安排会议或更新 ServiceNow 中的客户记录
- 动态编写和执行代码:在安全沙箱中生成 SQL 查询或 Python 脚本来解决复杂问题或执行计算
这将智能体从知识渊博的助手转变为自主行动者。
5.2.3 人在回路(Human in the Loop)工具
智能体可以使用人在回路(HITL)工具来暂停其工作流程并:
- 请求确认(例如,
ask_for_confirmation()) - 从用户界面请求特定信息(例如,
ask_for_date_input())
这确保在关键决策中有人参与。HITL 可以通过 SMS 短信和数据库中的任务来实现。
5.2.4 函数调用:将工具连接到智能体
为了让智能体可靠地进行"函数调用"并使用工具,它需要清晰的指令、安全的连接和编排:
| 标准 | 描述 |
|---|---|
| OpenAPI 规范 | 长期存在的标准,为智能体提供结构化契约,描述工具的目的、所需参数和预期响应 |
| 模型上下文协议(MCP) | 用于更简单发现和连接工具的开放标准,因其便利性而流行 |
| 原生工具 | 少数模型具有原生工具,如 Gemini 的原生 Google Search,函数调用作为语言模型调用本身的一部分发生 |
5.3 编排层:神经系统
如果模型是智能体的大脑,工具是其双手,编排层就是连接它们的中枢神经系统。它是:
- 运行"思考、行动、观察"循环的引擎
- 管理智能体行为的状态机
- 开发者精心设计的逻辑付诸实践的地方
这一层不仅仅是管道;它是整个智能体交响乐的指挥,决定何时模型应该推理、哪个工具应该行动,以及该行动的结果应如何指导下一个动作。
5.3.1 核心设计选择
选择一:智能体的自主程度
这个选择存在于一个光谱上:
| 光谱位置 | 描述 |
|---|---|
| 确定性端 | 可预测的工作流程,调用语言模型作为特定任务的工具——为现有流程添加一点 AI |
| 自主端 | 语言模型在驾驶座上,动态适应、规划和执行任务以实现目标 |
选择二:实现方法
| 方法 | 适合场景 | 优势 |
|---|---|---|
| 无代码构建器 | 业务用户自动化结构化任务 | 速度和可访问性 |
| 代码优先框架(如 Google ADK) | 复杂、关键任务系统 | 深度控制、可定制性和集成能力 |
生产级框架的关键要求:
- 开放性:允许插入任何模型或工具以防止供应商锁定
- 精确控制:启用混合方法,其中语言模型的非确定性推理由硬编码业务规则管理
- 可观察性:当智能体行为异常时,您无法简单地在模型的"思想"中设置断点。强大的框架生成详细的跟踪和日志,暴露整个推理轨迹
5.3.2 用领域知识和角色指导
在此框架内,开发者最强大的杠杆是用领域知识和独特角色指导智能体。这通过系统提示或一组核心指令完成。
这不仅仅是简单的命令;它是智能体的宪法。在这里,您告诉它:
You are a helpful customer support agent for Acme Corp, ...
并提供:
- 约束
- 期望的输出模式
- 参与规则
- 特定的语气
- 关于何时以及为何使用其工具的明确指导
指令中的几个示例场景通常非常有效。
5.3.3 用上下文增强(记忆系统)
智能体的"记忆"在运行时被编排到语言模型上下文窗口中:
| 记忆类型 | 描述 | 实现 |
|---|---|---|
| 短期记忆 | 智能体的活动"草稿本”,维护当前对话的运行历史 | 状态、工件、会话或线程等抽象 |
| 长期记忆 | 跨会话提供持久性 | 几乎总是作为另一个专门工具实现——连接到向量数据库或搜索引擎的 RAG 系统 |
编排器使智能体能够预取并主动查询自己的历史,允许它"记住"用户的偏好或几周前类似任务的结果,实现真正个性化和连续的体验。
6. 多智能体系统和设计模式
随着任务复杂性增长,构建单一的全能"超级智能体"变得低效。更有效的解决方案是采用**“专家团队"方法**,这模仿人类组织。
核心理念:复杂流程被分割为离散子任务,每个子任务分配给专门的 AI 智能体。这种分工允许每个智能体更简单、更专注、更易于构建、测试和维护。
6.1 协调者模式(Coordinator Pattern)
适用于动态或非线性任务。引入一个"经理"智能体:
- 分析复杂请求
- 分割主要任务
- 智能地将每个子任务路由到适当的专家智能体(如研究员、作家或编码员)
- 聚合每个专家的响应以制定最终的综合答案
6.2 顺序模式(Sequential Pattern)
适用于更线性的工作流程,像数字装配线一样运作,一个智能体的输出成为下一个智能体的直接输入。
6.3 迭代优化模式(Iterative Refinement Pattern)
创建反馈循环:
- “生成器"智能体:创建内容
- “评论家"智能体:根据质量标准评估内容
6.4 人在回路模式(Human-in-the-Loop Pattern)
对于高风险任务至关重要,在工作流程中创建故意暂停,在智能体采取重要行动之前获得人的批准。
7. 智能体部署和服务
在构建本地智能体后,您将希望将其部署到始终运行的服务器上,其他人和智能体可以使用它。继续我们的类比,部署和服务将是我们智能体的身体和腿。
7.1 智能体需要的服务
- 会话历史和记忆持久性
- 日志记录(您负责决定记录什么)
- 数据隐私和数据驻留的安全措施
- 法规合规性
7.2 部署选项
| 选项 | 适用场景 | 特点 |
|---|---|---|
| Vertex AI Agent Engine | 专门构建的智能体部署 | 支持运行时和所有其他服务的一体化平台 |
| Cloud Run 或 GKE | 想要更直接控制应用程序栈的软件开发者 | 将智能体和大多数智能体服务添加到 docker 容器并部署到行业标准运行时 |
提示:许多智能体框架通过 deploy 命令或专用平台使部署变得简单,这些应该用于早期探索和入门。升级到安全和生产就绪的环境通常需要更大的时间投资和最佳实践的应用,包括为您的智能体进行 CI/CD 和自动化测试。
8. Agent Ops:应对不可预测性的结构化方法
从传统的确定性软件过渡到随机性智能体系统需要新的运营哲学。
8.1 为什么传统测试不适用
传统软件单元测试可以简单地断言 output == expected;但当智能体的响应按设计是概率性的时,这不起作用。此外,因为语言是复杂的,通常需要语言模型来评估"质量”——智能体的响应是否做了它应该做的所有事情,没有做它不应该做的事情,并且语气适当。
8.2 Agent Ops 是什么
Agent Ops 是管理这个新现实的纪律性、结构化方法。它是 DevOps 和 MLOps 的自然进化,为构建、部署和治理 AI 智能体的独特挑战量身定制,将不可预测性从负债转变为可管理、可衡量和可靠的特性。
8.3 衡量重要的事情:像 A/B 实验一样设置成功指标
在改进智能体之前,必须在业务上下文中定义"更好"意味着什么。像 A/B 测试一样构建您的可观察性策略,问自己:哪些关键绩效指标(KPI)证明智能体正在交付价值?
这些指标应该超越技术正确性,衡量真实世界影响:
- 目标完成率
- 用户满意度评分
- 任务延迟
- 每次交互的运营成本
- 最重要的是,对收入、转化或客户保留等业务目标的影响
8.4 质量而非通过/失败:使用语言模型作为评判者
业务指标不能告诉您智能体是否行为正确。由于简单的通过/失败是不可能的,我们转向使用**“语言模型作为评判者”**来评估质量。
这涉及使用强大的模型根据预定义的标准评估智能体的输出:
- 它给出了正确答案吗?
- 响应是基于事实的吗?
- 它遵循了指令吗?
这种针对提示的黄金数据集运行的自动化评估提供了一致的质量衡量。
创建评估数据集的最佳实践:
- 从现有生产或开发交互中采样场景
- 数据集必须覆盖您期望用户参与的全部用例,加上一些意外的用例
- 评估结果在被接受为有效之前应始终由领域专家审查
8.5 指标驱动开发:您的部署通行证
一旦您自动化了数十个评估场景并建立了可信的质量分数,您可以自信地测试对开发智能体的更改:
- 针对整个评估数据集运行新版本
- 直接将其分数与现有生产版本进行比较
这个强大的系统消除了猜测,确保您对每次部署都充满信心。
不要忘记其他重要因素:
- 延迟
- 成本
- 任务成功率
最大安全性:使用 A/B 部署慢慢推出新版本,并将这些真实世界生产指标与您的模拟分数进行比较。
8.6 使用 OpenTelemetry 跟踪调试:回答"为什么?”
当您的指标下降或用户报告错误时,您需要理解"为什么”。OpenTelemetry 跟踪是智能体整个执行路径(轨迹)的高保真度、逐步记录,允许您调试智能体的步骤。
通过跟踪,您可以看到:
- 发送给模型的确切提示
- 模型的内部推理(如果可用)
- 它选择调用的特定工具
- 它为该工具生成的精确参数
- 作为观察返回的原始数据
跟踪数据可以在 Google Cloud Trace 等平台中无缝收集,可视化和搜索大量跟踪,简化根本原因分析。
8.7 珍惜人类反馈:指导您的自动化
人类反馈不是要处理的烦恼;它是您改进智能体最有价值和数据丰富的资源。当用户提交错误报告或点击"踩"按钮时,他们给您的是一份礼物:一个您的自动化评估场景错过的新的真实世界边缘案例。
有效的 Agent Ops 流程"闭环”:
- 捕获此反馈
- 复制问题
- 将该特定场景转换为评估数据集中的新的永久测试用例
这确保您不仅修复错误,而且使系统免受该整类错误再次发生的影响。
9. 智能体互操作性
一旦构建了高质量智能体,您希望能够将它们与用户和其他智能体互连。在我们的身体部位类比中,这将是智能体的面孔。
9.1 智能体与人类
用户界面交互
| 类型 | 描述 |
|---|---|
| 聊天机器人 | 最简单形式,用户输入请求,智能体处理并返回文本块 |
| 结构化数据 | 高级智能体可以提供 JSON 等结构化数据来驱动丰富的动态前端体验 |
| 人在回路模式 | 意图细化、目标扩展、确认和澄清请求 |
计算机使用(Computer Use)
一类工具,语言模型控制用户界面,通常有人类交互和监督。启用计算机使用的智能体可以决定下一个最佳行动是导航到新页面、突出显示特定按钮或用相关信息预填表单。
UI 控制协议
| 协议 | 描述 |
|---|---|
| MCP UI | 通过 MCP 工具控制 UI |
| AG UI | 通过事件传递和可选共享状态同步客户端状态与智能体 |
| A2UI | 生成定制界面 |
实时多模态通信
高级智能体正在突破文本障碍,通过**“实时模式”**进入实时多模态通信,创造更自然、类人的连接。
Gemini Live API 等技术启用双向流式传输,允许用户与智能体交谈并打断它,就像在自然对话中一样。这使智能体成为更直观、更易访问的伙伴。
9.2 智能体与智能体
随着企业扩大 AI 使用,不同团队将构建不同的专业智能体。没有共同标准,连接它们将需要构建脆弱的自定义 API 集成的纠缠网络,无法维护。
核心挑战:
- 发现:我的智能体如何找到其他智能体并知道它们能做什么?
- 通信:我们如何确保它们说同一种语言?
Agent2Agent (A2A) 协议
解决此问题的开放标准。它充当智能体经济的通用握手。
A2A 允许任何智能体发布数字"名片”,称为 Agent Card。这个简单的 JSON 文件宣传:
- 智能体的能力
- 其网络端点
- 与其交互所需的安全凭证
与 MCP 的区别:MCP 专注于解决事务性请求,Agent 2 Agent 通信通常用于额外的问题解决。
一旦发现,智能体使用面向任务的架构进行通信。交互不是简单的请求-响应,而是被框架为异步"任务”。客户端智能体向服务器智能体发送任务请求,服务器智能体可以在长时间连接上工作时提供流式更新。
9.3 智能体与金钱
随着 AI 智能体为我们做更多任务,其中一些任务涉及购买或销售、谈判或促进交易。当前网络是为人类点击"购买"而构建的,责任在人类身上。如果自主智能体点击"购买”,它创造了信任危机——如果出了问题,谁有过错?
这些是授权、真实性和问责的复杂问题。要解锁真正的智能体经济,我们需要新标准,允许智能体代表其用户安全可靠地进行交易。
新兴协议
| 协议 | 描述 |
|---|---|
| Agent Payments Protocol (AP2) | 智能体商务的权威语言,通过引入加密签名的数字"授权"扩展 A2A 等协议 |
| x402 | 使用标准 HTTP 402 “Payment Required” 状态码的开放互联网支付协议,启用无摩擦的机器对机器微支付 |
10. 保护单个智能体:信任权衡
当您创建第一个 AI 智能体时,您立即面临一个基本张力:效用与安全之间的权衡。
要使智能体有用,您必须给它权力——自主做出决策的能力和执行发送电子邮件或查询数据库等操作的工具。然而,您授予的每一份权力都引入了相应的风险。
主要安全关切:
- 流氓行动:意外或有害的行为
- 敏感数据泄露
10.1 防御深度方法
您不能仅仅依赖 AI 模型的判断,因为它可能被提示注入等技术操纵。最佳实践是混合的、纵深防御方法。
第一层:传统确定性护栏
一组硬编码规则,作为模型推理之外的安全检查点:
- 阻止任何超过 $100 的购买
- 在智能体与外部 API 交互之前要求明确的用户确认
这一层在智能体的权力上提供可预测的、可审计的硬性限制。
第二层:基于推理的防御
使用 AI 来帮助保护 AI:
- 对抗性训练:训练模型对攻击更有弹性
- 守卫模型:使用更小、专门的模型作为安全分析师,在计划执行之前检查智能体提出的计划,标记潜在风险或违反政策的步骤以供审查
10.2 智能体身份:新类别的主体
在传统安全模型中,有使用 OAuth 或 SSO 的人类用户,有使用 IAM 或服务账户的服务。智能体添加了第三类主体。
智能体不仅仅是一段代码;它是一个自主行动者,一种需要自己可验证身份的新型主体。就像员工被发放 ID 徽章一样,平台上的每个智能体都必须被发放安全的、可验证的"数字护照"。
| 主体实体 | 认证/验证 | 说明 |
|---|---|---|
| 用户 | 使用 OAuth 或 SSO 认证 | 对其行为负有完全自主权和责任的人类行动者 |
| 智能体(新类别) | 使用 SPIFFE 验证 | 智能体有委托权限,代表用户采取行动 |
| 服务账户 | 集成到 IAM | 应用程序和容器,完全确定性,对行为不负责 |
一旦智能体拥有加密可验证的身份,它可以被授予自己特定的最小权限。SalesAgent 被授予对 CRM 的读/写访问,而 HRonboardingAgent 被明确拒绝。这种细粒度控制确保即使单个智能体被入侵或行为异常,潜在的影响范围是受限的。
10.3 限制访问的策略
策略是一种**授权(AuthZ)**形式,与认证(AuthN)不同。通常,策略限制主体的能力。
示例:“营销部门的用户只能访问这 27 个 API 端点,不能执行 DELETE 命令。”
随着我们开发智能体,我们需要将权限应用于:
- 智能体本身
- 它们的工具
- 其他内部智能体
- 它们可以共享的上下文
- 远程智能体
推荐方法:应用最小权限原则,同时保持上下文相关性。
10.4 保护 ADK 智能体
使用 Agent Development Kit (ADK) 构建的智能体的安全是通过代码和配置应用身份和策略概念的实际练习。
分层防御:
- 身份定义:用户账户(OAuth)、服务账户(运行代码)、智能体身份(使用委托权限)
- API 治理层的策略:限制对服务的访问,以及支持 MCP 和 A2A 服务的治理
- 工具、模型和子智能体中的护栏:确保无论语言模型推理什么或恶意提示可能建议什么,工具自己的逻辑都会拒绝执行不安全或违反策略的操作
ADK 的回调和插件:
before_tool_callback:允许您在工具调用运行之前检查其参数,根据智能体的当前状态验证它们以防止不对齐的操作- 插件:用于更可重用的策略。常见模式是**“Gemini 作为评判者”**,使用快速、便宜的模型如 Gemini Flash-Lite 实时筛查用户输入和智能体输出以检测提示注入或有害内容
Model Armor:对于偏好完全托管的企业级解决方案的组织,Model Armor 可以作为可选服务集成。它充当专门的安全层,筛查提示和响应以检测广泛的威胁,包括提示注入、越狱尝试、敏感数据(PII)泄露和恶意 URL。
11. 从单个智能体扩展到企业舰队
单个 AI 智能体的生产成功是胜利。扩展到数百个舰队是架构挑战。
11.1 安全和隐私:加固智能体前沿
企业级平台必须解决生成式 AI 固有的独特安全和隐私挑战:
威胁:
- 提示注入:恶意行为者劫持智能体指令
- 数据毒化:破坏智能体用于训练或 RAG 的信息
- 数据泄露:约束不当的智能体可能在其响应中无意泄露敏感客户数据或专有信息
纵深防御策略:
- 数据保护:确保企业专有信息永不用于训练基础模型,并受 VPC 服务控制等控制保护
- 输入和输出过滤:为提示和响应充当防火墙
- 合同保护:为训练数据和生成输出提供知识产权赔偿
11.2 智能体治理:控制平面而非蔓延
随着智能体和其工具在组织中扩散,它们创建了新的、复杂的交互网络和潜在漏洞——这种挑战通常被称为**“智能体蔓延”**。
管理这需要超越保护单个智能体,实施更高阶的架构方法:作为所有智能体活动控制平面的中央网关。
网关方法创建控制系统,为所有智能体流量建立强制性入口点:
- 用户到智能体的提示或 UI 交互
- 智能体到工具的调用(通过 MCP)
- 智能体到智能体的协作(通过 A2A)
- 直接对语言模型的推理请求
控制平面的两个主要功能:
| 功能 | 描述 |
|---|---|
| 运行时策略执行 | 作为实施安全的架构检查点,处理认证和授权,为每个事务创建通用日志、指标和跟踪 |
| 集中治理 | 中央注册表——智能体和工具的企业应用商店,允许开发者发现和重用现有资产,为管理员提供完整清单 |
11.3 成本和可靠性:基础设施基础
企业级智能体必须既可靠又具成本效益:
- 频繁失败或提供慢结果的智能体有负 ROI
- 成本过高的智能体无法扩展以满足业务需求
基础设施选项光谱:
| 需求 | 解决方案 |
|---|---|
| 不规则流量 | 缩放到零功能 |
| 关键任务、延迟敏感的工作负载 | 专用保证容量,如语言模型服务的 Provisioned Throughput 或 Cloud Run 的 99.9% SLA |
12. 智能体如何进化和学习
部署在真实世界中的智能体在动态环境中运行,策略、技术和数据格式不断变化。没有适应能力,智能体的性能会随时间退化——这种过程通常被称为**“老化”**——导致效用和信任的丧失。
手动更新大型智能体舰队以跟上这些变化是不经济且缓慢的。更具扩展性的解决方案是设计能够自主学习和进化的智能体,以最小的工程努力在工作中提高其质量。
12.1 智能体如何学习
学习来源:
| 来源 | 描述 |
|---|---|
| 运行时经验 | 从会话日志、跟踪和记忆等运行时工件中学习,捕获成功、失败、工具交互和决策轨迹 |
| 人在回路反馈 | 提供权威的更正和指导 |
| 外部信号 | 新的外部文档,如更新的企业政策、公共监管指南或其他智能体的批评 |
最成功的适应技术:
| 技术 | 描述 |
|---|---|
| 增强上下文工程 | 系统持续优化其提示、少样本示例和从记忆中检索的信息 |
| 工具优化和创建 | 智能体的推理可以识别其能力的差距并采取行动填补它们——获取新工具、动态创建新工具或修改现有工具 |
12.2 示例:学习新的合规指南
考虑一个在金融或生命科学等高度监管行业运营的企业智能体。其任务是生成必须符合隐私和监管规则(例如 GDPR)的报告。
多智能体工作流程实现:
- 查询智能体:响应用户请求检索原始数据
- 报告智能体:将此数据综合为报告草案
- 批评智能体:装备已知合规指南,审查报告。如果遇到歧义或需要最终签字,升级到人类领域专家
- 学习智能体:观察整个交互,特别关注人类专家的纠正反馈,然后将此反馈泛化为新的、可重用的指南
示例:如果人类专家标记某些家庭统计数据必须匿名化,学习智能体记录此更正。下次生成类似报告时,批评智能体将自动应用这个新规则,减少人类干预的需要。
12.3 模拟和 Agent Gym:下一个前沿
我们介绍的设计模式可以归类为内联学习,智能体需要使用它们被设计的资源和设计模式来学习。
更高级的方法正在研究中:专门的平台在离线过程中优化多智能体系统,具有高级工具和能力,这些不是多智能体运行时环境的一部分。
Agent Gym 的关键属性:
- 不在执行路径中:独立的离生产平台,可以使用任何语言模型和离线工具
- 提供模拟环境:智能体可以在新数据上"练习"并学习,非常适合"试错"和多种优化路径
- 高级合成数据生成器:引导模拟尽可能真实,并压力测试智能体(包括红队测试、动态评估和批评智能体家族等高级技术)
- 优化工具库不是固定的:可以采用新工具,或在更高级设置中学习新概念并围绕它们打造工具
- 连接人类专家网络:当无法克服某些边缘案例(由于企业中众所周知的"部落知识"问题)时,Agent Gym 能够连接到领域专家的人类网络,就正确的结果集进行咨询以指导下一组优化
13. 高级智能体示例
13.1 Google Co-Scientist
Co-Scientist 是一个高级 AI 智能体,设计为虚拟研究合作者,通过系统地探索复杂问题空间来加速科学发现。
功能:
- 让研究人员定义目标
- 将智能体建立在指定的公共和专有知识源上
- 生成和评估新假设的景观
工作原理:
Co-Scientist 产生一整个相互协作的智能体生态系统:
- 监督者智能体:充当经理,委派任务给专业智能体团队并分配计算能力等资源
- 生成智能体:文献探索、模拟科学辩论
- 反思智能体:带网络搜索的完整审查、模拟审查、锦标赛审查、深度验证
- 进化智能体:从其他想法中获取灵感、简化、研究扩展
- 邻近检查智能体:检查假设之间的相似性
- 元审查智能体:研究概述制定
各种智能体工作数小时甚至数天,不断改进生成的假设,运行循环和元循环,不仅改进生成的想法,还改进我们判断和创建新想法的方式。
13.2 AlphaEvolve 智能体
AlphaEvolve 是一个 AI 智能体,发现和优化数学和计算机科学中复杂问题的算法。
工作原理:
结合 Gemini 语言模型的创造性代码生成与自动化评估系统,使用进化过程:
- AI 生成潜在解决方案
- 评估器对它们评分
- 最有前途的想法被用作下一代代码的灵感
已实现的突破:
- 提高 Google 数据中心、芯片设计和 AI 训练的效率
- 发现更快的矩阵乘法算法
- 找到开放数学问题的新解决方案
AlphaEvolve 擅长的问题:验证解决方案质量比首先找到它容易得多的问题。
人类-AI 协作:
- 透明解决方案:AI 生成人类可读的代码解决方案,允许用户理解逻辑、获得见解、信任结果并直接修改代码
- 专家指导:人类专业知识对于定义问题至关重要,通过优化评估指标和引导探索来指导 AI
14. 总结
生成式 AI 智能体标志着一个关键性的进化,将人工智能从被动的内容创建工具转变为主动的、自主的问题解决伙伴。
14.1 核心架构回顾
我们已将智能体解构为三个基本组件:
- 推理模型(“大脑”)
- 可操作工具(“双手”)
- 治理编排层(“神经系统”)
这些部分的无缝集成,在连续的"思考、行动、观察"循环中运作,释放了智能体的真正潜力。
14.2 新的开发者范式
中心挑战和机遇在于新的开发者范式:
我们不再是简单地定义明确逻辑的"砌砖工";我们是"架构师"和"导演",必须指导、约束和调试一个自主实体。
使语言模型如此强大的灵活性也是其不可靠性的来源。因此,成功不是仅在初始提示中找到的,而是在应用于整个系统的工程严谨性中:
- 强大的工具契约
- 弹性错误处理
- 复杂的上下文管理
- 全面的评估
14.3 关键原则
- 智能体 = 模型 + 工具 + 编排层 + 部署服务
- 五步循环:获取任务 → 扫描场景 → 深思熟虑 → 采取行动 → 观察与迭代
- 分类法指导设计:从级别0核心推理到级别4自我进化
- 上下文工程是关键:管理语言模型的注意力以实现准确结果
- Agent Ops 必不可少:指标驱动开发、语言模型评判、OpenTelemetry 跟踪
- 安全需要纵深防御:身份、策略、护栏的组合
- 互操作性推动规模:A2A 协议、中央治理、控制平面
本文总结了 Google"智能体入门"白皮书(Alan Blount、Antonio Gulli、Shubham Saboo、Michael Zimmermann、Vladimir Vuskovic,2025 年 11 月)的核心见解。