为什么身份比提示词更先出问题
Agent进生产后,经常不是回答错,而是拿着错误身份做了正确动作。一个客服Agent用管理员账号改配置,一个自动化脚本沿用开发者个人登录态,一个浏览器工具继承了上个任务的账户,会让后续审计和追责都失真。
如果系统分不清是谁发起、谁批准、谁执行,那么再精细的提示词约束也会被身份混淆放大。
四类身份必须分开
第一类是人类账号,代表具体操作者。第二类是服务账号,代表应用或批处理任务。第三类是Agent自身身份,用来领取模型、工具和预算配额。第四类是代表用户执行的代理身份,例如代用户发起工单或写CRM。
这四类身份不应共享同一把Key、同一套Cookie或同一条审计记录。
执行身份要能解释给人看
高风险动作不只要知道成功没成功,还要能回答三个问题:这次动作是谁请求的,最终由哪个身份执行,为什么允许这样执行。工具层应保留调用链:用户ID、任务ID、Agent角色、服务账号、下游系统账号。
通过 https://top-api.cc 这样的统一入口,团队还可以把模型调用、工具执行和项目预算绑定到同一条请求链上,避免模型审计和业务审计各说各话。
检查清单
- 是否明确区分人类账号、服务账号和Agent身份
- 是否避免多个Agent共用长期服务Key
- 代表用户执行时,是否记录用户与代理身份的映射
- 高风险动作是否保留批准人与执行人两层记录
- 账号停用或离职后,是否能快速清理关联Agent权限
- 是否能按身份维度统计模型、工具和成本使用情况
结语
身份治理不是补充项,而是Agent进入生产的起跑线。把人、服务、Agent和代理执行四层身份拆清楚,后面的权限、预算和审计才有落点。
Leave a Reply