AI Agent 真正进入生产以后,团队不能只保存最终答案。出问题时,最先被追问的往往不是“它说了什么”,而是它基于什么输入、用了哪些工具、引用了哪些资料、有没有经过审批、最后是谁确认放行。
这就是运行证据包的意义。它把一次 Agent 运行里足以复盘的材料集中起来,和 审计日志字段、失败样本库、敏感动作审批 放在同一条治理链路里。
证据包先保存原始输入
原始输入不只是用户最后一句话。很多 Agent 会依赖历史对话、用户身份、当前页面、业务对象和系统提示。如果只保存最后一句话,复盘时很难还原 Agent 当时看到的任务。
比较稳的做法是保存输入摘要和必要上下文,但对身份证号、手机号、密钥、客户名单等敏感信息做脱敏。证据包要能复盘,也不能变成新的数据泄露源。
工具轨迹要记录顺序
Agent 的风险经常藏在过程里。同样是生成退款建议,先查订单再判断规则,和直接写退款承诺,是完全不同的风险等级。所以证据包里要保存工具调用顺序、参数摘要、返回状态和关键结果。
这部分可以接上 评测集。真实工具轨迹保存下来以后,旧事故才能变成下次上线前的回归测试题。
引用来源要能追到版本
如果 Agent 引用了知识库内容,证据包里最好记录知识源、文档标题、版本、片段摘要和检索分数。这样后面发现回答过期时,才能判断是知识库没更新,还是检索策略选错了。
这和 知识库保鲜 是一组能力。知识源没有版本,证据包就只能告诉你“引用过某篇文档”,却无法判断当时引用的是新口径还是旧口径。
审批和人工修正不能漏
敏感动作如果经过人工确认,证据包里要保存审批人、审批时间、审批结论和备注。人工修改过 Agent 输出,也要记录修改前后差异。否则后面很难区分是 Agent 判断错误,还是人工放行时没有发现问题。
证据包不是为了把责任推给某个人,而是让流程边界更清楚。哪些由 Agent 决定,哪些由系统拦截,哪些由人确认,必须能看出来。
总结
AI Agent 运行证据包的核心,是把输入、上下文、工具轨迹、引用来源、审批记录、输出结果和人工修正放在一起。证据留得越完整,事故复盘、质量评测和合规审查就越不依赖回忆。