工作流与AI代理概述 - 2025年被视为“AI代理之年”，其核心区别在于自主性：工作流由开发者预先规划步骤，而AI代理在运行时由模型动态决策[1] 工作流核心结构 - 工作流可视为由节点（如LLM调用、数学运算或电子邮件发送）和边（控制流程的箭头，支持条件分支、并行及循环）组成的图表，共享状态允许节点间数据传递[3] - 基本模式包括提示链式传递（连续LLM输出处理）、请求路由、并行分支聚合结果、协调器-工作者分工（中央LLM拆分并整合任务）及评估器-优化器循环优化[4] AI代理核心要素 - AI代理由LLM、行动指令及工具集构成，依赖执行循环（读取文本、调用工具并反馈结果）实现自主操作[7] - 上下文管理确保LLM仅访问相关信息（如日期、用户权限及会话历史），会话状态保留单次运行数据，长期记忆存储跨会话数据（如用户偏好）[7] - 支持任务交接（传递数据及上下文给其他代理）和生命周期事件（如工具调用前日志记录或权限检查）[8] AI代理协作模式 - 单个代理处理有限工具和指令，多代理协作提升可靠性，包括主管-工作者（中央代理分配子任务）、分类（路由请求至专家）、层次结构（多级子团队）及顺序链式传递[9][10][11] - 并行化-收集（同时运行多个代理后合并结果）、冗余（多代理比较输出提升可靠性）、评审-批评（构建与检查循环）、升级（轻量代理失败时启用高成本代理）及网络化（代理间自主协调）[12][13] 工作流与AI代理对比 - AI代理优势为运行时灵活性，劣势为高成本、错误级联及长运行时间；工作流优势为可控性与可预测性，劣势为僵化及边缘案例处理脆弱[14] - 实际应用常结合两者：工作流处理稳定子任务，AI代理处理复杂动态环节[14] 生产环境关键组件 - 护栏系统需多层防护：模型级对齐（供应商处理毒性内容）、输入过滤（审核/越狱拦截及业务规则限制）、运行时监控（工具权限/高风险操作人工审批）及输出验证（格式检查/幻觉验证）[17][18] - 可观察性需追踪LLM调用、工具参数、分支决策、RAG检索块及性能指标（延迟/错误率/成本），开源工具如Pydantic Logfire、Mlflow及Langsmith支持该功能[19][20][21][22][23][24][25][26][27] - 评估需覆盖端到端成功率、工具使用合理性、检索精度、答案质量、逻辑链及多轮对话连贯性，结合LLM自动评判与人工评估，工具如RAGAS及Mlflow可辅助[28][29][30][31][32][33] - 安全需最小权限原则、输入扫描、用户权限绑定、沙箱运行及协议（如MCP）边界验证，防止数据泄露或未授权API调用[34][35] - 部署可通过短生命周期无服务器函数（如API触发）或长期有状态服务（需异步消息队列避免连接超时），协议如MCP和A2A正标准化交互方式[36] - 身份与持久性需数据库存储会话数据、向量库管理语义上下文及摘要提炼防止内存爆炸，确保代理跨会话一致性[37] 行业发展趋势 - AI代理系统构建无单一标准方案，需权衡模式选择及快速迭代的最佳实践，框架选择（超100种）及运行模式（人机交互/后台）为待探索方向[38]