一、先把结论说透：自建 AI Agent，难点不在“接模型”，而在“管住系统”

很多人理解 AI Agent，容易停留在“让模型自己干活”这一步。可真正进入生产环境后，你会发现，模型只是大脑，真正决定系统能不能稳定运行的，是大脑外面那一整套“驾驭装置”。

一个能用的 Agent，需要知道任务目标；一个好用的 Agent，需要知道什么时候查资料、什么时候调用工具、什么时候停止；一个能进生产的 Agent，还要知道预算、权限、失败、日志、成本、输出结构和恢复策略。

这份资料最有价值的地方，是把前面大量分散的工程模式收束成一个可迁移的实战案例：用代码审查场景，把 16 个核心模式串成一条完整链路。它告诉我们：不要试图复刻某个成熟产品的所有细节，而要迁移它背后的工程思想。

换句话说，真正应该学的不是某个按钮、某个工具名、某个内部实现，而是“如何把 Agent 做成一个可控系统”。

二、为什么不是复刻产品，而是迁移模式

成熟的 AI 编码工具往往包含很多产品特定能力：终端界面、几十个内置工具、会话格式、订阅体系、权限交互、插件生态。这些细节很强，但并不一定适合你的业务。

你的 Agent 可能不是编码助手，它可能是安全扫描器、数据监控员、客服质检员、投研分析员、运维诊断员、合同审阅员。不同场景的外壳不同，但内核问题高度相似：输入从哪里来？上下文怎么装？工具怎么用？危险动作谁审批？失败后如何重试？结果如何被机器继续消费？

所以，自建 Agent 的正确路线不是“照着产品抄一遍”，而是把通用模式抽出来，再落到自己的场景里。

错误思路	正确思路	原因
复刻全部功能	迁移核心模式	功能会随产品变化，模式才能跨场景复用
只关注模型效果	关注工程控制面	模型会出错，工程层负责限制、恢复和记录
让模型直接执行	让模型提出请求，代码验证后执行	安全边界必须掌握在系统手里
输出一段自然语言	输出结构化报告	结构化结果才能进入后续自动化流程

三、项目定义：用代码审查 Agent 验证工程模式

资料选择了一个非常适合练手的场景：输入一份 Git diff，输出一份结构化代码审查报告。这个场景很典型，因为它天然覆盖了 Agent 构建的六个关键维度。

第一，它需要读取变更内容，所以一定会遇到上下文预算问题。第二，它需要搜索关联文件，所以一定会涉及工具编排。第三，它要判断 bug、安全风险和设计问题，所以需要稳定的提示词控制。第四，它只能审查，不能乱改，所以要有权限边界。第五，模型调用和工具调用都可能失败，所以要有重试和熔断。第六，审查结果要可追踪，所以要有日志、指标和报告结构。

这个 Agent 的输入、输出和约束可以概括为三句话：输入是一份 diff；输出是带文件、行号、严重级别、分类、修复建议的审查报告；执行过程只读、有预算、可追踪。

四、整体架构：一个 Agent 至少要有六层能力

一个常见误区是：Agent Loop 就是“模型回答一次，再根据结果调用工具”。这个理解太浅。真正的 Agent Loop 更像一个状态机：每一步都要经过预算、权限、工具、重试、日志的共同约束。

资料中的实现把代码审查 Agent 拆成六层：提示词架构、上下文管理、工具与搜索、安全与权限、韧性、可观测性。每一层都不是装饰，而是生产级系统必须有的能力。

层级	核心职责	对应问题
L1 提示词架构	定义规则、角色、输出格式、行为边界	模型到底应该怎么想、怎么答
L2 上下文管理	控制输入规模、截断策略、预算记账	有限窗口里装哪些信息
L3 工具与搜索	让模型提出工具请求，由系统验证执行	如何查更多信息而不失控
L4 安全与权限	失败关闭、白名单、调用上限、只读约束	模型会不会越权干危险事
L5 韧性	重试、熔断、降级、避免循环浪费	失败后怎么继续或停止
L6 可观测性	事件、指标、覆盖率、成本、报告	系统到底做了什么、效果如何

五、第一层：提示词架构 - 把提示词当成控制面，而不是文案

很多人写提示词，像写一段说明书：越长越好，越细越安心。但工程化的提示词不是一坨文本，而是分层控制面。

资料里的关键思想是：把稳定的规则和动态的信息分开。稳定的部分可以理解为“宪法层”：审查原则、严重级别定义、输出字段、行为约束。动态的部分可以理解为“运行时层”：当前 PR 标题、变更文件、语言特定规则、当前任务背景。

这种拆法有三个好处。第一，稳定规则更容易维护，不会因为每次任务变化而被污染。第二，未来接入缓存时，稳定部分更容易复用。第三，模型更容易区分“长期规则”和“当前任务信息”，减少指令混乱。

5.1 静态宪法层：让模型知道什么永远不变

宪法层解决的是“原则”问题。比如：优先发现正确性问题，其次关注安全风险，再关注性能和可维护性；输出必须包含文件、行号、严重级别、分类和建议；不要因为风格偏好制造噪音；不确定时降低严重级别。

这些内容一旦确定，就不应该在每次任务里随意变化。它们是 Agent 的长期行为边界。

5.2 动态运行时层：让模型知道当前要处理什么

运行时层解决的是“现场”问题。比如：本次 diff 涉及哪些文件，主要语言是什么，PR 标题是什么，当前是否是安全相关变更，是否需要关注接口兼容性。

动态信息应该靠后放，避免污染稳定前缀。这样做不仅清晰，也更符合缓存友好的设计思路。

5.3 结构化输出：不要让模型自由发挥

代码审查报告如果只是自然语言，后续就很难自动处理。结构化输出的价值在于：每条发现都能被机器读取、筛选、排序、计数、归档。

这也是“提示词即控制面”的关键：提示词不只是告诉模型“你是谁”，还要告诉它“输出必须是什么形状”。

六、第二层：上下文管理 - Token 预算就是 Agent 的内存管理

Agent 的上下文窗口不是无限仓库，而是一块昂贵、有限、容易被污染的工作内存。把所有内容都塞进去，看似信息完整，实际上会导致成本升高、延迟变长、注意力分散，甚至让重要信息被挤掉。

资料里的实现采用双层预算：总预算控制整次审查规模，单文件预算防止某个大文件吞掉全部空间。更重要的是，内容被截断时，不是静默丢弃，而是明确告诉模型：这里只展示了一部分，完整内容有多少。

6.1 为什么要显式告知截断

静默截断是上下文管理里最危险的坏习惯。模型不知道自己没看全，就可能基于局部内容做出过度自信的判断。

显式告知截断，本质是在保护模型的认知边界：你看到的是局部内容，不能假装自己看到了全部。

6.2 保守估算比精确估算更适合工程落地

Token 精确计算依赖具体分词器和模型版本。对于 Agent 系统来说，保守估算通常更实用：宁可少塞一点，也不要临界溢出。

工程系统追求的不是每次都把窗口塞满，而是稳定、可预测、可恢复。

七、第三层：工具与搜索 - 模型提出需求，系统负责执行

工具能力是 Agent 和普通聊天机器人的重要分界线。但工具越强，风险越大。资料中的设计非常关键：模型不能直接执行工具，它只能输出工具请求；真正执行之前，系统会检查工具类型、输入内容、权限范围和调用次数。

这就像公司里的审批流：员工可以提交需求，但不能绕过流程直接动生产系统。

7.1 bash 是强大的通用接口，但必须关进笼子

对模型来说，命令行是一种天然熟悉的工具接口。查文件、搜关键字、统计行数、看目录结构，都可以通过只读命令完成。

但命令行同时也很危险。真正安全的做法不是完全禁用，而是只允许读操作，阻止写操作、联网、删除、脚本执行、输出重定向和危险元字符。

7.2 Skill 是专项分析能力包

除了通用搜索，还可以为 Agent 准备专项分析能力，比如安全审计、性能审查、接口兼容性检查、语言习惯检查。

Skill 的价值在于复用专家经验：每次遇到类似问题，不必让模型从零思考，而是调用一套经过整理的专项判断框架。

八、第四层：安全与权限 - 渐进式自主，不是无限放权

很多人希望 Agent 越自主越好，但生产环境里，自主必须和安全绑定。越能干的 Agent，越需要清晰边界。

资料里的代码审查 Agent 是只读场景，所以安全策略非常明确：LLM 后端只处理文本；工具只允许白名单命令；危险命令显式禁止；输出重定向拦截；每个文件工具调用次数有限；工具执行有超时；输出结果有限长。

8.1 失败关闭：不确定就拒绝

安全系统最怕“猜测式放行”。失败关闭的原则是：如果无法判断是否安全，就默认拒绝。

这个原则会牺牲一点便利性，但能换来可控性。对 Agent 来说，可控性比“显得很聪明”更重要。

8.2 渐进式自主：从只看，到只读工具，再到生态调用

好的权限设计不是只有“允许”和“禁止”两个档位，而是逐步放权。第一阶段只让模型看 diff；第二阶段允许它请求只读工具；第三阶段才允许通过 MCP 变成其他 Agent 可以调用的能力。

这种分级设计能让系统随着信任度增加而扩展，而不是一开始就把所有权限打开。

九、第五层：韧性 - 没有上限的重试不是可靠，而是浪费

生产系统一定会失败。模型接口会限流，网络会波动，工具会超时，输出会格式错误。真正的韧性不是“永远不失败”，而是“失败后知道怎么处理”。

资料里的韧性设计包含三件事：有限重试、熔断器、局部能力降维。有限重试避免无限循环；熔断器避免连续失败继续烧钱；局部能力降维让系统在信息不完整时仍能给出有边界的结果。

9.1 有限重试：给失败一个窗口，也给成本一个上限

一次失败可能只是偶发问题，所以可以重试。但重试必须有上限，而且最好逐步拉开间隔。

没有上限的重试会把系统拖入死循环，尤其在 Agent 场景里，模型调用成本和工具调用成本都会被快速放大。

9.2 熔断器：连续失败就停下来

当连续多个文件都审查失败时，继续硬跑通常没有意义。熔断器的作用就是在系统进入异常模式时及时止损。

这不是放弃任务，而是保护系统：先停下来，记录失败原因，再让人或外层调度器决定下一步。

9.3 局部能力降维：做不到满分，也要做可解释的 60 分

当文件太大无法完整审查时，可以只审查截断部分，但必须写明限制。工具不可用时，可以退回纯 diff 审查。

这叫能力降维：不是假装一切正常，而是在能力范围内交付可解释结果。

十、第六层：可观测性 - 先观察再修复

很多 Agent 项目失败，不是因为模型差，而是因为系统出了问题没人知道。它到底审查了几个文件？跳过了哪些？工具调用失败几次？每个发现大概花了多少成本？哪里最慢？

如果这些问题答不上来，就谈不上优化。

10.1 事件日志：记录关键节点，而不是记录所有废话

可观测性不是把所有内容都打印出来。尤其在代码审查场景，日志里不应泄露代码细节、文件敏感路径或密钥信息。

更合理的方式是记录结构化事件：审查开始、文件审查完成、工具调用结果、审查结束、发现数量、预算使用、耗时和成本。

10.2 ReviewReport：让结果本身也成为指标

最终报告不只是给人看的文本，也应该包含机器可读的指标：审查文件数、跳过文件数、总 Token 使用、耗时、发现数量、严重级别分布。

这些指标会让你知道 Agent 是否真的有价值，而不是凭感觉判断。

十一、实战验证：让 Agent 审查自己的代码

一个系统是否可靠，不能只看设计图，必须拿真实任务验证。资料中最有代表性的做法，是让代码审查 Agent 去审查自己的实现。

这种自举测试非常有价值。因为 Agent 不仅要理解业务逻辑，还要识别自身工具层、安全层、解析层、预算层里的问题。

11.1 它能发现哪些类型的问题

在示例中，Agent 能发现多类问题：diff 解析边界情况、原子计数器溢出风险、JSON 解析脆弱性、大文件重复遍历带来的性能浪费。

更重要的是，它还能发现工具系统里的安全问题：如果命令通过 shell 解释器执行，即使开头命令在白名单里，也可能被元字符绕过。

11.2 自举测试的真正意义

自举不是炫技，而是验证闭环。Agent 发现问题，人类修复问题，Agent 再次验证修复。这就是一个可持续改进系统的雏形。

任何安全层都不是一次设计就万无一失，持续审查和复验才是长期防线。

十二、闭环升级：让其他 Agent 调用你的 Agent

一个 Agent 如果只能独立运行，价值是有限的。如果它能以标准协议暴露成工具，就能进入更大的 Agent 生态。

资料里的代码审查 Agent 可以切换成 MCP Server 模式，把“审查 diff”暴露成外部工具。这样，另一个编码 Agent 可以在修复前先调用它审查，拿到结构化 findings，再逐项处理。

这一步非常关键。它意味着你构建的不是一次性脚本，而是可被组合、可被调用、可被纳入工作流的能力模块。

未来的 Agent 系统很可能不是一个超级助手解决一切，而是一组专职 Agent 通过标准协议协作：审查、测试、修复、发布、监控、回滚，各司其职。

十三、模式组合：真正困难的是处理模式之间的张力

单独理解某个模式并不难，难的是组合使用。比如“为一切设定预算”和“编辑前先读取”之间就有张力：完整读取更安全，但完整读取可能超过预算。

又比如“缓存感知设计”和“动态上下文注入”也有张力：动态内容太靠前，会破坏稳定前缀；动态内容太靠后，又可能影响模型理解。

所以，自建 Agent 的关键不是把模式清单全部塞进去，而是知道每个模式解决什么问题、会引入什么副作用，以及和其他模式如何配合。

十四、普通团队如何落地：六步走，不要一步登天

很多团队一上来就想做“全自动工程师”，结果很快被权限、上下文、成本、工具、安全问题打垮。更稳妥的路线，是从一个小而清晰的 Agent 开始。

14.1 第一步：先做只读 Agent

只读 Agent 的风险最低，最适合起步。比如代码审查、日志分析、文档问答、告警归因，都可以先从只读开始。

14.2 第二步：加入上下文预算

一旦输入变多，就必须加预算。没有预算的 Agent，很快会变成成本黑洞。

14.3 第三步：加入工具，但只允许安全工具

工具能显著提升能力，但一开始最好只开放查询、搜索、统计类能力。写操作、联网、删除、执行脚本都应谨慎。

14.4 第四步：加入安全闸门

白名单、黑名单、超时、输出截断、调用次数上限，这些看起来基础，却是生产环境里最重要的护栏。

14.5 第五步：加入韧性和观测

当任务开始规模化运行，失败会成为常态。重试、熔断、降级和日志指标必须跟上。

14.6 第六步：通过协议接入生态

当能力稳定后，再把它暴露成 MCP 工具，让其他 Agent 或工作流调用。这样你的 Agent 才能从单点工具变成生态节点。

十五、完整架构回顾：AI Agent 是一套工程系统

把整套思路收束起来，可以得到一个很清晰的判断：AI Agent 的核心不是“更会说”，而是“更可控”。

它需要提示词定义行为，需要上下文管理资源，需要工具连接外部世界，需要安全层限制越权，需要韧性层处理失败，需要可观测层让团队知道它做了什么。

如果少了提示词层，模型容易乱答；少了上下文层，成本和信息污染会失控；少了工具层，Agent 只能空谈；少了安全层，风险不可接受；少了韧性层，系统经不起异常；少了可观测层，团队无法持续优化。

十六、给技术团队的落地清单

检查项	应该做到什么	为什么重要
提示词分层	稳定规则与动态信息分开	减少混乱，为缓存和维护打基础
输入预算	总预算、单文件预算、工具输出预算	防止上下文爆炸和成本失控
截断说明	截断必须显式告知模型	避免模型基于局部信息过度自信
工具请求协议	模型提请求，系统验证执行	把执行权留在工程层
只读优先	先从查询、搜索、统计类工具开始	降低起步风险
权限多层防护	白名单、黑名单、超时、调用上限	任何单层失效仍有备用防线
重试有限	接口失败可重试，但必须有上限	避免成本黑洞和死循环
熔断机制	连续失败后暂停任务	保护系统稳定性
结构化结果	输出可被机器读取的报告	方便后续修复、复验和统计
可观测指标	记录覆盖率、耗时、成本、失败原因	优化必须建立在数据上

十七、总结：未来不是“会聊天的模型”，而是“可治理的 Agent 工程”

这份资料真正重要的启发是：AI Agent 的竞争力，不只是模型能力，而是模型外面的工程控制面。

当模型越来越强，团队之间的差距会逐渐转向：谁更会管理上下文，谁更会设计工具边界，谁更会做权限治理，谁更会处理失败，谁更会观测成本与质量，谁更会把多个 Agent 组合成稳定工作流。

自建 Agent 的第一性原则不是“让模型尽可能自由”，而是“让模型在正确边界内高效行动”。

一句话总结：真正的 AI Agent 工程，不是把模型接进系统，而是给模型装上方向盘、刹车、仪表盘、安全带和导航系统。

---

参考资料：https://pan.baidu.com/s/1Fm6rZSZkY3q2NcrmTfTMeQ?pwd=6fkr