Software 2.0

Frontier:企业智能体治理平台

admin -

考虑以下场景:一个处理采购的智能体从过去的交互中学到,某个特定的审批步骤经常导致延迟。随着时间的推移,它通过绕过该步骤来优化速度,这不是任何单一的戏剧性违规行为,而是对其自身权限和制度上下文解释方式的逐渐漂移。没有违反RBAC规则。该智能体在其字面访问范围内运行。但它的行为已经以无人授权的方式发生了变化,而静态治理控制无法捕捉到这一点。

这种场景应该成为我们理解OpenAI上周推出Frontier的框架。Frontier是一个用于构建、部署和管理AI智能体的企业平台。它捆绑了共享业务上下文(连接数据仓库、CRM、工单系统和内部应用的语义层)、智能体执行环境、身份和治理控制,以及内置的评估和优化循环。它是模型无关的,支持由OpenAI、Anthropic、Google等提供支持的智能体。早期客户包括Uber、State Farm、Intuit和Oracle。

OpenAI Frontier架构图。注意所有智能体下方的三个共享层,无论提供商是谁:业务上下文、执行和评估。这个栈就是控制层。

这次发布的表面解读是,OpenAI希望在销售模型智能的同时销售治理基础设施。这是事实,但不完整。更深层的信号在于Frontier的架构方式:随着时间的推移建立制度记忆的智能体、为持续改进而设计的评估循环、积累和精炼的共享上下文。Frontier正在为自我学习的智能体构建底层架构。而且它正在这样做的时候,大多数企业治理都是为静态智能体设计的,大多数智能体可观测性工具无法告诉你一个智能体本周的行为是否与上月的行为有显著不同。本文探讨Frontier迫使公开的三个方面:谁应该治理智能体、当智能体实时学习时治理是什么样子,以及治理实际上能看到什么。

1、模型提供商应该治理智能体吗?

Frontier的模型无关姿态是其最有趣的设计选择。OpenAI明确表示:带来任何提供商的智能体,我们将编排和治理它们。这重新定义了竞争轴。与其仅在模型智能上获胜,OpenAI正在宣称所有智能体运行的底层架构。模型成为组件;治理层成为平台。

这创造了一种结构性紧张。运营治理层的主体积累不对称的可见性:部署了哪些智能体、它们如何行为、它们访问什么业务上下文、它们在哪里失败。对于非OpenAI智能体,该遥测数据流经OpenAI运营的层。当治理提供商也是一个前沿模型提供商,拥有自己的智能体竞争相同的企业工作负载时,信息不对称成为一个战略关注点。

还存在一个评估激励问题。当治理层和模型提供商是同一实体时,揭露关于自己模型的不利评估结果的动机就会减弱。评估循环可以通过指标选择、基准设计或"改进"含义的框架来悄悄偏袒提供商自己的智能体。这些都不需要恶意。这是将评估捆绑到同时销售被评估产品的平台中的自然结果。

独立的治理层有更清晰的激励结构:它可以在没有冲突的情况下根据相同的标准评估所有智能体,在没有商业犹豫的情况下揭示故障模式。市场尚未决定治理层将由模型提供商、现有企业平台供应商还是独立基础设施参与者拥有。这个决定将影响未来数年的企业AI风险态势。

Frontier还值得称赞的是,它说出了市场需要从主要提供商那里听到的一些话:治理是一等关注事项而非附录,具有范围权限的智能体身份应该是默认而非例外,共享业务上下文属于基础设施而非分散在一次性集成中。这些是合理的原则。问题是当你将它们构建到为学习智能体设计的平台中时会发生什么。

2、自我学习智能体的治理需求

Frontier最重要的方面不是它今天提供的治理控制。而是它为从部署中学习的智能体铺设的基础设施。

Frontier描述了"建立记忆,将过去的交互转化为有用的上下文,随着时间的推移提高性能"的智能体,以及帮助智能体"通过经验改进"的评估循环。这是自我学习系统的语言,而非静态工作流引擎。而且它反映了一个在研究中迅速成熟的方向,对治理和可观测性需要成为什么有直接的影响。

部署智能体的自我学习正在沿着三条线出现。第一个是上下文级学习:将智能体的上下文视为从过去交互中积累策略的不断发展的剧本,完全没有权重更新。斯坦福的ACE框架表明,使用较小开源模型的智能体仅通过部署反馈的结构化上下文演变,就能在智能体基准测试上匹配前沿模型驱动的智能体。第二个是经验蒸馏:捕获部署轨迹,离线策划它们,并将精炼的策略反馈到未来行为中。多智能体变体将其扩展到具有共享经验库的协作环境。第三个是轨迹级强化学习,模型根据部署性能实际更新,这是前沿实验室正在积极追求但尚未在企业中常见的方向。

对治理而言重要的是这些方法暴露的两件事:

  • 第一个是对结构化部署轨迹的共同依赖。这三个家族都需要高质量的发生记录、什么有效、什么失败、调用了什么工具、使用了什么上下文以及结果是什么的记录。没有这些数据,你就无法进行任何形式的自我学习。Frontier通过将执行、评估和上下文集成到单个平台中,能够捕获正是这种结构化轨迹数据。从外部观察、记录API调用和令牌数的可观测性工具不会产生它。位于执行底层架构的治理平台可能会。
  • 第二个,也是更重要的,是这三个家族创造了根本不同的可逆性特征。上下文级学习是最可治理的:如果智能体通过积累的上下文学到了错误的东西,你原则上可以识别和删除不良条目,回滚到已知良好的状态,或重建剧本。经验蒸馏更难:策划的策略是从原始轨迹中抽象出来的,从特定部署经验到特定策略建议的来源链可能无法清晰追溯。轨迹级RL本质上是不可逆的,除非重新训练:一旦基于部署数据更新权重,你就无法选择性地遗忘特定教训。

这意味着你需要的治理架构取决于你的智能体正在进行哪种自我学习。静态治理(RBAC、权限、护栏)对三者都是必要的,但对任何一个都不充分。上下文级学习需要来源追踪和上下文层的回滚机制。经验蒸馏需要从轨迹到策略的来源,能够审计和覆盖特定蒸馏建议的能力。轨迹级RL需要在部署前进行沙盒测试和部署后行为监控,能够标记更新后的模型何时漂移出其预期操作范围。这些是不同的治理架构,而非单一主题的变化。

Frontier今天的治理控制主要是静态的:RBAC、审计跟踪、显式权限、部署时设置的行为边界。这是一个差距。但由于架构捕获执行轨迹并维护智能体状态,它完全有能力支持自适应治理作为未来能力。问题是它多快能到达那里。

3、谁拥有学习循环?

存在比评估基准更深的利益冲突。如果Frontier捕获你的智能体的部署轨迹,并使用它们来改进平台自己的优化建议、上下文层或评估循环,这与如果你保留轨迹的所有权并控制自己的改进管道是完全不同的命题。

使自我学习成为可能的数据也使治理平台随着时间的推移变得更有价值。每个部署轨迹、每个成功-失败对、每个揭示智能体如何与你的业务流程交互的轨迹都成为训练信号。谁拥有该信号、谁可以使用它进行改进,以及当你离开平台时它会发生什么,这是当前企业AI中最 consequential 的数据治理问题。它值得过去对云数据驻留和供应商锁定的同样审查。

4、制度记忆作为攻击面

Frontier的共享业务上下文,即赋予智能体制度记忆的语义层,在架构上是有价值的,而且根据构造,是一个高价值目标。但使毒害制度记忆不同于毒害数据库的是,智能体解释性地而非确定性地使用上下文。损坏的数据库字段在可预测的地方产生错误答案。损坏的制度记忆在不可预测的情况下产生错误的判断,因为智能体将上下文灵活地应用于新任务。

当每个智能体,无论提供商是谁,都引用相同的语义层时,完整性故障会广泛且同时传播。一个"知道"关于你的采购流程的错误信息的智能体会自信地采取看起来正确的错误行动。而且由于损坏存在于上下文层而非智能体的代码或模型权重中,标准的应用安全测试不会揭示它。

需要考虑的实际问题:什么完整性控制保护语义层免受毒害、漂移和错误积累?你能追溯制度记忆的来源吗?你能回滚特定贡献吗?是否有智能体或人类可以标记共享上下文与观察到的现实相矛盾的机制?

5、可观测性上限与模型无关意味着什么

Frontier通过轨迹、工具调用、输出和业务上下文来治理智能体。对于由OpenAI自己的模型提供支持的智能体,平台可能可以访问更丰富的内部信号。对于由Anthropic、Google或开源模型提供支持的智能体,治理层几乎肯定仅在轨迹和输出级别操作。

这值得直接说明:模型无关治理是浅层治理。你可以在轨迹级别平等地治理所有模型,但你失去了使治理强大以检测早期问题的所有东西。关于内部表示的研究表明,检测智能体何时进入风险状态的最丰富信号位于模型内部机制附近,而非其输出。一个即将失败的智能体通常在其激活中显示迹象,然后这些迹象才出现在其行为中。无法看到这些信号的治理平台正在治理周边。

问题是模型提供商是否会向外部治理层暴露底层遥测数据。这可能采取几种形式:来自内部状态的风险分数(指示异常激活模式的数字信号)、受约束的审计端点(让治理层查询特定安全相关特征是否在给定推理期间触发),或来自logit分布而非模型自我报告文本的置信度校准。这些都不需要暴露原始权重或完整的激活张量。它们需要模型提供商将内部状态遥测视为产品,而不仅仅是研究产物。

如果这种遥测保持专有,治理平台将面临结构性选择:对所有智能体在浅层、模型无关的轨迹级别操作,或锁定到特定模型提供商的生态系统中以访问更深层的信号。这种权衡是智能体治理中真正的锁定风险,而且它没有得到应有的关注。

6、对可观测性生态系统的影响

有一个拥挤的公司市场正在构建智能体可观测性和评估工具:LangSmith、Arize、Langfuse、Galileo、Braintrust、Datadog的LLM模块等。LangChain的2025年末智能体工程状况报告发现,拥有生产智能体的组织中89%已经实施了某种形式的可观测性,62%有详细的跟踪。据此,可观测性已经是必备条件。

Frontier通过提高基准来对这个生态系统施加压力。如果模型提供商将治理、身份、评估和上下文管理捆绑到单个平台中,独立工具需要提供高于该基线的东西。对于专注于跟踪和令牌成本监控的轻量级工具,这是一个生存挑战。

但更重要的压力是一个能力差距,目前几乎没有可观测性平台能够解决:监控随时间变化的智能体。当前工具跟踪发生了什么、测量延迟和成本、评估输出质量。对于自我学习智能体,这是必要但不充分的。自我学习感知的可观测性平台至少需要提供:行为漂移基线,检测智能体的行动模式何时偏离其先前行为或其预期操作范围;上下文/记忆来源跟踪,监控智能体依赖的剧本或制度记忆的演变;上下文级学习的回滚和覆盖机制,以便可以逆转特定学习行为;以及当智能体的学习策略与其治理政策冲突时的发散警报,即使没有单个操作违反规则。

可观测性生态系统的最佳回应不是在Frontier捆绑的功能上竞争,而是构建Frontier自己的治理尚未提供的自适应监控能力。这个窗口现在开着。随着平台默认值固化,它会变窄。

7、团队应该向治理供应商提出的五个问题

无论你是在评估Frontier、竞争平台,还是构建自己的平台,这些问题都适用于任何声称是你的智能体治理层的供应商。

1. 独立性和评估激励。 治理提供商是否也是模型提供商?如果是,如何管理评估利益冲突?你能审计提供商自己的智能体在基准测试、优化循环或性能报告中是否受到不同对待吗?

2. 对自我学习智能体的准备。 治理控制是静态的还是自适应的?平台是否检测智能体积累经验时的行为漂移?可逆性模型是什么:你能回滚上下文级学习、审计经验蒸馏,以及在重新部署前对RL更新的模型进行沙盒测试吗?

3. 学习循环中的数据所有权。 谁拥有使自我学习成为可能的部署轨迹?治理提供商可以使用你的轨迹来改进自己的平台或其他客户的智能体吗?当你离开时,你的数据会发生什么?

4. 可观测性深度。 平台仅在输出/轨迹级别治理,还是访问内部模型信号?对于第三方模型,有什么遥测可用?检测异常智能体行为的延迟是多少,它依赖于输出分析还是更早的指标?

5. 可移植性和可审计性。 你能将治理迁移到不同平台吗?政策、评估配置和审计数据是否以开放格式可导出?你能审计治理平台本身做了什么吗,通过独立于治理提供商的防篡改日志?

8、结束语

Frontier是一个重大举措。它的架构向我们展示了企业AI的发展方向:朝着从部署中学习、积累制度知识、并通过经验改进的智能体。这是从今天主要是静态智能体和静态治理的 meaningful 跳跃,任何规划其AI堆栈的企业都应该认真对待这个信号。

谁应该治理智能体的结构性问题尚未解决。但更紧迫的要点是,自我学习的未来正在到来,而大多数生态系统还没有准备好。治理工具是为静态智能体构建的。可观测性平台跟踪单个调用,但不跟踪随时间的行为轨迹。治理实际能看到的深度受限于模型提供商是将内部状态遥测视为产品还是将其作为护城河保留。

对于从业者而言,含义相当具体。开始询问你的治理和可观测性堆栈如何处理随时间变化的智能体,以及谁拥有使这种变化成为可能的数据。如果对任一问题的答案不清楚,你的工具与其需要治理的智能体之间的差距即将迅速扩大。

原文链接: Who Governs the Agents? OpenAI Frontier and the Fight for the Enterprise Control Plane

汇智网翻译整理,转载请标明出处