没有护栏的 agent 循环会失控:2026 年 AI agent 生产架构指南
2026 年人人都在建 AI agent。很少有人建的是能在生产里活下来的架构。本文是经过来源核查的生产 agent 架构指南:核心 agent 循环(推理、行动、观察、重复)、四种重要模式(ReAct、Plan-and-Execute、工具使用、多 agent)、单 agent 何时胜过多 agent、为什么记忆不该放在 prompt 里,以及那些把 agent demo 和可上线 agent 区分开的生产层——护栏、可观测性、评测、成本控制。
本文开启第六个主题集群——生产 AI agent 架构——与我们的 LLM 定价、AI 编码工作流、LLM 评测、生产 RAG、提示工程 集群并列。它也把每个前面的集群拉到一个地方:agent 用提示、可能用 RAG、需要评测、产生成本、需要安全——agent 架构是前五个学科交汇的地方。
我通读了 agent 架构文献后的结论很直接:agent demo 和生产 agent 之间的鸿沟巨大,而且几乎全在团队跳过的那些层里。demo 能用,因为它在受控环境里对干净输入跑三步。生产会崩,因为 agent 对嘈杂输入跑三十步、碰到工具失败、循环、漂移、花掉你没预算的钱——全在没有人盯着的情况下。能上线生产 agent 的团队,不是模型最聪明或工具最多的那些。而是围绕它建了循环、护栏、可观测性和成本控制的那些。
核心:agent 循环
每个生产 agent,不管用什么框架,都建立在同一个基础循环上:
- 推理。 模型接收一个任务和它的当前状态(到目前为止做了什么、有哪些工具可用、观察到了什么),并决定下一步做什么。
- 行动。 模型采取一个行动——通常是调用一个工具(搜索、代码执行、API 调用、数据库查询)或产出最终答案。
- 观察。 系统把行动的结果作为新上下文反馈给模型。
- 重复,直到任务完成、agent 决定无法继续、或护栏停止它。
这就是 ReAct 模式(推理、行动、观察),它仍是 2026 年单 agent 系统的基础循环。大多数 agent 框架——LangGraph、CrewAI、Microsoft Agent Framework——都实现它的变体。循环很简单;让它活过生产不简单。
四种重要模式
综合 Towards AI 的设计模式指南和 Redis 的架构拆解,以下是值得了解的模式和各自何时胜出。
1. ReAct(默认单 agent 循环)
模型推理每一步、调用工具、观察结果、循环。最适合每一步依赖前一步、且 agent 需要在学习过程中适应计划的任务。
- 何时用: 任务是顺序且自适应的——研究、多步检索、迭代代码编辑。
- 风险: 循环会螺旋。没有步数限制和成本上限,卡住的 agent 会永远重试。
2. Plan-and-Execute
agent 先把任务分解成一个计划(子任务列表),然后执行每个子任务,可能每个子任务用不同的 agent 或工具。最适合任务有清晰结构、受益于预先分解的场景。
- 何时用: 任务可分解、子任务相对独立——"研究这五件事,然后综合"。
- 风险: 计划可能是错的。如果第 1 步的结果使第 3 步的前提失效,一个僵硬的 plan-and-execute agent 会执行过时的计划。建入重新规划。
3. 工具使用编排
不是一个独立的循环,而是应用到任何循环的纪律:agent 如何选择工具、校验输入、处理工具失败、重试、以及决定工具结果何时够好。这是大多数生产 agent 失败所在的地方——不在推理里,而在工具边界。
- 纪律: 每次工具调用需要输入校验、超时、带退避的重试、以及结果校验。一个调用挂起工具、或信任格式错乱工具结果的 agent,会在推理层无法恢复的方式下失败。
4. 多 agent 协作
多个 agent,各带专门角色,通信并协调以解决任务。最适合职责清晰可分的场景——一个研究、一个写、一个审。
- 何时用: 任务有清晰角色边界,且协调开销值得。
- 风险: 协调开销、消息传递失败、以及"传话游戏"——信息在 agent 间传递时退化。生产多 agent 系统需要对 agent 间调用加熔断器和消息追踪日志,否则它们变得无法 debug。
- 单 agent 何时胜出: 如果你在为单个强 agent 配好工具就能搞定的任务考虑多 agent,你在加复杂度无收益。从单 agent 起;只在单 agent 明确搞不定时才上多 agent。
把 demo 和可上线 agent 区分开的生产层
agent 循环是引擎。生产可靠性是其他一切。以下是重要的层,每层连接到一个前面的集群:
护栏(在 agent 伤害自己或你之前停住它)
每个生产 agent 需要硬限制:最大步数、最大成本、最大运行时间、工具允许列表、以及对破坏性操作的行动批准门禁。这些不是可选的。一个没有护栏的 agent,离一次提示注入或一次无限循环摧毁预算或数据,只差一步。
这直接连接到 提示注入防御 和 代码评审纪律 文章:一个自主 agent 需要与任何能采取行动的系统一样的信任边界纪律。
记忆(不要放在 prompt 里)
一个常见错误:把模型的上下文窗口当记忆系统。随着 agent 跑更多步,上下文增长,直到碰到 token 上限,此时要么 agent 丢失早期上下文,要么你为臃肿 prompt 付递增成本。
生产模式:把记忆存在模型之外——数据库、向量存储、或专门记忆层——并按需只注入与当前步相关的。Hugging Face 关于长运行 agent 记忆的讨论把原则说得很尖锐:不要把 prompt 当记忆系统。
可观测性(你无法 debug 你看不见的东西)
每个 agent 步骤、工具调用、决策都必须记录足够细节以重建发生了什么。这是轨迹级可观测性——我们 LLM 评测集群 应用到评测的同一纪律,这里应用到生产运行。Langfuse、LangSmith、Phoenix 提供这个;纪律是打开它并在出问题时真正用上轨迹。
评测(测 agent,不只测模型)
agent 不只是它的模型。你需要评测完整轨迹——agent 选了对的工具吗、用了对的参数调用吗、从失败恢复了吗、到达对的答案了吗?这是 golden set 纪律 应用到 agent 轨迹,它比单轮评测难,因为可能轨迹的空间巨大。从小开始:少数代表性任务,按结果和轨迹质量打分。
成本控制(agent 自主花钱)
一个循环 20 次、每步调用前沿模型的 agent,可以在一个任务里花掉比一百次单调用交互还多的钱。这就是为什么 按任务成本可观测性 对 agent 不是可选的——它是在 agent 跑出账单前知道你的 agent 是否成本可行的唯一方式。设每任务成本上限、追踪每轨迹成本、并在 agent 运行超出预算时告警。
营销稿不会写的锋利之处
几个值得知道的风险:
- 更多工具不是更好。 你给 agent 的每个工具都增加决策空间和失败面。一个有三个精心选择工具的 agent 往往胜过一个有十五个的,因为它更不容易选错。
- 没有可观测性的自主是失职。 如果你事后无法重建 agent 做了什么,你无法 debug 它、无法改进它、也无法证明它行为正确。可观测性不是锦上添花;它是生产信任 agent 的前提。
- 多 agent 比看起来难。 多 agent 系统的协调开销、debug 复杂度和失败模式都比单 agent 严重得多。不要因为听起来更高级就上多 agent;在有证据表明单 agent 搞不定时才上。
- Agent 放大每个其他失败模式。 一次在单调用系统里是小事的提示注入,当 agent 在 20 步里基于它行动时变成大事。一次 RAG 检索失败 本会产出一个坏答案,当 agent 基于它构建时产出一连串坏决策。Agent 不消除失败模式;它复合它们。
- 框架锁定是真实的。 Agent 框架(LangGraph、CrewAI 等)抽象了循环,但它们也把它们的架构强加给你。在采纳框架前理解循环,否则你将无法 debug 框架做的事。
2026 年到底怎么建生产 agent
实操路径:
- 从单 agent ReAct 循环开始。 自己建推理-行动-观察循环,或用最小框架。不要从多 agent 开始。
- 加工具前先加护栏。 步数限制、成本上限、工具允许列表、破坏性操作的批准门禁。这些是安全带。
- 选三到五个工具,不是十五个。 覆盖任务的实际需要;只在 agent 明确无法继续时才加更多。
- 把记忆存在模型之外。 每步只注入相关上下文。不要让 prompt 无限增长。
- 从第一天起打开轨迹可观测性。 每步、每次工具调用、每个决策都记。你会需要它。
- 在 agent 轨迹上评测,不只输出。 建一个小的代表性任务集;按结果和轨迹质量打分。
- 追踪每轨迹成本。 设每任务成本上限并在超支时告警。Agent 花钱;你需要知道花了多少。
- 只在单 agent 明确失败时才上多 agent。 而且在你加第二个 agent 之前,先加熔断器和消息追踪。
我的看法
2026 的故事是:agent 架构是每个其他 LLM 学科交汇的地方——也是跳过任何一个都会复合的地方。agent 用提示(所以 提示工程 重要)、可能用 RAG(所以 检索质量 重要)、需要评测(所以 golden set 和评审 重要)、产生成本(所以 可观测性 重要)、能采取行动(所以 安全 重要)。能上线生产 agent 的团队,是建了循环、然后建了围绕它的每一层、并接受循环是容易部分的那些。
如果你从本文只记一件事:agent 循环是引擎,但护栏、可观测性、评测和成本控制才是车。没有车的引擎是危险的。造车。
本文是生产 AI agent 架构集群的第一篇。第二篇——本文仅触及的记忆层,上下文窗口是内存、记忆工程是把能扩展的 agent 和膨胀的 agent 区分开的纪律——见 上下文窗口是内存,不是存储:2026 年 AI agent 记忆系统生产指南。第三篇——可观测性层,如果你无法追踪你的 agent 你就无法信任你的 agent——见 如果你无法追踪你的 agent,你就无法信任你的 agent。关于 agent 依赖的每个学科,见五个前面的集群:LLM 定价(成本)、AI 编码工作流(工具)、LLM 评测(质量)、生产 RAG(检索)、提示工程(指令)。想找厂商的常驻参考,见我们的 AI 价格数据页。
来源
- Towards AI:2026 每个 AI agent 开发者都该知道的 7 种设计模式
- Redis:AI agent 架构——2026 构建能用的系统
- Breyta AI:AI agent 架构构建模式
- Andrii Furmanets:2026 AI agent——工具、记忆、评测与护栏
- Coding with Roby:从零画 2026 AI agent 技术栈
- LangChain:2026 最佳 AI agent 框架
- Decoding AI:从零构建生产 ReAct agent
- Hugging Face:为长运行 AI agent 设计记忆系统
- 我们的定价集群:按任务成本可观测性
- 我们的评测集群:golden set 构建
- 我们的 RAG 集群:RAG 没有解决幻觉——它只是把它搬了家
- 我们的提示工程集群:提示注入防御
- 我们的编码集群:代码评审纪律
相关阅读
『哪个 LLM 最好?』在 2026 年是错问题。没有最好的模型——只有对你特定任务、在你特定规模下、在你特定约束下最好的模型。本文是经过来源核查的生产 LLM 模型选择指南:四大前沿家族(GPT、Claude、Gemini、DeepSeek)、各自胜出的任务、框定每个决策的四个硬约束(隐私、延迟、成本、推理深度),以及为什么 2026 的主导模式是模型路由——并行使用多个模型,而非选一个赢家。
推销很诱人:自托管一个开源 LLM,就不用再付按 token 的 API 费了。现实是,一个最小自托管部署每年可能花 12.5 万–19 万美元,生产级部署可达数百万。本文是经过来源核查的 2026 年开源 vs 商业 LLM 总拥有成本指南:自托管的隐性成本(GPU、运维、推理优化、宕机)、自托管胜出的盈亏平衡量级,以及为什么大多数团队应从 API 开始、只在数学真的证明时才转向自托管。