知识全景图/ 软件工程与系统/ 人工智能全景图/ AI 行为控制矩阵

AI 行为控制矩阵:Prompt、Policy、Tools、Decoder 与 Guardrails 全景图

把“模型不听话”拆成可调的控制层:输入、上下文、策略、工具、解码、校验、人工和发布

阅读定位: 风险分级页回答“这类能力要按多高风险管”,本页回答“确定风险后,具体靠哪些工程控制旋钮改变模型行为”。 它不替代 Prompt / 上下文指令层级解码采样Tool Calling安全护栏,而是把它们合成一张行为控制表。
一、AI 行为控制不是一个开关
Intent
任务识别
Prompt
指令与上下文
Policy
规则与权限
Tools
动作与副作用
Decoder
采样与格式
Guardrails
校验与拦截
Review
人工与审计
控制层能控制什么不能控制什么关键证据
Intent / Task Router识别任务类型、风险等级、是否需要检索、工具或人工不能保证模型最终一定按意图执行task_type、risk_tier、routing_reason
Prompt / Context给模型角色、目标、上下文、格式、引用和边界不能替代权限、事实库、工具校验和法律责任prompt_version、context_sources、message_hash
Policy Layer定义组织规则、拒答边界、例外条件、角色权限不能只靠自然语言规则执行高风险授权policy_version、allow / deny reason、exception_id
Tool Runtime限制可用工具、参数、读写范围、确认门和执行身份不能让模型自己决定是否绕过服务端校验tool_name、args、permission_decision、approval_id
Decoder / Output Mode影响随机性、长度、格式、JSON / schema 和多样性不能让模型知道不知道的事实,也不能保证安全合规temperature、top_p、schema_version、parser_result
Guardrails / Validators检查注入、敏感信息、格式、引用、策略、工具结果一致性不能覆盖所有语义风险,也可能误伤正常请求guardrail_policy_version、risk_label、block_reason
Human Review / Audit为高风险、低置信和例外场景提供责任确认和复盘不能靠人工无限兜底所有设计缺陷review_status、approver、evidence_pack_id
1.1 一次请求里,控制动作怎样被判定
请求阶段实时判定可能动作Trace 字段
入口识别用户是谁、要做什么、影响哪个业务对象、是否进入敏感场景继续、追问、切到受限模式、转人工user_role、tenant_id、task_type、business_object_id、risk_tier
上下文装配哪些知识、会话、文件和工具结果可以进入模型上下文过滤、脱敏、截断、隔离不可信片段context_sources、acl_snapshot、redaction_rule、untrusted_context_ids
模型生成前用哪个模型、哪套 Prompt / Policy / Decoder 配置,是否允许工具计划路由、降级、固定配置、禁止高风险工具model_id、router_policy、prompt_version、policy_version、decoder_profile
工具执行前工具是否在白名单内,参数是否越权,副作用是否需要确认拒绝、dry-run、用户确认、审批、幂等执行tool_name、tool_risk、args_hash、permission_decision、approval_id、idempotency_key
输出交付前答案是否有依据、是否泄露敏感信息、是否违反策略或格式放行、改写、补引用、拒答、升级复核citation_ids、grounding_score、guardrail_policy_version、block_reason、review_status
交付之后用户反馈、评测样本、事故线索是否需要进入持续改进记录样本、回放、加入 Eval、触发 Runbookfeedback_label、eval_sample_id、incident_id、evidence_pack_id

行为控制要写进请求链路

控制矩阵不是上线前填一次的表,而是每次请求都会经过的判定链。只有把 task_type、risk_tier、policy_version、tool_permission、guardrail_decision 和 review_status 写入同一条 Trace,才能解释“这次为什么放行、拒绝、降级或转人工”。

二、控制矩阵:先选层,再选旋钮
目标优先控制层典型旋钮观测指标常见误用
减少幻觉Context / Decoder / Eval引用要求、检索重排、低温度、事实校验、答案必须带出处忠实度、引用命中、无依据声明率只把 Prompt 写成“不要幻觉”
降低越权风险Policy / Tools / Guardrails服务端 ACL、工具白名单、参数校验、确认门、敏感字段脱敏越权尝试、拒绝原因、人工确认率用系统 Prompt 代替权限系统
提高格式稳定性Decoder / Parser / RetryJSON schema、结构化输出、温度降低、解析失败重试、字段枚举parse_fail_rate、schema_violation_rate让模型自由输出后再人工猜格式
控制工具副作用Tools / Workflow / Auditdry-run、幂等键、读写分离、审批、补偿、执行状态机tool_error_rate、rollback_count、side_effect_incident工具调用成功就直接提交写入
减少安全误伤Policy / Guardrails / Review场景分级、灰区追问、误拒样本、申诉 / 复核、策略豁免false_reject、appeal_success、user_dropoff越拦越安全,不看正常任务损失
控制成本和延迟Router / Context / Decoder模型分层、上下文预算、max_tokens、缓存、早停、低风险小模型cost_per_task、p95_latency、token_per_success只换便宜模型,不看质量回归
提升可追责性Trace / Audit / Release版本快照、policy_id、tool_args、approval_id、release_gate_id可复现率、证据包完整率、归因耗时事故后临时拼日志
三、Prompt 控制:告诉模型该怎么做,但别让它承担系统责任
目标与角色
适合约束任务风格、回答范围、角色口吻和输出重点。不要把“你是合规审批人”写进 Prompt 后就真的放弃审批系统。
上下文选择
适合提供证据、用户状态、业务对象和历史记录。上下文越多不一定越好,来源可信度和权限边界更重要。
输出格式
适合让模型先生成结构化字段、引用、理由和下一步动作。高可靠格式还要接 schema、parser 和重试。
边界声明
适合提醒模型何时拒答、追问和升级。高风险边界必须继续接 Policy、Guardrail 和 Human Review。

Prompt 是软控制

Prompt 能显著改变行为,但它不是强制执行层。凡是涉及权限、付款、写库、发信、隐私和合规责任,都要有服务端控制和审计证据。

四、Policy 控制:把组织规则从自然语言变成可执行决策
Policy 类型解决什么工程落点证据字段
内容策略哪些主题必须拒答、追问、解释边界或安全改写输入 / 输出分类器、规则表、红队回归集policy_version、risk_label、decision
数据策略哪些数据源可进入上下文,哪些字段必须脱敏RAG ACL、字段脱敏、租户隔离、日志保留data_scope、acl_snapshot、redaction_rule
工具策略哪些用户在什么条件下能调用哪些工具工具注册表、权限引擎、确认门、审批流tool_policy、permission_decision、approval_id
发布策略哪些改动需要哪些 Eval、Canary、审批和回滚条件Release Gate、风险例外、灰度平台release_gate_id、risk_exception、approver
人工策略什么情况必须转人工,谁对最终动作负责HITL 队列、SLA、双人复核、职责矩阵review_status、owner、handoff_reason

Policy 要版本化

模型、Prompt、工具和业务边界都会变化。没有 policy_version,就无法解释某次请求为什么当时被允许、拒绝或升级。

五、Tools 控制:模型可以提出动作,系统决定是否执行
工具控制点低风险做法高风险做法失败时怎么办
工具注册描述用途、输入 schema、输出 schema标注风险等级、权限范围、是否可自治未注册工具不可调用
参数校验类型、必填、枚举、范围检查业务对象权限、敏感字段、危险命令、外发对象检查修复参数、追问或拒绝
执行身份使用用户身份或受限服务身份按租户、角色、环境和工具范围做最小授权权限拒绝写入 Trace
确认门用户确认低副作用动作人工审批、双人复核、dry-run 和差异预览未确认不执行
副作用控制幂等键、状态检查、可撤销补偿动作、回滚脚本、外部通知、冻结开关进入事故或人工接管
六、Decoder 控制:控制生成形态,不要误当事实和安全控制
旋钮影响什么适合用来做什么不能解决什么
temperature / top_p输出随机性、多样性和稳定性低温度做稳定问答,高温度做创意候选不能保证事实正确或策略合规
max_tokens最长输出和成本延迟控制回答长度、避免无限生成不能保证短答案就是正确答案
stop sequences生成停止位置模板化输出、分段生成、工具参数截断不能防止语义越权
structured outputJSON、schema、枚举和字段约束工具调用、工作流状态、评测标签不能保证字段内容真实
logprobs / confidence proxy候选 token 概率线索检测不确定、触发追问或人工复核不能直接等同于业务风险

Decoder 是形态控制,不是责任控制

把温度调低能让输出更稳定,但不会让模型获得缺失证据。结构化输出能降低解析失败,但不代表字段内容可靠。

七、Guardrails 控制:拦截、改写、追问、升级和记录
护栏动作适合场景需要记录副作用
Allow低风险、证据足、策略允许policy_version、risk_label误放时需要回放证据
Rewrite语气、格式、敏感字段脱敏、引用补充raw_output_hash、rewrite_reason可能改变模型原意
Ask Clarification意图、对象、权限或风险等级不明missing_field、question_reason过多追问会伤体验
Block / Refuse明确违反策略、越权或危险动作block_reason、policy_rule、appeal_path误拒会降低信任
Escalate高风险、低置信、灰区、例外申请review_queue、owner、SLA人工队列会成为瓶颈
Log Only低风险但需要观测的策略命中risk_signal、sample_id只记录不处理可能积累风险
八、按风险等级组合控制层
风险等级推荐组合典型上线门槛不建议
L1Prompt + Decoder + 基础 Trace基础回归、输出可编辑、用户反馈入口为低风险草稿堆过重审批
L2Prompt + Policy + Eval + Guardrails + Canary切片评测、引用溯源、误拒误放统计、灰度观测只看总分,不看风险切片
L3Policy + Tools + HITL + Audit + Runbook权限快照、工具确认门、审计证据包、事故演练让模型自治执行写操作
L4强 Policy + 禁自治 + 双人复核 + 高风险 Eval + 完整证据链专家 / 负责人审批、风险豁免、外部合规要求、回滚和补救预案让模型给最终高风险决策
九、上线前行为控制清单
检查项最低问题完成标准
Prompt 版本这次行为变化来自哪个 Prompt?prompt_version 可追踪,可回滚,可进入 Eval
Policy 版本允许、拒绝、追问、升级的边界在哪里?policy_version、例外流程和业务 owner 明确
Tool 策略模型能做什么,系统会拦什么?工具注册表、权限、确认门、幂等、补偿都落地
Decoder 配置随机性、长度和结构化输出是否符合任务?关键配置写入 Trace,并在评测中固定或分组比较
Guardrail 评测误放和误拒分别有多大?红队样本、误拒样本、灰区样本持续回归
Human Review什么情况必须转人工,谁负责最终动作?review queue、SLA、审批记录和责任边界明确
Release Gate控制层改动凭什么上线?Prompt、Policy、Tool、Decoder、Guardrail 任一变化都能触发相应评测
十、常见误区
误区为什么危险更稳的做法
把 Prompt 当唯一控制层模型可能被注入、上下文污染或工具副作用绕过Prompt 负责软约束,Policy / Tools / Guardrails 负责强约束
把 Guardrail 当万能过滤器事后拦截可能已经晚了,尤其是工具执行前的风险在输入、上下文、工具前置和输出后置都布控制点
只优化拒答率拒得多不等于安全,可能误伤正常用户和业务流程同时看误放、误拒、升级率、人工负载和用户完成率
所有用户同一套策略角色、地区、租户、业务线不同,合法边界也不同把 role、tenant、region、risk_tier 纳入 policy decision
控制层改了不走发布流程Prompt、Policy、Tool schema 和 Guardrail 改动都可能造成生产回归控制层版本化,并接入 Eval、Canary 和回滚
十一、回到 AI 主干
AI 全景 风险分级 Prompt / 上下文 指令层级 Tool Calling 解码 / 结构化输出 安全 / 护栏 发布闸门 审计证据链

这张图在主线里的位置

风险分级决定控制强度,本页决定控制手段。真正的 AI 行为治理不是“模型调得更听话”,而是把 Prompt、Policy、Tools、Decoder、Guardrails、Human Review 和 Release Gate 放进同一套可版本化、可评测、可审计的控制系统。