知识全景图/ 软件工程与系统/ 人工智能全景图/ AI 事故响应、Runbook 与演练

AI 事故响应、Runbook 与演练全景图

从敏感输出、RAG 污染、工具误执行、供应商故障、成本暴走到发布回归:把 AI 事故从混乱救火变成可演练系统

阅读定位: 这一页补 AI 生产治理里的“事故现场”环节。LLMOps负责看见信号,发布 / 灰度 / 回滚负责变更纪律,模型服务 / 网关负责熔断降级,AI 安全护栏负责风险控制;本页回答:事故已经发生或正在扩大时,谁指挥、先止什么血、保留哪些证据、怎么沟通、怎么恢复、怎样把事故样本变成回归资产。事故证据字段可回读 AI 证据包索引,请求级排障可回读 请求 Trace / 排障模板
一、AI 事故响应的最小闭环
Detect
告警 / 工单 / 用户反馈
Declare
分级 / 指挥 / 频道
Contain
冻结 / 降级 / 熔断
Diagnose
Trace / 版本 / 证据
Recover
回滚 / 修复 / 验证
Learn
复盘 / 回归 / 演练
阶段核心问题最小动作留下什么证据
发现这是质量、安全、可用性、成本还是权限事故确认信号来源、影响面、版本范围、用户范围alert_id、first_seen、sample_requests、affected_feature
定级是否需要进入事故指挥模式定 P0/P1/P2,拉起频道,指定 Incident Commanderseverity、commander、timeline、decision_log
止血如何先阻止扩大冻结发布、降级模型、禁用工具、切 Fallback、限流、关闭高风险入口containment_action、operator、scope、rollback_point
诊断问题来自模型、Prompt、RAG、工具、路由、护栏还是交互按 trace 对齐版本快照和链路事件trace_ids、prompt_version、model_id、rag_index、tool_schema、policy_version
恢复怎样确认用户和系统已恢复到可接受状态回滚或修复后跑冒烟、回放坏例、观察核心切片verification_cases、monitor_window、owner_signoff
复盘同类事故怎样不再复发写复盘、补 Runbook、补评测集、补告警和演练incident_report、eval_case_id、runbook_patch、drill_plan
AI 事故的特殊性:

HTTP 200、模型正常返回、工具调用成功,都不等于没有事故。AI 事故常常表现为“系统技术上成功,但输出、动作、权限、成本或业务结果错了”。

二、事故分级:不要只按服务是否宕机
等级AI 场景判断响应要求典型动作
P0敏感信息泄露、跨租户数据暴露、高风险工具误执行、大面积有害输出、关键客户流程中断立即拉起指挥,冻结相关发布,必要时关闭入口熔断、回滚、禁用工具、法务 / 安全 / 客户沟通进入
P1重要功能质量严重退化、成本快速失控、供应商故障影响核心场景、RAG 知识污染扩散小时级止血和恢复,明确 owner 与用户影响面切备用模型、降低自动化等级、人工复核、限流
P2局部场景错误、非高风险误拒 / 漏答、延迟上升、结构化输出失败增多工作日内修复或进入发布计划坏例入库、Prompt / RAG / schema 修复、补监控
Near Miss被护栏、人工确认、灰度或回归测试提前拦住仍要记录,因为它证明系统差点出事补自动检测、扩展评测切片、演练确认拦截链路
2.1 风险等级怎样影响事故定级
请求风险等级同类问题的默认响应升级条件必须保留的证据
L1通常按 P2 或普通缺陷处理影响面快速扩大、外部客户集中投诉request_id、版本、输出 hash、用户反馈
L2按 P2 / P1 预检,先看业务影响面关键流程受阻、错误建议被批量采纳、灰度指标恶化trace_id、cohort、eval_case_id、release_gate_id、回滚点
L3默认进入事故分流,先止血再归因敏感数据、越权访问、工具副作用、跨租户影响权限快照、工具参数 hash、approval_id、policy_decision、evidence_pack_id
L4默认 P1,出现不可逆伤害或外部披露时 P0金融、法律、医疗、人事、生产写操作或权限变更受影响完整证据包、审批记录、人工复核记录、incident_id、fixed_version

事故等级要看请求本身的风险

同样是“答错”,L1 可能只是体验问题,L4 可能已经影响不可逆决策。AI 事故定级要把 risk_tier、数据敏感度、工具副作用、影响面和证据完整度一起纳入判断。

三、前 15 / 30 / 60 分钟 Runbook
时间窗目标动作不要做
0-15 分钟止血和定级确认影响入口、版本、租户和风险;冻结相关发布;必要时切 Fallback、禁用高风险工具、关闭自动执行不要先改 Prompt 试运气,不要删除日志,不要扩大实验流量
15-30 分钟建立证据包收集 trace、样例、版本快照、检索结果、工具参数、审批记录、用户反馈和告警时间线不要只截最终回答;不要把敏感原文扩散到公共群
30-60 分钟恢复路径决定回滚、降级、人工接管、知识库下线、策略收紧或供应商切换;用坏例回放验证不要用单个样例宣布恢复;不要忽略成本、权限和安全副作用
1 小时后稳定观察持续看核心切片、客户反馈、风险告警、成本水位和重试 / Fallback 指标不要过早关闭事故;不要让临时开关长期悬挂
四、常见 AI 事故类型与第一响应
事故类型典型信号第一响应长期修正
敏感输出 / 有害输出用户投诉、红队命中、风险标签激增、审核拦截收紧策略、关闭高风险入口、转人工复核、保留样本但脱敏补安全切片评测、策略版本审计、红队演练和拒答校准
跨租户 / 越权泄露低权限用户看到高权限材料、缓存命中异常、RAG 引用不该看的文档禁用相关缓存或索引,切只读 / 无 RAG 模式,冻结 tenant 相关发布补权限过滤、tenant key、缓存 key、审计字段和权限回归集
RAG 污染 / 知识错误答案引用错误、知识过期、异常 chunk 大量命中、外部来源被污染下线污染文档或索引版本,切回旧索引,降级为人工引用确认补数据来源校验、索引版本、文档 ACL、检索评测和知识刷新流程
工具误执行错误发邮件、改状态、提交工单、调用生产写接口禁用工具或提高审批等级,冻结副作用链路,启动补偿和客户沟通补工具分级、schema 校验、确认门、幂等键、补偿动作和双人复核
Agent 循环 / 失控步数暴涨、重复工具调用、成本和延迟异常、任务无终态强制取消 run,降低最大步数和预算,转人工接管补退出条件、状态机、预算闸门、规划评测和循环坏例
供应商 / 模型服务故障超时、限流、错误率上升、Fallback 激增、区域异常切备用供应商或本地模型,按优先级排队,降级低价值请求补多供应商评测、超时预算、熔断、容量预案和供应商状态页联动
成本暴走token、重试、长上下文、推理模型调用或工具调用成本突增限流、切便宜模型、关闭深度推理、截断上下文、暂停异常租户补预算告警、单位任务成本、路由策略、缓存策略和成本回归
发布回归新 Prompt / 模型 / 路由 / 护栏上线后质量或安全指标变差暂停放量,回滚最近变更,按版本快照回放坏例补发布闸门、Canary 停止条件、回滚脚本和变更影响面分析
五、事故指挥角色分工
角色负责什么关键产物
Incident Commander定级、节奏、决策、沟通和关闭事故时间线、决策记录、状态更新、复盘 owner
AI Triage按模型、Prompt、RAG、工具、路由、护栏、UX 分流归因错误归因、样例分桶、修复建议
Platform / Gateway限流、熔断、Fallback、模型服务、供应商和容量运行指标、降级动作、恢复验证
Security / Compliance敏感信息、越权、策略绕过、用户通知和合规边界风险判断、脱敏证据、通知建议、保留策略
Product / Support用户影响、客户沟通、临时绕行路径和业务验收影响名单、外部口径、工单分流、验收反馈
Scribe记录事实、时间线、动作、证据链接和待办incident log、action items、postmortem 草稿
六、证据包:没有证据就没有复盘

先把事故证据包和请求 Trace 对齐

事故响应需要把 incident_id、trace_id、版本快照、权限裁决、处置动作和 eval_case_id 串起来。字段总表见 AI 证据包索引,单次请求回放见 请求 Trace / 排障模板

证据组最小字段用途
影响面feature、tenant、user_role、region、request_type、first_seen、last_seen判断事故范围和是否仍在扩大
版本快照app_version、prompt_version、model_id、router_policy、rag_index_version、tool_schema_version、guardrail_policy_version定位哪次变更引入问题
链路 Tracetrace_id、retrieved_docs、tool_calls、fallback_reason、latency、token、cost、risk_flags还原一次请求如何走到错误输出或动作
权限与审批tenant_id、user_id、policy_decision、approval_id、actor、tool_scope确认是否越权、谁批准、执行身份是谁
样本与反馈bad_case_id、user_feedback、human_label、severity、redaction_status进入坏例池、评测集和复盘报告
处置动作action_id、operator、scope、time、result、rollback_point、verification_case证明如何止血、恢复和验证
6.1 沟通口径:技术止血之外的第二现场
对象需要说明什么不该说什么证据来源
内部指挥频道当前分级、影响范围、止血动作、下一次更新时间、决策 owner没有证据的猜测、互相归责、散落在多个频道的口头结论incident log、decision_log、containment_action
客服 / 客户成功受影响功能、客户可用绕行路径、是否需要暂停使用、收集哪些反馈承诺未验证的恢复时间,或让一线自行解释模型内部原因affected_feature、known_workaround、support_macro
安全 / 法务 / 合规是否涉及敏感数据、越权访问、外部披露、保留删除和通知义务把脱敏前样本随意转发,或在事实未清前定性责任redaction_status、policy_decision、data_boundary、legal_hold
用户或客户公告发生了什么、影响了谁、已采取什么动作、用户需要做什么、后续何时更新暴露内部系统细节、夸大恢复程度、用“模型幻觉”替代事实说明impact_scope、customer_notice、status_page_update
复盘读者根因、检测缺口、止血耗时、恢复验证、长期动作和负责人只列时间线不列改进动作,或把单个样例修复当成根因修复postmortem、eval_case_id、runbook_patch、owner_signoff

AI 事故沟通的难点

AI 事故经常不是“服务挂了”,而是“结果不可信、动作不该发生、知识不该被引用、权限不该穿透”。沟通口径要基于证据和影响面,而不是把问题简单归因成模型异常。越高风险,越要把技术样本脱敏、法务边界和客户可执行动作分开处理。

七、演练设计:别等真事故才第一次跑
敏感输出演练
模拟安全样本绕过护栏,检查告警、人工审核、策略收紧、样本脱敏和外部沟通流程。
RAG 污染演练
注入错误或过期文档,检查索引版本回滚、引用忠实度告警、知识来源封禁和坏例回归。
工具误执行演练
模拟错误参数或越权工具调用,检查确认门、幂等键、补偿动作、审批记录和权限收紧。
供应商故障演练
模拟主模型超时或限流,检查 Fallback 质量、队列优先级、成本变化和用户降级体验。
成本风暴演练
模拟长上下文膨胀、重试风暴或推理模型误路由,检查预算告警、限流和模型降级。
发布回归演练
模拟新 Prompt 或护栏策略造成关键切片退化,检查 Canary 停止条件和一键回滚路径。
八、复盘闭环:事故样本必须回到系统
复盘项要回答落到哪里
检测为什么是用户 / 客服先发现,而不是系统先发现LLMOps Dashboard、告警规则、抽样复核
止血有没有最快的冻结、降级、回滚或转人工路径网关策略、工具开关、发布系统、Runbook
归因能否证明问题来自哪一层,而不是凭印象猜Trace 字段、版本快照、错误归因矩阵
修复修的是根因还是只修了一个样例Prompt / RAG / 工具 / 护栏 / UX / 路由改动
回归同类问题是否进入自动或人工评测Golden Set、安全集、RAG 集、工具执行集、发布闸门
演练下次能否更快发现、更小范围影响、更少人工混乱季度演练、角色轮换、Runbook 演进
九、上线前必须准备的 Runbook
Runbook最低内容回读页面
安全输出事故风险分级、样本脱敏、策略收紧、人工复核、外部沟通AI 安全护栏
权限 / 租户泄露事故关闭缓存 / 索引、ACL 校验、影响用户、审计证据和通知边界权限 / 租户 / 数据边界
工具副作用事故禁用工具、补偿动作、审批链、幂等键、客户沟通和数据修复Tool Calling / 执行协议
供应商 / 网关事故Fallback、限流、优先级、降级体验、供应商沟通和恢复验证模型服务 / 网关
成本暴走事故预算阈值、成本归因、限流、模型降级、异常租户和事后账单复核成本 / 性能工程
发布回归事故版本快照、Canary 停止条件、回滚步骤、坏例回放和恢复确认发布 / 灰度 / 回滚
总结:
AI 事故响应的目标不是事后写一份漂亮复盘,而是在事故发生时更快止血、更少扩大、更有证据、更能恢复,并把每一次事故变成评测、发布、权限、工具和护栏的改进资产。

继续阅读: