知识全景图/ 软件工程与系统/ 人工智能全景图/ AI 发布、变更治理、灰度与回滚

AI 发布、变更治理、灰度与回滚底层图谱

从模型、Prompt、RAG、工具、护栏、路由和评测集的版本快照,到上线闸门、Canary、监控、回滚与复盘,理解 AI 系统怎样安全进入生产

阅读定位: 这一页补 AI 生产底层线里的“变更进入生产”环节。LLMOps / 评测与可观测性回答怎样看见质量,模型评测到发布闸门回答评测结果怎样变成上线 / 阻断 / 灰度 / 回滚决策,反馈闭环 / 数据飞轮回答坏例怎样回流,模型路由 / Fallback / 多模型编排回答请求怎样分流和降级;本页回答:模型、Prompt、RAG、工具、护栏和路由策略改了之后,怎样决定能不能发、发给谁、何时停、怎样回滚,以及留下什么证据。这里的生产证据链口径是:请求 Trace + AI 证据包索引 + Artifact Registry + 审计证据链
一、AI 变更发布的最小闭环
变更提案
改什么 / 为什么
资产快照
模型 / Prompt / 数据
风险分级
人群 / 场景 / 权限
发布闸门
质量 / 安全 / 成本
灰度实验
Canary / A/B
监控止血
告警 / 降级
回滚复盘
证据 / 坏例
环节它回答什么缺失时会怎样关键产物
变更提案这次变更要解决什么问题系统被连续小改动推着走,没人知道目标变更说明、影响面、成功标准、回滚条件
资产快照上线前后到底哪些东西变了质量退化后无法定位是模型、Prompt、索引还是工具导致模型版本、Prompt 版本、RAG 索引、工具 schema、护栏策略、评测集
风险分级这次变更会影响哪些用户和业务风险低风险改动被拖慢,高风险改动被轻率发布风险等级、审批人、灰度范围、人工接管策略
发布闸门上线前最低要通过哪些验证修复局部问题时引入质量、安全或成本回归离线 Eval、安全回归、成本回归、人工验收
灰度实验真实流量里是否真的更好离线分数好看,但线上体验、延迟或风险变差Canary、A/B、分人群放量、灰度指标
监控止血出现异常时怎样快速发现并降级事故扩大后才被用户投诉发现告警阈值、自动熔断、降级策略、值班通知
回滚复盘如何恢复、解释和沉淀坏例同类事故反复出现,团队只记得“那次发坏了”回滚记录、trace 证据、坏例样本、复盘结论
一句话:

AI 发布治理不是把模型 API 包进 CI/CD,而是把不确定输出、外部知识、工具副作用、安全策略和业务风险一起纳入变更纪律。

二、AI 变更到底改了什么
变更对象常见动作主要风险必须快照什么
模型换供应商、换版本、换规格、量化、微调模型上线能力分布改变、拒答策略变、成本延迟变化、长尾退化模型名、版本、参数、温度、上下文窗口、路由条件
Prompt / System 指令改角色、格式、工具说明、拒答边界、输出模板工具参数漂移、格式回归、安全边界松动、过度拒答模板版本、变量、系统指令、示例、解析器版本
RAG 知识库更新文档、重切 chunk、换 embedding、换 rerank、重建索引错召回、漏召回、旧知识覆盖新知识、引用不忠实语料版本、索引版本、chunk 策略、检索参数、权限过滤
工具 / Agent 协议新增工具、改 schema、放开权限、调整执行顺序越权操作、参数误填、循环调用、外部系统副作用工具 schema、权限策略、超时重试、审计字段、最大步数
护栏 / 策略改审核规则、拒答策略、注入检测、人工升级阈值误拒误放、策略冲突、风险样本漏过、用户体验下降策略版本、风险分类、阈值、人工复核口径、红队集
模型路由 / 网关改模型分层、fallback、限流、配额、缓存质量不一致、成本波动、故障放大、审计缺口路由规则、fallback 链、缓存策略、配额、灰度分流规则
评测集 / Judge增删样本、改 rubric、换 Judge 模型、调评分权重上线闸门本身漂移,分数不可比数据集版本、rubric、Judge 版本、人工校准样本

AI 变更通常不是单点变更

一次“优化回答质量”可能同时改 Prompt、知识库、检索参数、模型版本和安全策略。没有资产快照,线上效果变化就会变成一团雾。

三、风险分级:不是所有改动都走同一条发布线
风险级别典型场景发布策略人工介入
低风险内部助手文案优化、只读总结、非关键格式修复离线回归通过后小流量灰度抽样复核即可
中风险企业知识问答、客服建议、销售辅助、代码建议固定回归集 + 业务样本验收 + 分人群灰度用户确认或人工接管入口
高风险金融、医疗、法律、安全、权限工具、自动执行动作安全红队 + 审批 + 极小流量 + 明确回滚点关键动作前审批,异常自动升级
不可自治不可逆操作、重大权益影响、合规禁止自动决策AI 只能建议或生成草稿必须由人类确认和负责
实用判断:

风险分级看的不是“这个模型有多强”,而是错误输出会不会造成真实损失、越权动作、合规风险或难以撤销的副作用。

四、上线闸门:发布前至少要挡住什么
质量闸门
  • 核心任务成功率、引用忠实度、格式合法率、工具成功率不能退化
  • 历史坏例、边界样本和关键人群要单独看
安全闸门
  • 越狱、提示注入、隐私泄露、工具越权、误拒误放都要回归
  • 高风险变更要加人工复核和红队样本
成本与性能闸门
  • token、延迟、重试、工具调用次数、GPU 资源和缓存命中率要对比
  • 质量提升但成本失控也不是好发布
可回滚闸门
  • 发布前确认旧版本仍可用,索引、Prompt、工具和路由能切回
  • 没有回滚路径的变更不应扩大影响面
闸门类型看什么指标失败时动作相邻专题
离线 Eval任务质量、格式、引用、工具调用、拒答边界回到误差分析或缩小变更模型评测 / Eval
Trace 复核上下文、检索、工具、模型输出和后处理是否可解释补观测字段或阻止发布LLMOps / 可观测性
安全回归注入、越权、隐私、误拒误放、危险工具补护栏、降级权限或走人工审批AI 安全 / 护栏
发布工程版本快照、自动化发布、回滚脚本、审批记录补齐发布工单和恢复路径发布工程
五、灰度、Canary 与放量
灰度方式适合什么关键指标注意点
内部灰度新模型、新 Prompt、新工具上线前早期验证人工反馈、坏例数、格式失败、明显风险内部用户分布不等于真实用户分布
小流量 Canary影响面可控但需要真实流量验证的改动投诉、接管、拒答率、延迟、成本、工具失败要提前定义自动停止条件
分人群放量不同客户、区域、业务线风险差异明显人群切片质量、业务完成率、风险事件不能只看总体平均值
A/B 实验比较两个候选 Prompt、模型、检索策略或 UX任务完成率、满意度、人工接管、单位成本AI 输出有噪声,实验要留足样本和时间
影子流量想验证新链路但不影响用户结果候选输出质量、成本、延迟、风险命中要控制数据权限和日志脱敏

灰度的重点不是慢慢发,而是可停止

成熟灰度一定有清晰的观察窗口、放量节奏、告警阈值、停止条件和回滚负责人。没有这些,灰度只是把事故拆成慢一点发生。

六、回滚、降级与事故止血
故障表现可能根因优先止血动作后续沉淀
答案质量突然下降模型切换、Prompt 回归、RAG 索引错误、Judge 漂移切回旧版本,暂停放量,保留 trace坏例进回归集,补版本差异分析
提示注入或越权工具上下文可信度弱、工具权限过宽、护栏策略松动关闭危险工具或强制人工确认补红队样本、权限边界和审计规则
成本爆炸上下文膨胀、重试循环、大模型路由过宽、缓存失效限流、降级小模型、缩短上下文、关闭重试补成本告警和预算闸门
延迟和超时上升模型供应商异常、GPU 队列堆积、长请求混跑切 fallback、分流长请求、关闭低优先级任务补容量水位和供应商连续性预案
误拒或误放增加安全策略、阈值或模型行为改变恢复旧策略,扩大人工复核补安全切片和人工标注口径
最大坑:

很多 AI 发布事故不是没有回滚按钮,而是没有“可回滚资产”。如果 RAG 索引、Prompt、工具 schema、护栏策略和路由规则没有版本,回滚会变成手工猜谜。

七、审计证据链:上线后要能解释发生了什么
变更证据
记录谁提出、为什么改、影响哪些资产、谁审批、哪些闸门通过,以及失败条件是什么。
运行证据
保留请求级 trace、模型版本、检索命中、工具调用、护栏结果、成本延迟和最终输出。
决策证据
高风险场景要能说明 AI 是自动执行、建议、人类确认还是人工审批,以及责任边界在哪里。
复盘证据
事故或回滚后,把触发样本、根因、修复方案和新增回归用例沉淀到反馈闭环里。

审计不是只给合规看的

对工程团队来说,审计证据链让一次失败可以被复现、被归因、被修复。对业务和合规来说,它让系统影响、责任和恢复动作可解释。

7.1 发布证据 ID 怎样贯通
证据 ID在哪生成必须绑定什么后续用途
change_id变更提案变更目标、资产范围、owner、风险等级、回滚条件把一次发布里的模型、Prompt、RAG、工具、护栏和路由改动归到同一张工单
eval_run_id离线评测 / 回放样本集版本、Judge 版本、人工校准、切片分数、失败样本证明候选版本在发布前通过或没有通过哪些证据
release_gate_id发布闸门质量、安全、成本、延迟、权限、审批和风险豁免回答“为什么允许灰度、为什么阻断、谁批准了例外”
canary_cohort_id灰度放量人群、租户、流量比例、时间窗、停止阈值、线上指标把线上反馈、投诉、Trace 和指标归因到具体灰度批次
evidence_pack_id审计 / 事故预检变更、评测、发布、灰度、请求 Trace、工具动作和止血记录事故、客户沟通、合规审计和复盘时一键拉取证据
incident_id / fixed_version事故响应 / 修复发布影响面、根因、止血动作、修复版本、回归样本、恢复验证把一次事故闭环到下一次评测、发布和防复发检查

发布不是一个按钮,而是一串可追踪 ID

AI 变更进入生产后,最怕的是评测、灰度、请求 Trace 和事故复盘各自成岛。只要这些 ID 能互相引用,一次线上异常就能从用户请求回到发布闸门,再回到评测样本和修复版本。

八、常见误区
误区:Prompt 小改不用发布流程
Prompt 可能影响工具调用、拒答、安全边界和格式稳定性。越靠近系统规则,越应该版本化和回归。
误区:离线评测通过就能全量
离线样本永远覆盖不了完整线上分布。真实流量里的用户目标、上下文长度、权限和工具状态都会带来新风险。
误区:回滚就是切回旧模型
AI 系统的回滚对象还包括 Prompt、RAG 索引、工具协议、路由规则、护栏策略、缓存和评测集。
误区:只要没有报错就算发布成功
AI 发布更要看质量、安全、成本和业务结果。HTTP 200 不代表答案可靠,工具成功不代表动作正确。
误区:上线事故都归因于模型
很多事故来自检索、工具权限、路由、Prompt、产品交互或监控缺失。先看链路,再怪模型。
误区:AI 发布可以完全照搬传统后端发布
传统发布重视接口行为和稳定性,AI 发布还要治理概率输出、评测漂移、样本分布、上下文污染和工具副作用。
九、回到 AI 主干
AI 全景 模型服务 / 网关 模型路由 / Fallback LLMOps / 可观测性 AI 证据包索引 Artifact Registry 评测到发布闸门 发布变更 / 灰度回滚 事故响应 / Runbook 审计证据链 反馈闭环 / 数据飞轮 AI 安全 / 护栏 AI 治理 / 合规

这张图在主干里的位置

如果说 LLMOps 页解释“怎样看见系统行为”,评测到发布闸门页解释“证据怎样变成上线或回滚判断”,AI 事故响应页解释“已经出事时怎样止血、保全证据、恢复和演练”,反馈闭环页解释“坏例怎样回流改进”,那么本页解释“改动怎样带着证据、闸门和回滚路径进入生产”。它是 AI 系统从可观测走向可发布、可恢复、可审计的桥。

工程侧可以继续对照 发布工程可观测性 / SRE事故指挥与应急响应