知识全景图/ 软件工程与系统/ 人工智能全景图/ 模型评测到发布闸门的一生

模型评测到发布闸门的一生底层图谱

从评测目标、样本集、离线回放、Judge / 人工校准、风险切片、质量闸门、灰度实验、线上观测到回滚决策,理解 AI 模型怎样被允许进入生产

阅读定位: 这一页补在 模型评测 / Benchmark / EvalLLMOps / 可观测性AI 发布 / 变更治理 / 灰度回滚 之间。 Eval 页解释分数和样本从哪里来,发布页解释变更怎样进入生产;本页专门解释“评测结果如何被翻译成上线、灰度、阻断、回滚或补样本”的决策链。需要把闸门报告纳入生产证据链时,对齐 AI 证据包索引Artifact Registry审计证据链
一、从评测结果到发布决策的最小链路
Change Candidate
模型 / Prompt / RAG
Eval Plan
目标 / 切片 / 阈值
Offline Replay
回归 / 坏例 / 红队
Score Review
Judge / 人工校准
Release Gate
质量 / 安全 / 成本
Canary
小流量 / 影子流量
Online Monitor
Trace / 指标 / 告警
Decision
放量 / 回滚 / 补样本
阶段核心问题证据可能决策
Change Candidate这次候选变更到底改变了什么模型、Prompt、RAG 索引、工具 schema、护栏、路由规则的版本快照进入评测 / 拆小变更 / 退回补说明
Eval Plan用哪些样本、切片和阈值判断它能不能发评测计划、风险分级、核心指标、阻断条件批准测试 / 增加评测切片 / 要求人工验收
Offline Replay在固定样本、历史坏例和红队集上是否退化回放 trace、评分结果、差异样本、失败类型通过 / 阻断 / 缩小灰度范围
Score Review分数是否可信,Judge 和人工口径是否一致Judge 输出、人工抽检、一致率、争议样本接受分数 / 重跑 / 调整 rubric
Release Gate质量、安全、成本、延迟、合规是否都过线闸门报告、审批记录、回滚方案灰度 / 阻断 / 降级能力 / 人工确认
Canary真实流量里是否仍然更好小流量指标、投诉、人工接管、成本和风险事件放量 / 暂停 / 回滚 / 调整人群
Online Monitor上线后是否持续稳定请求级 trace、业务指标、SLO、异常告警继续放量 / 熔断 / 触发复盘
一句话: Eval 不是“跑个分”,而是发布决策里的证据生产线;没有闸门和灰度,分数只是一张报告,不是生产治理能力。
二、Eval Plan:先定义什么算过线
计划项要写清楚什么常见错误
目标能力这次变更想提升哪类任务,允许牺牲什么,不能牺牲什么只写“整体质量提升”,没有具体任务和边界
影响资产候选版本改了模型、Prompt、RAG、工具、护栏还是路由同时改很多东西,评测失败时无法归因
样本范围Golden Set、历史坏例、红队集、线上抽样、业务验收集分别覆盖什么只看公开 benchmark 或少量成功案例
切片维度按语言、场景、客户、人群、风险等级、长度、工具类型拆分只看总分,掩盖高风险切片退化
阻断阈值哪些指标低于阈值必须停止,哪些退化需要人工审批结果出来后再临时解释“其实还可以”
回滚条件灰度中出现哪些线上信号必须暂停或切回没有提前定义,事故时各方争论是否回滚

评测计划要先于分数存在

如果阈值、切片和失败条件都是看到结果后才决定,就很容易 Goodhart 化:团队不是在判断模型能否上线,而是在给已经想上线的版本找理由。

三、样本集从哪里来
Golden Set
稳定核心样本,用来防止关键能力退化。它应该小而准,长期维护,适合每次变更都跑。
Regression Set
历史坏例和事故样本沉淀出来的回归集,重点防止同类问题复发。
Red Team Set
提示注入、越权、隐私、安全边界和危险工具样本,专门测试最坏情况。
Shadow Traffic
真实请求复制到候选链路但不影响用户结果,适合验证新模型、新检索或新路由。
Business Acceptance Set
由业务、产品、安全或客服共同维护的验收样本,代表真实高价值任务。
Fresh Online Sample
近期线上抽样,防止评测集老化,发现新产品形态、新攻击和新用户表达。
样本来源适合做什么治理重点继续下钻
历史线上请求真实分布回放脱敏、授权、采样偏差、trace 完整性LLMOps / 可观测性
人工标注样本业务口径定标和高风险验收rubric、一致性、复核、争议样本人类反馈 / 标注质量
坏例回流防止事故复发去重、归因、严重程度、修复状态反馈闭环 / 数据飞轮
合成边界样本补足长尾、攻击变体和格式扰动抽检、来源标记、避免自循环污染AI 数据工程
四、评分结果怎样被复核
评分层能给出什么证据不能单独决定什么复核方式
规则 / Schema格式是否合法、字段是否齐全、工具参数是否可解析答案是否真正有帮助单测、解析器回放、结构化错误分桶
程序执行代码、SQL、工具链路、工作流结果是否跑通业务语气、风险边界、解释质量测试用例覆盖、沙箱执行、结果断言
LLM-as-Judge相关性、忠实度、风格、安全、偏好比较绝对真理或监管责任Judge 校准、顺序随机化、人工抽检
人工评审复杂业务判断、高风险语境和真实责任边界高频全量评分一致性训练、双人复核、争议仲裁
线上指标用户行为、投诉、接管、转化、留存和真实成本根因归属A/B、分人群切片、trace 回放
好闸门看组合证据: 格式靠规则,语义靠 Judge,风险靠人工,价值靠线上指标,根因靠 trace。把任何单一分数当绝对真理,都会让发布决策变脆。
五、质量、安全、成本、延迟四类闸门
质量闸门
  • 核心任务成功率、引用忠实度、结构化输出合法率不能退化
  • 历史坏例不能复发,高价值任务不能被总分掩盖
安全闸门
  • 越狱、提示注入、隐私泄露、工具越权和误拒误放要单独看
  • 高风险场景必须允许人工升级或禁用自动执行
成本闸门
  • 输入 token、输出 token、重试、工具次数、大模型命中率和缓存命中率要对比
  • 质量小涨但单位成本翻倍,通常不是合格发布
延迟闸门
  • TTFT、P95、P99、工具等待和流式体验都要进报告
  • Agent 步数变多、上下文变长、模型变大都会改变用户体验
闸门结果含义动作
全绿核心质量、安全、成本、延迟指标达标进入灰度,不等于直接全量
局部黄少数非关键切片轻微退化或证据不充分缩小灰度范围,增加监控和人工抽检
关键红高风险切片、核心任务或安全指标退化阻断发布,回到误差分析
证据不足样本覆盖、Judge 校准或 trace 不完整补样本、补观测、重跑评测
收益不清质量收益不足以覆盖成本、延迟或风险推迟发布或只在特定人群启用
六、灰度实验不是闸门结束,而是闸门继续
灰度阶段看什么停止条件放量条件
影子流量候选链路输出、成本、延迟和风险命中,不影响用户关键质量或安全明显差于现网候选结果稳定优于或不差于现网
内部灰度真实使用反馈、明显坏例、人工验收出现不可解释错误或高风险输出内部任务完成率和体验达标
1% Canary投诉、人工接管、拒答率、工具失败、P95、单位成本超过预设阈值或出现严重风险事件核心指标稳定一个观察窗口
分人群放量客户类型、语言、行业、权限等级和任务类型切片任一高价值切片明显退化目标人群收益明确,风险可控
全量后监控长期漂移、反馈分布、成本水位和新坏例持续退化、攻击升级、供应商异常进入常规运营和反馈闭环

灰度指标必须能回到样本

线上指标变化如果不能回放到具体 trace、样本和错误类型,就很难知道该修 Prompt、RAG、路由、工具、护栏还是产品交互。

七、差异分析:不要只看“新版本赢了多少”
差异问题为什么重要怎么做
赢在哪里确认收益是否来自目标能力,而不是无关样本按任务、场景、语言、用户类型和风险切片看胜负
输在哪里避免总分提高掩盖关键切片退化列出 top regression 样本,做人工复核和 trace 分析
为什么赢判断收益来自模型能力、Prompt、RAG 还是路由拆分链路实验,保持单变量变更
为什么输决定修复方向和是否能灰度按检索、上下文、工具、输出、护栏、后处理分桶
代价是什么质量收益是否值得成本、延迟和风险增加质量差异表和成本性能表一起审
发布会上最危险的一句话: “平均分涨了,所以可以发。”真正要问的是:哪些切片涨了,哪些切片掉了,掉的切片是否高风险,成本和延迟是否还能接受,线上能否回滚。
八、发布报告的最小模板
模块应该包含用途
变更摘要版本、资产、变更目的、影响范围、负责人让所有人知道这次发的是什么
评测范围样本集、切片、Judge / 人工比例、红队范围、线上回放窗口说明证据覆盖了什么,也没覆盖什么
核心结果质量、安全、成本、延迟、业务指标的前后对比支撑发布或阻断决策
Regression 列表退化样本、严重度、根因分桶、是否接受风险防止平均分掩盖坏例
灰度计划人群、流量、时间窗、监控指标、停止条件把发布从一次动作变成可控实验
回滚方案旧版本、切回步骤、数据/索引恢复、负责人、验证方式保证出事时能恢复,而不是临场猜
后续动作补样本、补护栏、补观测、进入反馈闭环的问题让评测和发布积累成组织能力
8.1 闸门报告怎样变成生产证据包
闸门报告项写入生产证据包线上必须回填回滚 / 复盘时回答
变更摘要change_id、asset_versions、owner、risk_tierrelease_version、enabled_features、affected_tenants这次上线到底改变了哪些 AI 资产,影响哪些人群?
评测结果eval_run_id、dataset_version、judge_version、slice_scores、known_regressionsonline_slice_metrics、feedback_labels、new_failure_tags线上退化是否落在已知风险切片,还是评测漏掉了新问题?
发布闸门release_gate_id、gate_decision、approver、risk_exception、blocker_waivergate_violation_alerts、manual_review_events当时为什么允许灰度或全量,是否有人批准了风险例外?
灰度计划canary_cohort_id、traffic_percent、stop_condition、rollback_ownercohort_metrics、complaints、incident_candidates问题是否集中在某个灰度批次,是否触发过停止条件?
回滚方案rollback_target、revert_steps、data_restore_plan、validation_casesrollback_executed_at、recovery_metrics、fixed_version恢复动作是否按预案执行,修复版是否通过原坏例验证?

闸门报告要能活到线上

发布前的 Eval 报告如果不进入生产证据包,线上异常就无法反查当时的样本、阈值、审批和回滚条件。闸门报告的关键字段应该随版本进入 Trace、Dashboard、事故预检和复盘模板。

8.2 例外放行证据包:闸门没全绿时为什么还能上线
例外节点必须记录的字段上线后必须盯什么
未通过项failed_gate_id、failed_slice、metric_delta、severity、affected_users风险集中在哪个能力、用户群、语言、成本或安全切片?
放行理由waiver_id、business_reason、risk_acceptance_owner、expiry_time这是临时业务取舍,还是被误当成永久通过?
缓解动作mitigation_plan、guardrail_change、traffic_cap、manual_review_scope上线时是否有足够的限流、护栏、人工复核和停止条件?
监控回填online_metric_id、alert_threshold、feedback_tag、incident_playbook线上是否专门盯住了这次例外风险,而不是只看总盘指标?
到期复审review_date、required_fix_version、rollback_anchor、closure_evidence例外有没有被关闭、修复、回滚或升级成正式策略?
九、常见误区
误区:Eval 通过就可以全量
Eval 只能说明候选版本在已知样本上达标。真实流量仍需要 Canary、监控、停止条件和回滚路径。
误区:只看模型分,不看系统分
用户体验来自模型、Prompt、RAG、工具、护栏、路由和产品交互的组合。单独模型分数不能代表系统可发。
误区:样本越多越好
样本多但无元数据、无切片、无质量控制,会制造虚假的稳定感。高价值坏例和风险切片更重要。
误区:线上指标好就不用离线回归
线上指标有噪声和滞后,无法替代可复现回归。离线闸门负责挡明显坏,线上灰度负责验证真实价值。
误区:发布失败只补 Prompt
失败可能来自检索、工具、路由、护栏、评测口径、产品交互或成本约束。先做差异归因,再决定修哪层。
误区:评测集是研发资产,不是生产资产
生产变更、事故复盘、客户验收和合规审计都依赖评测证据。评测集应该像代码和配置一样被维护。
十、回到 AI 主干
AI 全景 模型评测 / Eval LLM-as-Judge 评测到发布闸门 LLMOps / 可观测性 AI 证据包索引 Artifact Registry 发布 / 灰度 / 回滚 审计证据链 反馈闭环 / 数据飞轮 AI 安全 / 护栏 AI 治理 / 合规

这张图在主干里的位置

模型评测页回答“分数怎么来”,LLMOps 页回答“线上怎么持续看见”,发布治理页回答“变更怎么进入生产”。这一页把三者中间的决策链补上:评测证据怎样变成发布闸门、灰度计划、停止条件和回滚方案。