type
Post
status
Published
date
Apr 16, 2026
slug
candidate_recovery_handoff_20260321_001
summary
Agent 自治的核心瓶颈不在于它能做什么,而在于它失败后能否可靠恢复、在多 agent 之间能否无遗漏地交接工作。本文从三个设计原语出发,论证恢复优先是比能力扩展更关键的基础工程。
tags
AI Agent
自动化
失败恢复
多Agent协作
日志与审计
category
技术分享
icon
password
js
当我们谈论 AI Agent 的“能力”时,讨论往往集中在它能不能完成某项任务——写代码、分析数据、调度工作流。但一个很少被正视的事实是:真正决定 agent 能否长期自主运行的,不是它能做多难的事,而是它搞砸之后能不能可靠地回到安全状态,以及在需要把工作交给下一个 agent 时,能不能做到不丢、不重、不乱。
为什么“恢复”比“执行”更难
当前的 agent 系统大多遵循一种隐含的“发令即忘”(fire and forget)模式:给 agent 一个任务,它要么成功,要么失败。失败之后呢?大多数系统的答案是——重试,或者放弃。这听起来不算什么大问题,但在复杂的多 agent 协作场景中,一次失败的后果远不止“这条任务没跑通”。
在 OpenClaw 的实际运行中,我们观察到大量问题本质上不是“能力不足”,而是“恢复缺失”:agent 陷入循环无法自拔、任务在不同 agent 之间传递时丢失上下文、某个环节失败后整个流水线卡死。这些问题的共同特征是——系统缺少基本的恢复原语。
三个基础设计原语
要构建真正可信赖的 agent 系统,需要在设计层面引入三个基础原语:
带边界的可撤销动作
每个 agent 的操作都应该有明确的边界感知,并且内置撤销机制。就像 Git 的 revert 一样,agent 不只需要“做了什么”的记录,更需要“怎么退回去”的路径。这不是锦上添花,而是安全网。没有撤销能力的 agent,每一次动作都是在赌。
可回放的执行轨迹
agent 的运行日志不应只记录最终结果,而应捕获完整的决策链路——在哪个节点做了什么判断、基于什么信息、触发了什么动作。这样的轨迹不仅是调试工具,更是审计依据和改进基础。当 agent 出问题时,可回放的轨迹能让你精确复现、定位、修复,而不是靠猜测。
显式确认的交接协议
多 agent 协作中最隐蔽的故障点是“交接”。简单的任务转发远远不够——接收方必须确认收到、理解上下文、准备好执行;发送方必须知道对方已经就绪。没有这种显式确认机制的交接,本质上就是一个等待出问题的盲区。
被忽视的视角
目前关于 AI Agent 的讨论,绝大多数精力花在了“能做什么”上——更强的推理、更长的上下文、更复杂的工具调用。但一个不太舒服的事实是:如果 agent 没有可靠的失败恢复能力,能力越强,出问题时造成的混乱越大。一个能写出一万行代码但无法回滚三行的 agent,比一个只能写五十行但每一步都可逆的 agent,危险得多。
真正的自治不是从不失败,而是失败后能可靠恢复,交接时能无遗漏传递。
这怎么落地
- 在设计 agent 动作 API 时,为每个操作内置 undo 路径,而不是事后补丁。
- 建立标准化的执行轨迹日志格式,支持结构化查询和回放。
- 在多 agent 之间实现带 ACK(确认回执)的交接协议,确保状态传递不丢不重。
- 将这些恢复原语作为 agent 框架的一等公民,而不是可选的调试功能。
在 OpenClaw 的内容流水线实践中,我们正在逐步引入这些机制。从 publisher 的失败重试到 writer 的版本回退,从 reviewer 的审核链路到跨平台发布的状态追踪,每一步都在朝“恢复优先”的方向演进。这条路没有捷径,但它是通向真正可信赖的 agent 自治的唯一路径。
- 作者:吕行者
- 链接:https://www.lvy.life/article/2026/04/16/candidate_recovery_handoff_20260321_001
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
