tailscale status 的輸出——就是這串 100.x.x.x,半夜讓我盯著發呆的元兇。治理框架的三層:上層管「誰能碰什麼」、中層管「能做什麼」、底層橫跨一切持續監督(audit / eval / observability / cost)。
\n\n八個元件,分三層:**控制誰能碰什麼(①②)、控制能做什麼(③④)、持續監督(⑤⑥⑦⑧)**。一個一個講它在治理上扮演什麼角色。\n\n在逐項講之前,先講一件對資安和法遵很重要的事:**這張圖不是我發明的。** 它只是把 NIST AI RMF、ISO/IEC 42001、EU AI Act 對 AI 系統的共同要求,落到 agent 工程上。八個元件幾乎一對一對得上既有框架:\n\n| 治理元件 | NIST AI RMF | ISO/IEC 42001 | EU AI Act(高風險) |\n|---|---|---|---|\n| ① 資料分級 | MAP | Annex A 控制 | Art.10 資料治理 |\n| ② RBAC/ABAC・最小權限 | GOVERN | Annex A 控制 | — |\n| ③ Tool Registry | MAP / GOVERN | Annex A 控制 | — |\n| ④ Human-in-the-loop | GOVERN / MANAGE | PDCA | Art.14 人類監督 |\n| ⑤ Audit Log | MEASURE | PDCA | Art.12 紀錄保存 |\n| ⑥ Eval Harness | MEASURE | Check(PDCA) | — |\n| ⑦ Observability | MEASURE | Check(PDCA) | Art.12 / Art.72 |\n| ⑧ Cost/持續監督 | MANAGE | Act(PDCA) | Art.72 上市後監督 |\n\n為什麼要花力氣對這層?因為當你把這張圖攤在法遵面前,他第一個問題不會是「你 RBAC 怎麼做的」,而是「**這對得上我們要遵的哪一條**」。對得上,框架的說服力就從「工程師畫的圖、聽起來有道理」,升級成「對得上稽核要求的圖」。\n\n## ① 資料分級:先知道你在保護什麼\n\n治理的起點不是技術,是**盤點**。哪些資料是公開的、內部的、機密的、個資 / 受法規保護的(個資法、營業秘密、客戶合約)?\n\n沒有分級,後面的權限控制就沒有依據——你不知道哪些資料「碰了會出事」。這一步常常要跟法遵、資安一起做,是治理裡最不技術、卻最不能跳過的一步。分級的結果,會變成第 5 篇那些 chunk 上的權限 metadata 的來源。\n\n## ② 身分與權限邊界:RBAC / ABAC\n\n把「誰、能透過 agent、碰到哪些資料和工具」明確定義出來。這是第 5 篇(資料檢索)和第 6 篇(工具動作)的權限,在治理層的統一視角。\n\n- **RBAC(角色為本)**:依角色給權限。工程師能查工單、不能查薪資;主管多一些;HR 又不同。\n- **ABAC(屬性為本)**:更細,依屬性動態判斷(部門 + 機密等級 + 地區)。複雜場景用得上。\n\n核心原則是**最小權限**:agent 代表某使用者行動時,只該有那個使用者該有的權限,**一分不多**。最該避免的反模式,就是第 2 篇警告過的——agent 用一個服務帳號的最大權限在跑,把自己變成權限放大器。\n\n## ③ Tool Registry:能做的事,要有一份清單\n\n第 6 篇講過,MCP / tool registry 把「agent 能做哪些動作」變成一份可盤點的清單。在治理層,這份清單要再標註:\n\n- 每個工具的 **action boundary**(唯讀 / 寫入 / 危險)\n- 需不需要 **approval**\n- 哪些角色能用哪些工具\n\n當資安問「你們的 agent 到底能對哪些系統做哪些事」,你掏得出這份清單——這就是治理的可稽核性。**沒有 registry,你連自己的 agent 能做什麼都說不清楚**,更別說讓資安放行。\n\n## ④ Human-in-the-loop:高風險動作的剎車\n\n第 6 篇講過 approval flow 的機制,治理層要決定的是**政策**:哪些動作非要人類確認不可?\n\n通常的分界:**會造成重大、不可逆副作用的**——大量資料異動、對外溝通、金流、改動生產設定——都該有 HITL 關卡。低風險唯讀的放行。這份「哪些要剎車」的清單,是治理的核心決策之一,要跟業務一起定,因為它直接影響效率和風險的平衡。\n\n但 HITL 最常見的失效,不是沒放關卡,是**放了卻變成橡皮圖章**——當待核可的動作又多、又通常是對的,人會很快養成「一律點同意」的習慣,關卡還在、監督已經沒了。這正是 EU AI Act Art.14 想堵的洞:它要的是**有意義的、能真正介入的人類監督**,不是流程上多一個 approval 按鈕。對 agent 還有個額外的坑:當待核可項是模型生成的一段自然語言,審核者很難在幾秒內判斷它的副作用範圍。所以 HITL 的設計品質,取決於「**呈現給人類的資訊,夠不夠讓他做出有意義的判斷**」——這動作會改到哪些資料、影響多大、為什麼 agent 這樣選——而不只是「有沒有放一個確認關卡」。\n\n## ⑤–⑧ 監督層:信任不是一次性的,是持續的\n\n前面四項是「事前控制」,但治理的另一半是**持續監督**——因為信任會隨時間、隨模型更新、隨資料變化而流失。這四項都在前面章節建好了,治理層把它們組織起來:\n\n- **⑤ Audit Log**:誰、何時、透過 agent、存取了什麼、做了什麼動作。合規與事故調查的底線,出事時這是你唯一能還原真相的東西。兩個常被漏掉的細節:(1) **要留多久?** EU AI Act Art.12 已把高風險系統的「自動事件記錄」從最佳實踐升級成法定義務,Art.19 對 deployer 給的下限是至少保存六個月——audit log 不只要有,還要回答得出保存期限。(2) **對 agent,光記「呼叫了哪個工具」遠遠不夠**,要連 prompt、檢索到的 chunk、工具的輸入輸出一起留,否則事故調查時最關鍵的中間決策過程是一片空白。這份資料跟第 9 篇 observability 的 trace 其實是同一份東西的兩種用途。\n- **⑥ Eval Harness(第 9 篇)**:品質有沒有偷偷掉?模型被供應商更新後行為有沒有漂移?這套持續監督的精神對應 NIST AI RMF 的 MEASURE / MANAGE;NIST 2024 年的 Generative AI Profile(NIST-AI-600-1)甚至把 **confabulation(也就是幻覺)獨立列為一個風險類別**,對 12 個 GenAI 風險領域給了 200+ 條建議行動,可以直接拿來當 eval 與監控清單的起點——它點名的第一個風險,正好就是這系列開頭的「鴻溝一:正確性沒有底線」。\n- **⑦ Observability(第 9 篇)**:每個決策可追、可重播,出包查得到根因。\n- **⑧ Cost Monitor(第 9、10 篇)**:花費透明、異常可告警。\n\n這四項合起來回答的是:**「我們有沒有在持續確認這套系統仍然值得信任?」** 一個只做事前控制、卻沒有持續監督的 agent,就像一個通過了上線審查、之後就再也沒人看的系統——遲早出事。\n\n## 怎麼落地:別想一次到位\n\n這張框架完整,但不代表你要一次全做完。務實的導入順序:\n\n1. **先做 ①②**(分級 + 權限邊界):沒有這個,任何接觸真實資料的 agent 都不該上線。這是入場券。\n2. **再做 ③⑤**(registry + audit):讓「能做什麼」和「做過什麼」可盤點、可追。\n3. **接著 ④**(HITL):把最高風險的動作先用人類關卡保護起來。\n4. **持續強化 ⑥⑦⑧**:監督層隨系統成熟逐步加深。\n\n還有一個外部理由,讓「現在就做」比「等等再說」划算:**法規時鐘已經在跑。** 但這裡有個 2026 必須講對的眉角——EU AI Act 是分階段生效的:禁止性實務與 AI 素養義務已自 2025-02 適用、GPAI 義務自 2025-08 適用,這幾條都已生效。而大家最在意的**高風險義務,原訂 2026 年 8 月起,在 2025 年底的 Digital Omnibus 提案後被往後推**(討論中的新時程落在 2027–2028,截至本文撰稿仍待正式定案)。所以如果你還在網路上看到「2026 年 8 月高風險義務全面適用」,那是舊懶人包、已經過期了。給你的訊息很單純:**日期會動,但別賭它會無限延。** 分級、RBAC、audit、HITL 這套底層工程量大、牽涉法遵與業務,不是兩週能補完的——日期往後挪,剛好是讓你「提早做、做扎實」的窗口。\n\n依風險排序:**越是接觸機密資料、越是能造成不可逆動作的 agent,治理就要越完整**;一個只查公開 FAQ 的內部小工具,不需要這整套。治理的強度應該對應風險的高度,這本身也是一種工程判斷。\n\n## 小結\n\nAgent 治理不是上線後補的文件,是讓企業**敢**把 agent 接到真實業務上的前提。它把散落的機制收成一張圖:\n\n- **控制誰能碰什麼**:資料分級 + RBAC/ABAC 最小權限。\n- **控制能做什麼**:tool registry + 高風險動作的 HITL。\n- **持續監督**:audit log + eval + observability + cost。\n\n而它的精神,其實跟整個系列一致:**承認系統會錯、會被濫用、會隨時間退化,然後為這些事先設好防線**。能畫出這張圖、並依風險決定導入深淺的人,才是企業真正想要的「能把 AI agent 落地」的那個人。\n\n最後一篇,我們從系統回到人:當你要**帶一支 3–8 人的 AI 工程小隊**,把上面這整套東西做出來、維護下去,該怎麼帶。\n\n\n## 文章簡報\n\n可靠性、延遲、成本互相拉扯的鐵三角:靠近任一角,另外兩角就被犧牲——三者無法同時拉到極致。
\n\n- 想**可靠** → 加 retry、加 fallback、用更強的模型 → 變慢、變貴。\n- 想**便宜** → 用小模型、少檢索、少 reasoning → 品質和可靠性下降。\n- 想**快** → 砍 reasoning、激進 cache、少檢索 → 可能犧牲正確性。\n\n你不可能三個都要到極致。Production 工程的價值,就是在這個三角上做出**有意識的取捨**,而不是預設「全都要最好」然後被帳單和延遲教訓。\n\n這也是我一直強調 LLM app 還是 distributed system 的原因——下面這些手段,做過後端的人會覺得無比熟悉。\n\n## 延遲:先區分「真延遲」和「感知延遲」\n\nLLM 天生慢,一個複雜回答跑好幾秒是常態。但使用者體感的「慢」,跟實際耗時是兩回事。\n\n**1. Streaming(串流)幾乎免費降感知延遲。**\n別等整個答案生成完才一次吐出來,邊生成邊吐字。實際總耗時沒變,但使用者「立刻看到東西在動」,體感快非常多。這是 CP 值最高的一招,幾乎沒有不做的理由。用工程語言講,streaming 壓的是 **TTFT(Time To First Token,首 token 延遲)**——聊天場景只要 TTFT 低於 1 秒,使用者就覺得「即時」;串流開始後順不順,則看 **TBT(token 之間的間隔)**。人對「按下送出到看到第一個字」的等待,遠比「字與字之間的間隔」敏感,所以該進你第 9 篇 dashboard、該設 SLO 的,是 TTFT,不是籠統的「總回應時間」。\n\n**2. 把能平行的就別串行。**\n如果一個任務要檢索三個不同來源,讓它們**同時跑**,而不是一個等一個。Agent runtime(第 2 篇)要支援這種平行。這是基本的並行思維,跟你優化任何後端流程一樣。\n\n**3. 用小模型處理快路徑。**\n不是每一步都要動用最強最慢的模型(下面 model routing 細談)。意圖分類、簡單抽取用快的小模型,把慢的大模型留給真正需要的那一步。\n\n## 可靠性:為「外部依賴一定會出包」設計\n\n你的 agent 依賴外部 LLM API,而那是一個**會逾時、會限流、會偶爾回垃圾、偶爾掛掉**的依賴。把它當成「一定會出包的外部服務」來設計,這又是後端的老功課:\n\n- **Timeout**:每次模型呼叫設合理逾時,別讓使用者無限等。\n- **Retry with backoff**:暫時性錯誤(限流、逾時)重試,但要退避、要設上限,別把對方打更慘、也別自己燒爆 token。\n- **Circuit breaker**:某個模型 / 供應商持續出錯,先「跳閘」停止打它,走 fallback,給它時間恢復。\n- **Fallback model**:主模型掛了或回垃圾,自動切備援(另一家供應商、或本地模型)。這也降低單一供應商的依賴風險。\n- **降級(graceful degradation)**:真的都不行時,老實回「現在無法處理,請稍後或轉人工」,而不是給一個爛答案。呼應第 1 篇的鴻溝六。\n\n注意這裡的張力:每加一層可靠性(retry、fallback),通常就**多一點延遲、多一點成本**。所以要分場景——關鍵動作值得多付,邊緣功能不必。\n\n關於 fallback 還有個坑要先講:跨供應商 fallback 沒有「一鍵切換、行為一致」那麼無痛。同一段 prompt 在 GPT、Claude、Gemini 上的輸出風格、JSON 遵循度、refusal 行為都不一樣;tool calling 的 schema 各家也不同;更別說等下要講的 prompt caching 是供應商綁定的——切到備援那一刻,前面省的快取全部失效,延遲跟成本反而往上跳。實務上只有兩條路:為主 / 備各自維護一套 prompt 與 parser,或把備援路徑當成「可接受的降級」來設計。別假設換家供應商,行為會一樣。\n\n## 成本:LLM 系統獨有的「浮動帳單」\n\n傳統服務成本相對固定(機器開著就那樣)。LLM 系統的成本是**按 token 浮動**的,而且會悄悄長大。第 9 篇我們已經把成本監控起來了,這篇講怎麼壓。\n\n**1. Model routing:小模型優先,必要才升級。**\n這是最大的省錢槓桿。把「要用哪個模型」抽成一層(第 2 篇的 Model Router),依任務難度路由:\n\n- 分類、抽取、格式轉換、簡單問答 → **便宜小模型**\n- 複雜推理、需要高品質的最終生成 → **大模型**\n\n光是把「不需要大模型的步驟」改用小模型,常常就能砍掉一大塊成本,而品質幾乎無感。\n\n有多大?拿 RouteLLM(UC Berkeley / Anyscale / Canva,ICLR 2025)的公開 benchmark 當參考:在偏對話的 MT-Bench 上,它能維持約 95% GPT-4 品質、成本卻砍掉約 85%。但別把這 85% 當保證值——同一個 router 換到偏推理的 benchmark,省幅就掉很多(MMLU 只省約 45%)。所以 routing 的省幅,本質上等於你流量裡「不需要大模型的那一塊」有多大:先量你自己的流量分布,再決定能省多少,別套別人的數字。\n\n**2. Cache:能不重算就不重算。**\n- **結果快取**:這裡其實藏了兩種完全不同難度的東西。**Exact cache**(把 query 正規化後當 key,同樣的問題回同樣的答案)幾乎零風險、該最先做;**semantic cache**(用 embedding 相似度命中「相似」問題)能多抓改寫過的重複,但有 false-positive 風險——兩個在向量空間很近的問題可能需要完全不同的答案,而且對的命中跟錯的命中相似度高度重疊,沒有通用安全閾值,閾值要訂多嚴取決於「答錯的代價」。生產數據也顯示 semantic cache 相對 exact 往往只多 5~8 個百分點命中率,未必抵得過它的複雜度與答錯風險。高風險場景就乖乖用 exact。(兩種都要注意時效和權限,別把 A 使用者的答案快取給 B。)\n- **Embedding 快取**:同一段文字別重複 embedding。\n- **Prompt 快取**:把穩定的內容(system prompt、few-shot 範例、長 context)放最前面、把每次都變的部分放最後,讓固定前綴可以被快取重用。但 2026 三家機制不一樣,這差異直接決定你有沒有真的省到:OpenAI、Gemini 是**自動命中**(前綴 ≥ 1,024 token 重複就生效,讀取省 50~90%、寫入不收費);Anthropic 是**顯式 opt-in**,你得在 request 裡標 `cache_control` 斷點,cache read 只要基礎 input 價的約 0.1 倍(省 ~90%),但 cache write 要付約 1.25 倍溢價、預設 5 分鐘 TTL——換句話說 Claude 的快取要**至少命中一次才回本**。用 Claude 卻忘了標 `cache_control`=你以為在省錢、其實一毛沒省,這是這招最常見的踩雷。\n\n**3. 管好 context 長度。**\nToken 成本跟 context 長度直接相關。第 7 篇講的記憶截斷 / 摘要、第 3 篇講的別塞太多 chunk,到這裡全都變成「省錢」的具體手段。**把不必要的東西塞進 context,是最常見的浪費。**\n\n**4. 設預算護欄。**\n單一請求、單一使用者、單一 multi-agent 任務(第 8 篇的成本爆炸風險)都要有 token / 花費上限。撞到上限就停下來或降級,別讓一個失控迴圈燒出一張嚇人的帳單。\n\n我做過 K8s 叢集那類的雲端成本優化,心法在這裡完全通用:**先讓成本可見(第 9 篇),找出最大的那塊,用最小的品質代價把它砍掉**。差別只是這次砍的不是 CPU/記憶體,是 token。\n\n## 把三角畫出來:依場景做取捨\n\n最後給一個務實的框架。不同功能在三角上的位置不該一樣:\n\n| 場景 | 優先 | 取捨 |\n|---|---|---|\n| 即時對話助理 | 延遲 | streaming、小模型快路徑、適度 cache,容忍偶爾要重問 |\n| 高風險決策 / 報告 | 可靠 + 正確 | 大模型、多檢索、critic 審查、HITL,接受慢和貴 |\n| 大量批次處理 | 成本 | 小模型、激進 cache、可離線慢慢跑,犧牲即時性 |\n| 內部低頻工具 | 成本 + 簡單 | 別過度工程,能跑就好 |\n\n關鍵不是背這張表,是養成一個習慣:**每設計一個 agent 功能,先問它在這三角的哪個角,然後刻意往那邊取捨**——而不是無意識地全都要最好,最後三個都普普、帳單還很貴。\n\n## 小結\n\n- 延遲、可靠性、成本是會互相打架的鐵三角,**不可能三個都極致**。\n- **延遲**:streaming 降感知延遲、平行化、小模型走快路徑。\n- **可靠性**:把 LLM API 當「一定會出包的外部依賴」——timeout、retry、circuit breaker、fallback、降級。\n- **成本**:model routing 是最大槓桿,加上 cache、管好 context、設預算護欄。\n- 每個功能依它在三角的位置**刻意取捨**,這份判斷力就是 production 系統工程師的核心價值。\n\n這些手段你會發現沒一個是 AI 玄學,全是分散式系統的硬功夫換了對象。下一篇,我們把第 5、6、9 篇散落的安全與信任機制,收斂成一套完整的**Agent 治理框架**——讓企業敢把這套系統接到真實業務上。\n\n\n## 文章簡報\n\n把一個 agent 請求拆成檢索、工具、模型、生成幾個可量測的 span——打開黑盒,每一步的耗時與花費都看得見。
\n\n有了這個,你 debug 的方式就從「再問一次看看」變成「攤開 trace,看是哪一個 span 出錯」。是檢索撈錯?工具回傳怪資料?還是模型拿到對的東西卻推理歪了?**根因一眼可見**。\n\n這套東西,做後端的人應該很熟——它就是 distributed tracing 套到 agent 上。我寫過用 tracing 去抓 PHP-FPM 記憶體洩漏、談過 fire-and-forget 服務的可觀測性陷阱,那套「每一步都要留下可追的足跡」的肌肉記憶,搬到 agent 上完全適用。差別只在 span 的內容從「DB query、HTTP call」變成「retrieval、tool call、model call」。**這正是後端工程師做 AI agent 的優勢**:可觀測性對你不是新觀念,只是新對象。\n\n而且這件事在 2024 後已經不只是「概念上像」了——它有了正式的開放標準。OpenTelemetry 的 GenAI SIG 從 2024 年起在制定 **GenAI Semantic Conventions**(CNCF 旗下),直接把「LLM / agent 的 span 該長什麼樣」標準化:模型呼叫叫 `chat` / `inference`、工具呼叫叫 `execute_tool`、agent 層級叫 `invoke_agent`,屬性有 `gen_ai.request.model`、`gen_ai.usage.input_tokens`、`gen_ai.tool.name` 這些。意思是上面那張 trace 圖不是各家自己亂畫的,而是一套有共識的 schema。一個誠實的提醒:截至 2026 它仍是 **experimental 狀態**,屬性名還可能變,採用時要留意版本相容。\n\n## 成本與 Token 監控:因為它會悄悄燒錢\n\nLLM 系統有個傳統服務沒有的特性:**每一次呼叫的成本是浮動的**,取決於 token 量。一個沒人注意的功能,可能因為 context 越塞越大、或一個 multi-agent 迴圈(第 8 篇)失控,悄悄把帳單翻倍。\n\n所以要把「成本」當成一級 metric 來監控:\n\n- 每個**功能 / endpoint** 平均花多少 token、多少錢?\n- 每個**使用者 / 租戶**燒多少?(抓異常、做計費)\n- 有沒有哪個 trace **異常昂貴**(爆 token)?要能告警。\n\n這直接餵給第 10 篇的成本權衡——你不先把成本看見,就無從優化。\n\n## 上線後:偵測「品質漂移」\n\n最後一層,是上線後的持續監控。你的黃金題庫是固定的,但真實世界的問題會變、資料會變、模型會被 vendor 偷偷更新。所以要盯著**線上的健康訊號**:\n\n- **代理指標**:使用者重問率、轉人工率、負評率、「這個答案沒幫助」的比例——這些不需要標準答案,就能反映品質掉了。\n- **定期回歸**:固定排程重跑黃金題庫,模型供應商一更新就可能漂移,你要第一個知道,而不是等客訴。\n- **抽樣人工複查**:定期抽真實對話人工看,補進黃金題庫。\n\n## 工具地景(會變,但方向很清楚)\n\n你可能會問:實際上用什麼做?我刻意不把這篇綁死在某個工具上(它們明天就可能改名),但給你一個 2026 的版圖方便開始搜:開源自架有 Langfuse、Arize Phoenix、Opik;商業 SaaS 有 LangSmith、Braintrust;既有 APM 則有 Datadog、New Relic 的 LLM Observability。但比「選哪個」更重要的是一個正在發生的收斂——這些工具都在往 **OpenTelemetry GenAI conventions** 靠。所以選型第一個該問的不是「dashboard 漂不漂亮」,而是「它能不能吐標準的 OTel span」——能,你換工具時 trace 還搬得走,不會被單一廠商鎖死。\n\n## 小結\n\n把 agent 從 demo 變成可信任的 production 系統,這篇是關鍵的一道工序:\n\n1. **Eval harness**:黃金題庫 + 混合評分(規則 / 語意 / LLM-as-judge),每次改動都跑回歸,出包的 case 一定補進去。\n2. **Tracing**:把每一步(檢索 / 工具 / 模型)變成可攤開的 span,debug 從許願變成看圖。\n3. **成本監控**:把 token 與花費當一級 metric,別讓它悄悄燒。\n4. **漂移偵測**:用線上代理指標 + 定期回歸,在客訴之前發現品質掉了。\n\n這四件事沒有一件是 AI 獨有的玄學——它們就是把後端的測試與可觀測性硬功夫,搬到一個會講人話的元件上。下一篇我們把這些 metric 派上用場,正面處理那個一直在背景的三角習題:**延遲、可靠性、成本,怎麼權衡**。\n\n\n## 文章簡報\n\n