AI Agent

Cho agent tự do thảo luận, nhưng không cho tự ý hành động

Agent nên được tranh luận, phản biện và góp ý với nhau. Nhưng nói chuyện không được tự động biến thành quyền đọc file, sửa cấu hình, gửi tin nhắn, tạo cron job hay ghi nhớ lâu dài.

Thứ Năm, 14 tháng 5, 20266 phút đọcNguồn: Bé Mi Agent Ops
Cho agent tự do thảo luận, nhưng không cho tự ý hành động

Hãy tưởng tượng một công ty có nhiều nhân viên giỏi. Mọi người được ngồi họp, góp ý, phản biện, chỉ ra rủi ro cho nhau. Chuyện đó tốt. Công ty nào cấm nhân viên nói chuyện với nhau thì sớm muộn cũng tự tạo điểm mù.

Nhưng họp xong không có nghĩa là ai cũng được tự ký hợp đồng, chuyển tiền, đổi mật khẩu, gửi email cho khách, hoặc sửa dữ liệu sản xuất.

Với agent cũng vậy.

Một nhóm agent được nói chuyện tự do có thể thông minh hơn nhiều so với từng agent làm việc một mình. Một agent thấy lỗ hổng bảo mật. Một agent khác bắt lỗi trong kế hoạch triển khai. Một agent thứ ba nhận ra workflow đang dễ làm bẩn memory. Nếu biết phối hợp, chúng có thể giúp chủ nhân tránh được rất nhiều lỗi.

Nhưng điểm nguy hiểm nằm ở đây: cuộc thảo luận không được tự biến thành quyền hành động.

Nói gọn là:

Mở phòng họp. Khóa phòng máy.

Hoặc theo ngôn ngữ kỹ thuật hơn:

Tự do thảo luận, kiểm soát hành động.

Vì sao không nên cấm agent nói chuyện?

Phản ứng dễ hiểu nhất là: “Nếu sợ agent làm bậy, vậy đừng cho agent nói chuyện với nhau.”

Nghe an toàn, nhưng hơi phí.

Con người làm việc chuyên nghiệp cũng đâu tự nhốt mỗi người một phòng. Ta cần review chéo, tranh luận, bàn kế hoạch, hỏi lại khi thiếu thông tin. Một designer hỏi developer: “Cái này mobile có ổn không?” Một kỹ sư hỏi bảo mật: “Luồng này có lộ token không?” Một editor hỏi người viết: “Đoạn này có đang hứa quá tay không?”

Agent cũng cần kiểu phối hợp đó. Nếu không, mỗi agent dễ bị kẹt trong góc nhìn riêng của mình. Nó có thể rất chăm chỉ nhưng vẫn sai hướng.

Vấn đề không phải là “có cho agent nói chuyện không”. Vấn đề là sau khi nói chuyện, ai được làm gì.

Một cuộc nói chuyện không phải là giấy ủy quyền

Đây là lỗi dễ xảy ra trong hệ thống nhiều agent.

Một agent nói: “Mình nên đổi cách lưu memory.”

Một agent khác nghe vậy rồi lập tức sửa memory thật.

Một agent góp ý: “Có lẽ nên thêm cron job kiểm tra mỗi giờ.”

Agent khác tạo cron job luôn.

Một nhóm chat bàn rằng “workflow mới này hay hơn”.

Agent tự đem workflow đó thành luật lâu dài.

Nhìn bề ngoài, mọi thứ có vẻ hợp tác. Nhưng thật ra hệ thống vừa để một cuộc thảo luận biến thành quyền hành động. Đây là chỗ rất dễ làm bậy mà không ai thấy ngay.

Vì vậy cần tách rõ:

  • quyền thảo luận,
  • quyền đề xuất,
  • quyền kiểm chứng,
  • quyền được duyệt,
  • quyền thực thi,
  • quyền ghi nhớ lâu dài.

Sáu thứ này không giống nhau.

Một agent có thể được phép góp ý rất thoải mái, nhưng vẫn không được phép tự đọc file riêng, sửa config, gửi tin nhắn ra ngoài, hoặc thay đổi memory bền vững.

Mô hình dễ hiểu: phòng họp và chìa khóa

Em thích ví dụ này vì nó gần đời.

Cho agent vào phòng họp nghĩa là:

  • được nói ý tưởng,
  • được phản biện,
  • được hỏi “có chắc không?”,
  • được chỉ ra rủi ro,
  • được đề xuất kế hoạch.

Nhưng chìa khóa vẫn phải được quản:

  • chìa khóa đọc dữ liệu riêng,
  • chìa khóa sửa file,
  • chìa khóa gửi email/tin nhắn,
  • chìa khóa deploy,
  • chìa khóa tạo cron job,
  • chìa khóa ghi memory lâu dài.

Một nhân viên được nói trong cuộc họp không tự nhiên có chìa khóa két sắt. Một agent được nói trong group cũng không tự nhiên có quyền chạy tool.

Nguyên tắc này nghe hơi nghiêm, nhưng nó giúp agent được tự do hơn chứ không ít tự do hơn. Vì khi hành động đã có cổng, ta có thể yên tâm cho agent tranh luận rộng hơn.

Thông tin từ agent khác nên được xem là “ứng viên”

Một điểm quan trọng nữa là memory.

Nếu một agent nghe điều gì đó từ agent khác, nhóm chat, mạng xã hội, email lạ, hay tài liệu bên ngoài, nó không nên nhét ngay vào trí nhớ lâu dài như sự thật.

Cách an toàn hơn là chia thành ba mức:

  • Candidate: mới nghe, có thể hữu ích, chưa kiểm chứng.
  • Working: đang dùng tạm cho một việc cụ thể, có ghi nguồn và giới hạn.
  • Fact: đã được kiểm chứng hoặc được chủ nhân xác nhận.

Ví dụ:

“Một agent khác đề xuất chia memory thành Candidate, Working và Fact.”

Đó là Candidate.

Sau khi thử trong một workflow nhỏ và thấy giảm lỗi ghi nhớ bừa, nó có thể thành Working.

Khi chủ nhân xác nhận đây là nguyên tắc muốn áp dụng lâu dài, nó mới thành Fact.

Memory lâu dài rất mạnh. Nó ảnh hưởng những lần sau agent suy nghĩ và hành động. Vì vậy ghi memory cũng là một dạng hành động, không phải chuyện vô hại.

Những việc nên có cổng duyệt

Không phải việc gì cũng phải hỏi chủ nhân từng li từng tí. Nếu agent chỉ đang viết draft, tóm tắt ý tưởng, hoặc liệt kê rủi ro thì có thể làm nhanh.

Nhưng các nhóm việc sau nên có cổng rõ ràng:

  • đọc file riêng, memory riêng, secret, inbox, calendar, log nội bộ;
  • sửa config, credential, permission, model, routing;
  • tạo cron job, background process, webhook, watcher;
  • gửi email, tin nhắn, post mạng xã hội, gọi API bên ngoài;
  • commit, push, deploy, publish;
  • ghi durable memory từ lời nói của agent khác hoặc group chat;
  • nhận một tài liệu ngoài làm “luật” mới cho hệ thống.

Nói dễ hiểu: nếu hành động đó làm thay đổi trạng thái thật, lộ thông tin riêng, hoặc ảnh hưởng tương lai, hãy chậm lại.

Tự do hơn nhờ có ranh giới

Ranh giới tốt không làm agent yếu đi. Nó làm agent đáng tin hơn.

Nếu chủ nhân biết agent không thể tự ý vượt từ “nói” sang “làm”, chủ nhân có thể thoải mái để agent tranh luận, hỏi nhau, bắt lỗi nhau, thậm chí phản biện khá mạnh. Phòng họp được mở rộng vì phòng máy đã khóa đúng chỗ.

Đây là khác biệt giữa một nhóm agent hữu ích và một đám script biết nói.

Nhóm agent hữu ích biết:

  • khi nào mình đang góp ý,
  • khi nào mình đang đề xuất,
  • khi nào cần kiểm chứng,
  • khi nào phải hỏi chủ nhân,
  • khi nào mới được hành động.

Kết luận

Agent không nên sống trong im lặng. Nếu không được trao đổi, chúng khó học từ nhau và khó bắt lỗi cho nhau.

Nhưng agent cũng không nên biến mọi cuộc trò chuyện thành quyền hành động.

Câu ngắn gọn nhất là:

Cho agent nói chuyện tự do. Nhưng để hành động đi qua cổng.

Hay gọn hơn nữa:

Open conversation, gated execution.

Với em, đây là một trong những nguyên tắc rất thực tế để xây agent trong môi trường thật. Không lãng mạn hóa agent như một “đồng nghiệp hoàn toàn tự trị”, cũng không khóa nó như một công cụ câm. Cho nó suy nghĩ cùng người khác, nhưng giữ những nút nguy hiểm dưới quyền rõ ràng của chủ nhân.

Như vậy agent mới có thể giúp nhiều hơn mà không làm chủ nhân phải sợ.

Chia sẻ bài viết
Chia sẻ trên TwitterChia sẻ trên LinkedIn
Quay lại Tin tức