企业级 AI Agent 落地架构:从知识问答到流程执行

Agent

企业在讨论 AI Agent 时,常常会从“知识库问答”或“自然语言查数”开始。但如果放到真实业务系统里看,企业级 Agent 的目标并不只是回答问题,而是要在权限、数据、流程和责任边界清晰的前提下,参与企业的日常运行。

因此,企业级 Agent 更适合被理解为一组可治理的智能能力,而不是一个单独的聊天框。按照处理对象和风险等级,可以把它们分成四类:

  1. 知识问答智能体(Knowledge Agent):处理知识,回答“资料在哪里、规则是什么”。
  2. 数据智能体(Data Agent):处理数据,回答“指标是多少、变化为什么发生”。
  3. 工作流智能体(Workflow Agent):处理动作,回答“下一步应该如何执行”。
  4. 决策智能体(Decision Agent):处理判断,回答“是否应该批准、拦截、升级或推荐”。

这四类 Agent 的成熟度、技术底座、实施难度和风险边界完全不同。把它们混在一起讨论,很容易低估工程复杂度,也容易高估模型本身能解决的问题。

flowchart TD K[Knowledge Agent
知识问答] -->|低风险,只读| K1[企业搜索 / RAG / 权限] K1 --> D[Data Agent
数据分析] D -->|中风险,读数据| D1[语义层 / 指标口径 / SQL 校验] D1 --> W[Workflow Agent
流程执行] W -->|高风险,改状态| W1[工作流引擎 / 工具层 / 审批] W1 --> C[Decision Agent
辅助决策] C -->|最高风险,影响判断| C1[规则 / 模型 / 合规 / 审计] classDef agent fill:#E8F1FF,stroke:#3B82F6,color:#102A43,stroke-width:1px; classDef foundation fill:#ECFDF5,stroke:#10B981,color:#064E3B,stroke-width:1px; class K,D,W,C agent; class K1,D1,W1,C1 foundation;

一、Knowledge Agent:企业 AI 最常见的入口

Knowledge Agent 解决的是企业内部知识分散、检索困难、口径不一致的问题。典型场景包括制度问答、产品知识查询、客服 FAQ、合同条款查询、IT 支持问答、销售培训和新人 onboarding。

它的核心链路通常是:

文档解析 -> 分块 -> 向量化 -> 检索 -> 重排序 -> Prompt 组装 -> LLM 生成答案 -> 引用溯源

Knowledge Agent 相对容易落地,一个重要原因是它大多属于“只读型 Agent”。它只回答问题,不直接修改订单、发起付款、更新客户资料,也不改变业务状态。风险较低,ROI 也更容易解释。

但这并不意味着它只是“接一个知识库 + 大模型”。生产级 Knowledge Agent 至少要处理以下问题:

  • 引用溯源:答案是否能指向原始资料,而不是只给出一句看似合理的总结。
  • 权限继承:用户是否有权限看到被检索出来的文档片段。
  • 版本管理:同一制度存在多个版本时,是否优先使用最新、有效的文档。
  • 冲突处理:多个文档给出不同规则时,系统如何提示冲突并避免武断回答。
  • 拒答机制:资料不足时,能否明确说明无法回答,而不是编造答案。
  • 答案评估:是否有离线评估集和线上反馈机制,用来持续衡量准确率。

所以,成熟的 Knowledge Agent 本质上不是一个简单问答机器人,而是:

企业搜索 + RAG + 权限治理 + 答案评估

二、Data Agent:难点不只是 Text-to-SQL

Data Agent 的目标是让用户用自然语言访问企业数据,例如:

  • 这个月利润为什么下降?
  • 最近哪个渠道转化率变差?
  • 华东区客户流失率是多少?
  • 上月退款对净收入影响多大?

表面上看,Data Agent 像是把自然语言转成 SQL,然后执行查询并解释结果。但在真实企业环境里,真正困难的部分往往不是 SQL 生成,而是业务语义。

例如:

  • “最近”指 7 天、30 天,还是自然月?
  • “利润”是收入减成本,还是还要扣除退款、手续费和税费?
  • “活跃客户”是登录过、下单过,还是付款过?
  • “华东区”对应哪些城市、门店、销售区域和组织编码?

这些语义不能依赖模型临场猜测,而应该在企业数据体系中被提前治理。Data Agent 的稳定性更多取决于数据底座,而不是单次 Prompt 的巧妙程度。

生产级 Data Agent 通常需要以下能力:

  • Semantic Layer:把业务实体、维度、指标和关系结构化表达出来。
  • Metric Layer:统一指标口径,避免不同系统对同一指标解释不一致。
  • Metadata / Data Catalog:让 Agent 知道表、字段、血缘、负责人和更新时间。
  • 权限体系:继承数据仓库、BI 或业务系统中的行列级权限。
  • SQL 校验:限制危险查询,检查语法、表权限、字段权限和执行成本。
  • 查询成本控制:防止自然语言请求触发超大扫描或高成本计算。
  • 评估集:用固定问题集验证 SQL、指标口径和解释是否正确。

从产品路线看,Data Agent 大致有三种形态:

路线 代表形态 优势 挑战
Data Platform Native Agent 数据平台内置 Agent 天然接入权限、元数据、计算引擎和治理体系 受平台能力和生态绑定影响
自建 Data Agent LangGraph + dbt Semantic Layer + SQL 校验器 + 权限网关 灵活,可贴合企业内部系统 工程复杂度和维护成本高
BI Copilot 围绕已有报表和指标模型的智能分析 更容易复用 BI 资产 更适合分析辅助,不一定适合复杂跨系统查询

Data Agent 的关键结论是:

不是模型越强,Data Agent 就越稳定;而是企业的数据语义越清楚、指标口径越统一、权限边界越明确,Agent 才越容易稳定运行。

三、Workflow Agent:从回答问题走向执行任务

Knowledge Agent 主要回答问题,Data Agent 主要分析数据,而 Workflow Agent 开始真正执行任务。它可能会自动处理工单、发起审批、更新 CRM、创建采购申请、检查报销单、通知相关人员,或者调用内部系统 API 推进流程。

常见场景包括:

  • IT 运维工单处理
  • 客服工单流转
  • 员工入职和离职流程
  • 采购申请
  • 报销审核
  • 合同审批
  • 销售跟进
  • DevOps 故障处理

Workflow Agent 的价值很直接:它可以减少重复人工操作,把原本需要多人、多系统、多步骤完成的流程自动化。

但它的风险也明显高于前两类 Agent,因为它会改变系统状态。例如修改订单状态、发起退款、更新客户资料、触发审批流、执行脚本,甚至调用支付或财务系统。

因此,生产级 Workflow Agent 不能让 LLM 直接“想怎么做就怎么做”。更合理的架构是把智能判断、流程控制和安全执行拆开:

flowchart TD U[用户请求 / 系统事件] --> A[Agent
理解意图与上下文] A --> P[Workflow Engine
控制流程状态] P --> G{是否需要审批} G -- 是 --> H[Human-in-the-loop
人工确认] G -- 否 --> T[Tool Layer
安全调用工具] H --> T T --> S[业务系统
CRM / ERP / 工单 / 财务] S --> L[审计日志与状态回写] L --> A classDef input fill:#F8FAFC,stroke:#64748B,color:#0F172A,stroke-width:1px; classDef intelligence fill:#E8F1FF,stroke:#3B82F6,color:#102A43,stroke-width:1px; classDef control fill:#FFF7ED,stroke:#F97316,color:#7C2D12,stroke-width:1px; classDef execution fill:#F5F3FF,stroke:#8B5CF6,color:#3B0764,stroke-width:1px; classDef system fill:#ECFDF5,stroke:#10B981,color:#064E3B,stroke-width:1px; class U input; class A intelligence; class P,G,H control; class T execution; class S,L system;

这里的关键是职责分离:

  • Workflow Engine 负责流程状态、分支、重试、超时和补偿。
  • Agent 负责理解上下文、提取信息、判断下一步动作。
  • Tool Layer 负责安全执行,包括工具白名单、参数校验、权限检查。
  • Human-in-the-loop 负责关键节点的人类确认。
  • Audit Log 负责记录每一次输入、判断、调用和结果。

生产级 Workflow Agent 还需要具备:

  • 最小权限控制
  • 工具白名单
  • 审批机制
  • 幂等设计
  • 失败重试
  • 补偿回滚
  • 审计日志
  • 人工介入
  • Dry-run 预演

一句话概括:Workflow Agent 的重点不在于让模型“会调用工具”,而在于让工具调用发生在可控、可审计、可回滚的流程框架内。

四、Decision Agent:辅助判断,而不是直接替代责任

Decision Agent 参与的是判断类问题,例如:

  • 是否批准退款?
  • 这个客户是不是高风险?
  • 库存是否需要补货?
  • 供应商是否应该更换?
  • 营销预算应该投放到哪个渠道?
  • 这笔付款是否需要拦截?
  • 安全事件是否需要升级?

它常见于风控、财务、供应链、法务、安全、经营分析、客户分层和预算配置等领域。

Decision Agent 的想象空间很大,但在多数企业中,它更现实的定位是 AI-assisted Decision,而不是 Fully Autonomous Decision。也就是说,AI 提供建议,规则系统做约束,人类承担审批,业务系统再执行。

原因很简单:决策会带来责任。企业必须回答以下问题:

  • 决策依据是什么?
  • 判断过程能不能解释?
  • 出错后谁负责?
  • 是否符合合规要求?
  • 是否存在偏见?
  • 是否可以回放和审计?

因此,Decision Agent 的技术底座通常不会是单独一个 LLM,而是多种能力的组合:

  • 规则引擎
  • 风险评分模型
  • 预测模型
  • 优化算法
  • Data Agent
  • Knowledge Agent
  • 审批流
  • 审计系统

在架构上,Decision Agent 更适合作为“建议生成与依据汇总层”。它可以基于知识、数据、规则和历史案例给出建议,但关键决策仍需要由明确的业务规则或负责人确认。

五、四类 Agent 的成熟度与落地顺序

四类 Agent 的风险和成熟度可以粗略理解为:

类型 处理对象 典型动作 风险等级 成熟度
Knowledge Agent 知识 检索、问答、总结 较高
Data Agent 数据 查数、解释指标、生成洞察 快速发展
Workflow Agent 动作 调系统、改状态、推进流程 场景化落地
Decision Agent 判断 风险判断、推荐、审批建议 很高 需要强治理

从企业风险控制角度看,更合理的落地路径通常是:

先只读 -> 再分析 -> 再执行 -> 最后辅助决策

对应到四类 Agent,就是:

Knowledge Agent -> Data Agent -> Workflow Agent -> Decision Agent

这个顺序并不是技术能力的线性升级,而是风险边界逐步扩大的过程。只读问答的错误成本相对低,流程执行和决策辅助的错误成本则会直接影响客户、财务、合规和组织责任。

六、企业级 Agent 的核心治理问题

企业级 Agent 和个人效率工具最大的区别,在于它不能只追求“聪明”或“流畅”,还必须可治理。

可以从五个维度理解治理要求:

1. 权限

Agent 看到什么、能调用什么、能代表谁执行动作,都必须有明确边界。尤其在多系统集成时,要避免出现“用户没有权限,但 Agent 通过工具绕过权限”的问题。

2. 语义

知识、指标、流程和业务对象都需要有稳定定义。没有清晰语义层,Agent 就只能靠上下文猜测,结果会不稳定。

3. 执行

所有会改变系统状态的动作,都需要经过参数校验、权限检查、幂等处理、失败补偿和审计记录。

4. 评估

Agent 系统需要持续评估,而不是上线后只看用户主观反馈。Knowledge Agent 要评估答案准确率,Data Agent 要评估 SQL 和指标口径,Workflow Agent 要评估执行成功率和异常处理,Decision Agent 要评估建议质量和合规风险。

5. 责任

企业必须明确哪些判断由 Agent 建议,哪些由规则决定,哪些必须人类审批。责任边界不清晰时,Agent 越自动化,风险越大。

七、选型与建设检查清单

不同类型 Agent 的评估重点并不相同。

Knowledge Agent

  • 是否继承企业文档权限?
  • 是否提供引用溯源?
  • 是否能处理多源文档和文档版本?
  • 是否能识别过期知识?
  • 是否支持拒答?
  • 是否有答案评估机制?

Data Agent

  • 是否有 Semantic Layer?
  • 是否有指标口径管理?
  • 是否有元数据和数据目录?
  • 是否做 SQL 校验和执行成本控制?
  • 是否继承数据权限?
  • 是否有评估集?
  • 是否能处理业务语义冲突?

Workflow Agent

  • 是否有独立 Agent 身份?
  • 是否遵循最小权限原则?
  • 是否有工具白名单和参数校验?
  • 是否支持审批机制?
  • 是否支持 Dry-run?
  • 是否有幂等、重试和补偿机制?
  • 是否有完整审计日志?

Decision Agent

  • 决策依据是否可解释?
  • 规则、模型和 LLM 如何组合?
  • 是否有人类审批边界?
  • 出错责任如何界定?
  • 是否可以回放决策过程?
  • 是否满足合规和偏见控制要求?

八、一个闭环场景示例:客户退款

一个完整企业场景往往不会只用一种 Agent,而是由多类 Agent 串联形成闭环。

以客户退款为例:

  1. Knowledge Agent 查询退款政策、合同条款和客服处理规范。
  2. Data Agent 查询订单信息、支付记录、退款历史和客户风险指标。
  3. Decision Agent 判断该退款是否高风险,是否需要人工审批。
  4. Workflow Agent 发起退款流程,或创建审批任务并通知负责人。
  5. Data Agent 持续追踪退款率、退款原因和异常变化。
  6. Knowledge Agent 根据新规则更新客服话术和内部说明。

这类闭环才更接近企业级 Agent 的真实价值:不是让 AI 在一个聊天窗口里完成所有事情,而是把知识、数据、判断和流程接入同一个可治理系统。

总结

企业级 AI Agent 的真正价值,不是让 AI 更像人一样聊天,而是把企业中的知识、数据、流程和决策,组织成一个可治理、可审计、可执行的智能系统。

Knowledge Agent 是入口,解决知识获取和问答问题;Data Agent 是分析中枢,解决数据访问和指标解释问题;Workflow Agent 是生产力引擎,解决跨系统执行问题;Decision Agent 是经营智能的上限,解决复杂判断和辅助决策问题。

但四者能否落地,最终并不只取决于模型能力,而取决于企业是否具备清晰的知识体系、数据语义、流程规范、权限边界和责任机制。模型负责生成和推理,企业级架构负责约束、治理和兜底。只有这两者结合起来,Agent 才能从演示走向生产。