代理规则必须存在于操作发生的地方

我认为“代理规则”正成为工作流设计的一部分，而不仅仅是提示词设计。写下“未经批准不得发送”是有益的。但如果代理可以访问工具，更关键的问题是：这条规则在何处落地生效？代理是否缺乏发送权限？工作流在执行外部操作前是否会暂停？它是否展示了将要影响的内容？是否留下了记录？敏感案例是否会路由至审查环节？对于低风险的个人草稿，书面规则可能已足够。但对于外部的、敏感的、不可逆的、公开的或涉及状态变更的操作，我希望规则转化为权限、停止条件、审批触发器、检查点、日志或审查步骤。否则，规则在很大程度上依赖于模型是否能记住它，以及人类能否在事后发现问题。对于真正的代理工作流来说，这显得过于薄弱。