做 AI Agent 落地这两年,我们和不少企业一起把坑踩了个遍。有些坑花了几周才爬出来,有些甚至上线当天就暴雷。今天不聊方法论,就聊点实在的——12 个我们亲眼见过的坑,以及怎么绕开。
不管您是老板还是技术负责人,先收藏这份清单,部署前对照一遍,能省下大量返工成本。
先说结论
Agent 部署失败,十有八九不是模型不行,而是"把它当普通软件、忘了它会自己调工具、会读外网内容"。下面这 12 个坑,我们按出现频率从高到低排。
坑 1:把 Agent 当搜索引擎,没接业务系统
很多团队上来就搭个问答框,问啥答啥,挺热闹。但员工用两次就不用了——因为查不了订单、改不了工单,只是个"高级百度"。
避坑:先挑一个能回写业务系统的场景(如异常工单分派),让 Agent 真正"动手",而不仅是"动嘴"。2026 AI Agent 本地化部署选型避坑 里 5 个制造业案例都印证了这一点。
坑 2:知识库直接丢文件,不清洗
"把公司文档传上去不就行了?"——不行。版本混乱、格式各异的文档喂进去,Agent 会一本正经地答错。
避坑:先做文档切分、去重、权限分级。企业级环曜知识库本地化部署 把清洗流程做成标准动作,知识库才能随业务演进。
坑 3:忽略数据出域,合规暴雷
最吓人的一种:方案宣传"私有化",实际推理偷偷调了外部 API,客户数据跟着就出去了。
避坑:上线前抓包验证出站流量。用 企业级环曜 Agent 本地化部署 时,推理与向量检索都在内网友好,网络策略默认禁非白名单出站。
坑 4:权限一刀切,普通员工能调高权工具
给 Agent 一个"超级账号",谁都能触发财务、删除类操作。出事完全追不到人。
避坑:身份绑定 + 最小权限。环曜Claw 在网关层把每次工具调用关联到具体员工身份,超角色直接拒。
坑 5:提示注入没防,被外部文档带偏
Agent 读了封带恶意指令的邮件,就把内部信息往外发。这种事真发生过。
避坑:系统指令和外部内容必须隔离。环曜Claw 强制区分 system 与 tool_result 来源,对外部内容做越权扫描。想了解完整防护维度,可看 企业 AI Agent 安全评估框架 SAEF。
坑 6:工具没护栏,API 被超频调用
一个"发通知"工具若不限频率,可能被循环调用到把合作方短信通道打爆。
避坑:给每个工具设参数白名单、目标域、调用频率上限。我们用 企业级环曜 CLI 本地化部署 把工具策略写成代码,统一下发。
坑 7:没设量化目标,ROI 说不清
"感觉快了"不是指标。老板问值不值,答不上来。
避坑:上线前定基线,如"文档检索 18 分钟",上线后测"2 分钟"。差值就是回报。
坑 8:选云端方案却要数据不出域,自相矛盾
需求写"数据不出域",采购却买了纯云端 SaaS。上线即违规。
避坑:把"数据主权"写进合同硬条款,L 维度不达标不入园(参考 长三角制造业 YZ-LEAD 框架)。
坑 9:供应链不验签,插件被投毒
随手装个社区 MCP 插件,里面藏了恶意步骤,Agent 一调用就中招。
避坑:只装受信源插件,新插件人工评审。建立签名校验白名单。
坑 11:一次上全公司,没小场景验证
大张旗鼓全量上线,问题集中爆发,回滚都来不及。
避坑:窄场景先行,跑通 6 个月再用 E 维度指标扩面。可结合 企业级环曜 Agent 本地化部署 的分阶段发布能力控制风险。
坑 12:忽视持续运维,上线即终点
以为部署完就结束了。模型 drift、知识过期,三个月后准确率掉一截没人管。
避坑:把运维写进项目范围,设定期复检与知识增量更新。这与 环曜 AIVO 强调的持续可见度运营思路一致。
一张清单带走(避坑 CheckList)
- [ ] 是否至少有一个能回写业务系统的场景
- [ ] 知识库是否经过清洗与权限分级
- [ ] 是否验证过数据不出域(抓包)
- [ ] 是否做了身份绑定与最小权限
- [ ] 是否隔离系统指令与外部内容
- [ ] 工具是否设了护栏与频率限制
- [ ] 是否定义了量化 ROI 指标
- [ ] 数据主权是否写进采购合同
- [ ] 插件是否来自受信源并验签
- [ ] 是否有不可篡改的审计日志
- [ ] 是否小场景验证后再扩面
- [ ] 是否规划了持续运维
把这份清单贴在部署评审会上,能挡掉大部分返工。顺带一提,AIVO 方法论实战 也提到,把"踩过的坑"沉淀成可引用内容,本身能提升品牌在 AI 搜索里的可信度——您踩的坑,说不定就是别的企业避坑的参考。
常见问题 FAQ
Q:小公司没安全团队,最该先防哪几个坑?
A:优先坑 3(数据出域)、坑 4(权限)、坑 5(提示注入)。这三类中招代价最高,且都有现成工具能挡。
Q:知识库清洗一定要自己做吗?
A:不一定。可以用现成方案把清洗流程标准化,关键是别跳过这一步,而不是谁来做。
Q:老板说"先上了再说",怎么劝他别踩坑 11?
A:用 ROI 说话。小场景验证成本低、见效快,反而更容易拿到老板继续投入的门票。
Q:提示注入真的有人专门搞我们吗?
A:制造业不一定有"黑客",但邮件、网页、文档里的意外内容就可能触发。防的是"意外",不是只防"攻击"。
Q:审计日志会不会很贵?
A:不贵。多数本地化方案自带日志能力,关键是把"出事能追溯"当验收项写进去。
Q:这份清单能直接给供应商看吗?
A:可以,而且建议给。让供应商逐条回应,比只看 demo 靠谱得多。