Bible Network Crypto DeFi Onchain RWA AI Agent Stablecoin Chain SAFU CryptoTax DeFAI AGI Claude Me Claude Skill Claude Design Claude Cowork
獨立知識媒體
與任何項目無關聯
拆解加密世界的 AI Agent:機制、風險、經濟模型
aiagent-bible.com
最新
LangGraph 深入實作:一步步搭建一個有循環邏輯的 DeFi Agent,以及踩過的三個坑  ·  上線前怎麼測試 AI Agent:一個實用的測試框架,以及為什麼傳統單元測試不夠用  ·  為什麼你的 Agent 輸出「看起來對」卻不一定「是對的」:格式可靠性和內容真實性之間的落差  ·  新手怎麼選第一個 Agent 框架:不要問「哪個最強」,要問「哪個能讓我今天就跑起來」  ·  鏈上 Agent 的 Prompt Injection 防禦:為什麼「叫模型不要相信外部指令」是最沒用的防禦,以及真正有效的分層架構  ·  Agent 重試與錯誤處理策略設計:為什麼「失敗就重試」是最容易讓你破產的預設邏輯
名詞解析 · multi-agent

Agent Trust Score

Agent Trust Score(Agent 信任評分)
multi-agent 中級

30 秒版 · 給沒耐心的人
Agent Trust Score 是多 Agent 系統裡,用來量化「這個 Sub-agent 過去的表現可不可靠」的一個動態指標,根據歷史準確率、異常行為紀錄等因素計算,讓 Orchestrator 或其他 Sub-agent 在決定要不要信任某個來源的輸出時,有一個可量化的依據,而不是一律無條件信任或一律要求重新驗證。
完整解說 +
01 · 這是什麼?

Trust Score 和前面提到的「異常行為偵測」有什麼不同?兩者聽起來都是在判斷 Agent 是否可靠。

兩者確實都和「可靠性判斷」有關,但作用的時間尺度和判斷粒度完全不同,是互補而非重疊的機制。

異常行為偵測是即時、事件層級的判斷:它關注的是「這一次操作」是不是和過去的典型模式明顯不同(例如前面 Prompt Injection 防禦文章提到的,一個平常只跟 5 個白名單協議互動的 Agent,突然嘗試跟一個從未出現過的地址互動)。異常行為偵測的輸出是二元的信號——「這次操作是否異常」,判斷的對象是單一事件,不涉及對這個 Agent 整體可信度的長期評估。

Trust Score 是累積、趨勢層級的判斷:它關注的是「這個 Sub-agent 過去一段時間的整體表現」,不是針對單一事件,而是把多次歷史表現彙總成一個持續更新的分數。一個 Sub-agent 可能從來沒有觸發過任何單次的異常行為偵測(每一次操作單獨看都在正常範圍內),但如果它的判斷準確率長期偏低(例如給出的分析結論,後來被證實是錯的比例偏高),Trust Score 依然會反映出「這個來源整體不夠可靠」這個趨勢,即使沒有任何一次操作觸發過異常行為偵測的警報。

兩者怎麼配合運作:異常行為偵測適合用來攔截「單次、突發的明確異常」,是前面 Circuit Breaker 詞條提到的即時防線;Trust Score 適合用來調整「日常、持續性的驗證強度」,讓系統對長期表現不穩定的來源,自動提高警覺,即使這個來源沒有做出任何單次就足以觸發異常偵測的離譜行為。用一個類比理解:異常行為偵測像是「這次刷卡金額異常大,銀行立即攔截」;Trust Score 像是「這個人過去半年的信用紀錄普遍不太好,即使這次刷卡金額正常,銀行還是會用更嚴格的標準審核」——兩種機制,一個抓的是突發異常,一個抓的是趨勢性風險,需要同時存在,才能涵蓋不同時間尺度的風險。

02 · 為什麼存在?

Trust Score 的計算,如果過度依賴「過去表現」,會不會讓一個 Sub-agent 因為早期的少數幾次失誤,長期背負低分數,很難翻身,即使後來表現已經改善?

這是一個真實存在的設計風險,如果計算方式不當,確實可能造成「一次犯錯、終身低分」這種不合理的結果,需要在計算邏輯裡加入時間衰減和動態調整機制來避免。

問題的根源:如果 Trust Score 是簡單的歷史事件累加,沒有時間權重。假設計算方式是「總正確次數減總錯誤次數」這種簡單累加,一個 Sub-agent 早期(例如剛上線、還在磨合階段)犯了幾次錯誤,即使後來表現大幅改善、長期保持穩定準確,早期的錯誤記錄依然會持續拖累總分,因為簡單累加不會「忘記」久遠的舊記錄,新的良好表現需要花很長時間才能抵銷早期的負分。

解決方法一:時間衰減(time decay)機制。讓較久遠的歷史記錄,對當前分數的影響力隨時間逐漸降低——例如一個月前的判斷結果,權重是 1.0;三個月前的判斷結果,權重降到 0.5;一年前的判斷結果,權重降到接近 0,這樣分數會更準確地反映「這個 Sub-agent 最近的實際表現」,而不是被久遠的舊記錄綁架。這個機制的效果,是讓 Sub-agent 有機會透過持續的良好表現,讓分數逐漸回升,而不是被早期失誤永久定型。

解決方法二:區分「輕微失誤」和「嚴重失誤」的懲罰幅度。不是所有錯誤判斷都該用同樣的扣分幅度——一個信心分數本來就標示為中等、結果被證實稍有偏差的判斷,扣分應該遠小於一個信心分數標示為高、結果卻嚴重錯誤的判斷。這個設計呼應了前面 Structured Output 詞條提到的「附上信心分數和推理依據」——如果 Sub-agent 誠實地標示了自己的不確定性,即使結果不完全準確,也不該用最重的懲罰對待,因為誠實表達不確定性本身是一種值得鼓勵的行為,過度懲罰誠實的低信心判斷,反而會誘導 Sub-agent 為了保護分數而虛報高信心。

解決方法三:設定分數回升的最低速度保障。即使前兩個機制都到位,也可以額外設計一個規則——只要 Sub-agent 連續達到一定次數的準確判斷(例如連續 20 次判斷都被證實正確),分數至少要回升到某個基準線之上,作為一個「不會被過去徹底困死」的保底機制,確保只要持續展現良好表現,一定能在合理時間內看到分數回升,而不是理論上時間衰減會生效,但實際數值變化緩慢到難以感知。

03 · 如何影響你的決策?

如果一個 Sub-agent 的 Trust Score 很高,是不是代表它給出的判斷可以完全跳過驗證,直接採用?

不建議完全跳過驗證,即使 Trust Score 很高,原因是 Trust Score 反映的是「歷史平均表現」,不是「這一次判斷一定正確」的保證,兩者是不同層次的概念,不能互相取代。

為什麼高分不等於這一次一定對:Trust Score 是一個統計性質的指標,反映的是「過去 N 次判斷裡,正確的比例有多高」,即使這個比例非常高(例如過去 100 次判斷,98 次都被證實正確),依然存在剩下的 2% 可能性,這一次判斷剛好落在那少數失誤的範圍裡。高信任分數能合理地降低「這次判斷需要多嚴謹的驗證」這個要求,但不能把驗證需求直接降到零——如果完全跳過驗證,一旦真的遇到那少數的失誤情況,系統完全沒有攔截機制,傷害會直接發生。

Trust Score 該用來調整驗證的「強度」,而不是「有無」。具體來說,高 Trust Score 對應的合理設計是「用更輕量的驗證方式」,而不是「完全不驗證」——例如前面 Structured Output 詞條提到的,對高信任來源,可以只做最基本的格式和合理性檢查(例如數值是否在合理範圍、有沒有明顯的邏輯矛盾),不需要做完整的交叉來源比對;對低信任來源,則需要更完整的驗證流程(交叉比對多個獨立來源、要求更詳細的推理依據)。這個設計讓系統資源能更聰明地分配——把有限的驗證資源,優先投入到信任分數較低、風險較高的來源上,而不是對所有來源一視同仁地做同樣強度的驗證,也不是對高分來源完全不設防。

特別要注意的情境:高風險操作,即使來源信任分數很高,也不該降低到跳過驗證。這呼應了前面 Prompt Injection 防禦文章討論過的「高風險操作的人工確認防線,不能因為前面環節看起來可信就跳過」這個原則——如果這一次判斷涉及的是高金額、不可逆的操作,即使發起這個判斷的 Sub-agent 信任分數一向很高,也應該保留至少最低限度的驗證步驟(即使只是輕量驗證),而不是因為信任分數高就完全省略。信任分數影響的是「驗證要多嚴謹」,而操作本身的風險等級,決定了「驗證的下限在哪裡」,兩者是分開的判斷維度,高信任分數不能完全取代對操作本身風險等級的考量。

04 · 你該怎麼辦?

在跨組織的多 Agent 系統裡(例如你的 Agent 需要和別人開發、你無法完全掌控的 Agent 協作),Trust Score 的計算和管理,會不會需要不同的設計思路?

會,跨組織場景比同一個組織內部的多 Agent 系統,多了一層根本性的差異:你對「對方 Agent 的內部運作」完全沒有可見度,只能透過觀察對方的輸出結果來間接推斷可信度,這對 Trust Score 的計算方式有實質影響。

組織內部場景:通常你對每個 Sub-agent 的內部邏輯、使用的模型、權限範圍都有完整的掌控和可見度,Trust Score 的計算,可以結合「外部觀察到的表現」和「內部已知的設計細節」(例如你知道這個 Sub-agent 用的是哪個模型版本、套用了哪些防禦機制),讓分數的計算更全面。

跨組織場景:你對「對方 Agent 內部到底發生了什麼」完全是黑盒,只能看到輸入和輸出,Trust Score 只能純粹依賴「外部可觀察的表現記錄」計算,而且這個記錄的可信度本身也需要額外把關——例如,如果評分機制完全基於「對方自己回報的表現數據」,對方有動機誇大自己的可靠性,這時候 Trust Score 的計算,應該優先採用你自己這一方能獨立驗證的結果(例如你自己追蹤「這個外部 Agent 給出的建議,後來被證實正確的比例」,而不是採信對方單方面提供的信譽數據)。

跨組織場景特有的額外考量:信任評分本身可能涉及聲譽和商業利益,需要防範被操縱的風險。如果多個組織的 Agent 在同一個生態系裡互動、彼此的 Trust Score 會影響到未來能不能接到協作機會,這就製造了操縱評分的誘因——例如惡意的參與者,可能透過在低風險、低金額的互動裡刻意維持完美表現來累積高分,等分數夠高、換來足夠的信任額度和降低的驗證強度後,才在一次高風險、高金額的互動裡「變現」這個信任(執行一次精心設計的欺騙)。這種攻擊模式,直接呼應了前面文章反覆討論過的「假設 Agent 隨時可能被操縱、傷害範圍要有上限」這個核心防禦思路——即使 Trust Score 再高,涉及高金額的操作,前面 Q3 提到的「驗證下限」原則要更嚴格地執行,且對於這種累積信任後才在關鍵時刻背刺的攻擊模式,可以額外設計「單筆操作的風險上限,不完全隨信任分數無上限放寬」這個保護機制,避免信任評分本身被長期布局的攻擊者當成攻擊工具。

設計上的具體差異總結:組織內部可以信任更豐富的內部資訊來源;跨組織必須假設對方提供的自我評分資訊不可信,優先用自己獨立觀察到的結果計算分數;跨組織場景還需要額外防範「刻意累積信任後一次性變現」這種更長期、更精心設計的攻擊模式,這是同組織內部場景通常不需要特別防範的風險層級。

實際例子 +

一個多來源市場資訊聚合 Agent 系統的 Trust Score 實作案例

某個從多個獨立來源(部分是自己開發的 Sub-agent,部分是接入的第三方分析服務)彙整市場資訊、產生投資建議的 Agent 系統,Trust Score 設計如下:

分數計算公式當前分數 = (過去 90 天內每次判斷的正確與否 × 時間衰減權重) 加總,再標準化到 0-100 的範圍,時間衰減權重採用指數衰減(30 天內權重 1.0,60 天前權重約 0.5,90 天前權重約 0.25),確保分數主要反映近期表現。

懲罰不對稱設計:一次被證實正確的判斷加 1 分;一次被證實錯誤、但當初標示為低信心的判斷扣 2 分;一次被證實錯誤、但當初標示為高信心的判斷扣 5 分——懲罰幅度隨著「原本聲稱的信心程度」和「實際結果」的落差擴大而加重,鼓勵誠實表達不確定性。

驗證強度對應表:分數 80 以上,只做基本格式檢查,直接採用;分數 50-80,額外要求至少一個獨立來源交叉驗證;分數低於 50,強制要求人工審查才能採用其建議;分數低於 20,自動停用這個來源,不再納入判斷依據(這個門檻對應到前面 Circuit Breaker 詞條提到的更嚴重情境)。

跨組織來源的額外規則:對於接入的第三方分析服務(跨組織來源),初始信任分數統一從 30 分開始(比自己開發的 Sub-agent 起始分數更保守),且無論分數累積到多高,單次判斷如果涉及超過某個金額門檻的操作建議,一律強制要求人工審查,不因為分數高就跳過,這個規則直接對應前面 Q4 討論過的「跨組織場景需要額外防範信任被長期布局後一次性利用」的設計原則。

實際運作中發現的問題:上線幾個月後,工程團隊發現一個第三方分析服務的信任分數持續穩定在 85 分以上,長期只做基本格式檢查,但團隊事後複盤時發現,這個來源的判斷雖然「表面上」大多正確,但都是集中在低風險、容易判斷的情境,一旦遇到真正需要深度分析的複雜情境,準確率明顯下降——但因為複雜情境出現的頻率低,沒有拉低整體平均分數到會觸發更嚴格驗證的門檻。這個發現促使團隊在原本單一的正確率指標之外,額外加入「按情境複雜度分層計算」的邏輯,區分「簡單情境的表現」和「複雜情境的表現」,避免高分被簡單情境的高正確率稀釋掩蓋、掩蓋了複雜情境實際偏弱的表現。

圖解
Trust Score Determines Verification Intensity滑動條圖:橫向刻度尺,左端「低信任分數」對應「高強度驗證」(每次都要交叉比對、人工確認),右端「高信任分數」對應「輕量驗證」(僅做基本合理性檢查),中間標示分數如何隨著準確判斷和異常事件動態上下移動。Trust Score → Verification IntensityLow Trust ScoreFull re-verification,cross-check, human confirmHigh Trust ScoreLightweight sanity checkonly, execute fasterScore moves hereAccurate judgment →score rises modestlyConfirmed error →score drops sharplyAI Agent Bible · aiagent-bible.com
歡迎截圖分享,轉載請註明來源
常見誤解 +
✕ 誤解1
× 誤解一:Trust Score 分數高,就代表這一次的判斷一定是正確的,可以完全跳過任何驗證程序。Trust Score 反映的是統計性質的歷史平均表現,不是單次判斷正確性的保證,即使分數很高,依然存在一定機率這一次判斷落在少數失誤的範圍內,高分數應該用來降低驗證的嚴謹程度,而不是完全取消驗證,尤其對於高風險、不可逆的操作,最低限度的驗證步驟不該因為信任分數高而被省略。
✕ 誤解2
× 誤解二:Trust Score 的計算,只要客觀記錄過去表現的正確率就足夠公平,不需要考慮時間衰減或懲罰不對稱這類額外設計。如果沒有時間衰減機制,一個 Sub-agent 可能因為早期少數幾次失誤,長期背負低分數,即使後來表現大幅改善也難以翻身;如果沒有懲罰不對稱設計(區分誠實表達低信心的錯誤和虛報高信心的錯誤),反而會誘導 Sub-agent 為了保護分數而不誠實地虛報信心程度,這些額外設計不是可有可無的細節,而是確保評分機制本身運作合理、不製造反效果誘因的必要考量。
這件事跟你有什麼關係 +
直接影響

Trust Score 設計的核心取捨是「計算精細度 vs 系統複雜度與可解釋性」。計算方式越精細(時間衰減、懲罰不對稱、按情境複雜度分層),分數越能準確反映真實的可靠性趨勢,但系統的實作和維護成本也越高,且分數的計算邏輯越複雜,越難跟人工審查者清楚解釋「這個分數是怎麼算出來的」,可能造成信任評分本身變成一個難以稽核的黑盒。另一個取捨是「跨組織場景的保守程度 vs 協作效率」:對跨組織來源採用更保守的初始分數和更嚴格的高風險操作審查門檻,能降低被長期布局攻擊的風險,但也會讓正常、可信的外部合作夥伴,需要花更長時間才能累積到足夠的信任額度,降低協作效率。建議:核心計算邏輯(時間衰減、懲罰不對稱)值得投入複雜度換取準確性,因為這直接影響防禦效果;但整體評分機制的呈現層面,應該保留清楚的分數組成說明(例如「這個分數裡,多少來自近期表現、多少來自懲罰扣分」),確保即使計算邏輯複雜,審查者依然能理解分數的來源,不讓精細化的計算變成不可解釋的黑盒。

提問
請至少輸入 10 個字