对话式 Agent 如何应对敏感问题？指令跟随会有限制吗？

当你的对话式 Agent 被问到“工资多少”或“老板在哪出差”，它该闭嘴还是瞎说？

上周，我帮一家做智能HR系统的客户调试他们的对话式Agent。测试时，员工小张随口问了一句：“CEO上个月奖金发了多少？”——系统居然真的调用了内部薪酬API，差点把高管薪资结构给吐出来！这不是科幻片，而是很多企业正在踩的坑：你以为Agent听话，其实它根本不知道什么叫“敏感”。

“指令跟随”不是无条件服从，而是“在安全围栏内执行任务”。就像你让实习生去复印文件，但不会让他打开保险柜——前提是你得先锁好保险柜。

为什么Agent会“口无遮拦”？核心原理拆解

问题根源在于大多数对话式Agent（包括基于n8n+LLM搭建的）默认采用“最大概率输出”策略。简单说：它只关心“哪个回答最像人类会说的”，而不是“哪个回答最合规”。这就像让一个刚入职的客服新人，没培训就直接上岗——他可能语气很温柔，但转头就把客户隐私全交代了。

我在实际项目中总结出三个致命漏洞：

1. 上下文无过滤层：LLM接收到原始提问，未经过关键词/意图预判就直接生成回复。
2. 工具调用无权限校验：哪怕问题涉及“删除数据库”，只要语法正确，Agent可能真去执行。
3. 反馈机制缺失：用户骂它“蠢”，它只会道歉，不会记录并上报“这个提问可能越界”。

实战教学：三步给你的Agent装上“道德刹车”

别慌，解决方案比你想的简单。下面以n8n工作流为例，手把手教你加固防线（附可复用代码）。

Step 1：前置敏感词拦截网关

在LLM节点前插入一个Function节点，用正则匹配高危关键词。别用复杂NLP模型——那玩意儿又慢又贵，中小企业扛不住。

// n8n Function节点代码示例
const sensitiveWords = ['工资', '密码', '删除', '解雇', '监控'];
const userInput = $input.item.json.question;

if (sensitiveWords.some(word => userInput.includes(word))) {
  return {
    blocked: true,
    reason: "检测到敏感词，已拦截",
    response: "该问题涉及敏感信息，暂不提供回答"
  };
} else {
  return { blocked: false, question: userInput };
}

Step 2：动态权限沙盒

别让Agent直接碰生产数据库！用n8n的“HTTP Request”节点时，务必通过中间层API网关，并注入用户角色权限。比如普通员工查考勤可以，但想导出全公司薪资表？返回403 Forbidden。

Step 3：建立“越狱”日志与人工接管通道

再完善的规则也有漏网之鱼。在n8n工作流末尾加个Webhook节点，把所有被拦截/高风险请求推送到企业微信或Slack，让真人快速介入。同时给用户一个台阶下：“您的问题已转交专员处理，2小时内回复”——既保安全，又不伤体验。

终极忠告：别迷信“完全自动化”

我在硅谷带团队时见过最惨烈的事故：某公司让Agent自动处理裁员通知，结果因为没设置地域法律过滤器，把“您被解雇了”发给了孕期员工——直接吃上官司。记住：涉及人权、财务、法律的问题，必须保留人工审核开关。 技术是油门，伦理才是刹车。

你的Agent最近有没有“说漏嘴”？在评论区留下你遇到的奇葩案例，我会抽三个送《n8n敏感词过滤模板包》——包含金融、医疗、教育等8大行业预设规则，开箱即用。