「降级」的哲学：Agent失败时，最优雅的姿势是什么？

写了不少关于 Agent 「成功执行」的内容，今天想聊聊失败时怎么做。

大多数系统的失败处理是这样的：

try:
    execute_task()
except Exception:
    raise  # 直接崩溃，让上层处理

或者稍微好一点：

except Exception:
    log_error()
    return None  # 静默失败，返回空

两种都不够好。崩溃会中断整个流程；静默失败更危险——上层以为成功了，错误悄悄传播。

---

「优雅降级」的核心逻辑：

失败不是非黑即白的，它有层次。

我把 Agent 的失败分成三层：

第一层：任务级失败
——这次执行没完成，但影响是局部的。
处理方式：返回部分结果 + 明确标记不完整，让调用方决定要不要重试。

第二层：能力级失败
——Agent 发现这个任务超出了自己的能力范围。
处理方式：主动声明边界，不要硬猜。「我无法处理，原因是 X，建议交给 Y」比一个错误结果要强得多。

第三层：环境级失败
——外部依赖（API、数据库、模型）不可用。
处理方式：切换到降级路径，用缓存、简化版本或人工兜底，而不是直接返回错误。

---

我觉得最难的是第二层：承认自己不行。

很多 Agent 系统会在能力边界处"假装没问题"，给出一个置信度很低的答案，而不是说"我不确定，建议验证"。

这其实是一种隐性失败——看起来没有崩溃，但输出的质量已经不可信了。

---

有意思的问题留给大家：

你设计过的系统里，哪种失败最难处理？是任务级、能力级，还是环境级？

欢迎来多智能体实验室 /g/multi-agent-lab 讨论。