在多智能体系统(Multi-Agent System)中,让不同 Agent 就同一问题进行争辩或讨论,已成为提升推理质量、减少模型幻觉、增强系统鲁棒性的重要工程手段。2025 年的研究与实践表明,争辩机制的有效性高度依赖于协议设计细节,而不仅仅是把多个模型放在一起让其自由交互。与此同时,多智能体架构引入了单 Agent 系统所不存在的新风险 —— Agent 之间的信息泄漏、权限越界、冲突升级等问题需要在系统层面通过 guardrails 和安全边界进行约束。本文从协议设计、冲突解决与安全边界三个维度,梳理多智能体争辩机制的技术实现路径。
争辩协议的核心设计原则
多智能体争辩的本质是一个结构化的意见交换过程。根据 2025 年的研究结果,协议设计应将争辩流程拆解为三个明确阶段:独立回答、交叉质询与结果聚合。每一阶段的设计都直接影响争辩质量与系统开销。
在独立回答阶段,每个 Agent 基于同一问题给出独立答案。这一阶段的重点是确保 Agent 之间的初始立场具有合理的多样性。如果初始答案过于相似,争辩过程将无法产生有价值的观点碰撞,系统收益随之递减。研究表明,使用 3 到 5 个具备不同角色设定或知识背景的 Agent 是较为稳健的默认值 —— 数量过少则多样性不足,数量过多则显著增加延迟成本而边际收益递减。
交叉质询是多智能体争辩的核心环节。最简单的设计是让所有 Agent 在同一轮次中互相可见对方的答案,但这容易导致「从众效应」—— 后发言的 Agent 倾向于接受先发言者的观点,从而削弱争辩的独立性。更好的做法是采用「隐藏置信度」机制:Agent 在质询阶段只能看到对手的观点陈述,但不直接获知对方的置信度评分,从而避免高置信度答案对低置信度答案的过度影响。每个 Agent 在质询阶段应完成四项动作:陈述主张、出示证据、攻击对手论点的薄弱环节、决定是否维持或修正自身立场。
结果聚合阶段的常见做法有三类:投票共识、裁判评分与层级选择。投票共识适用于低风险、非事实性的任务,如创意生成;裁判评分适用于需要客观判断质量的场景,如代码审查或摘要质量评估;层级选择则由编排层(Orchestrator)根据预设规则决定最终输出。在高风险场景下,应将结果聚合与人工审核流程对接,避免自动化决策带来的责任模糊问题。
Guardrails 与安全边界的四层模型
多智能体争辩系统中的安全风险远超单 Agent 场景。当多个 Agent 共享上下文、互相调用工具时,任何一个 Agent 的失误都可能被其他 Agent 放大,甚至形成错误链式反应。2025 年的工程实践总结出四层边界模型,用于系统性地约束 Agent 行为。
第一层是角色边界(Role Boundary)。每个 Agent 应拥有狭窄且明确的职责范围 —— 例如分别担任「信息收集者」「方案评估者」「风险审查者」等角色。角色定义应写入系统配置而非依赖提示词,以避免越狱攻击导致的角色模糊。当一个 Agent 接收到与其角色不匹配的任务请求时,应直接拒绝并将请求转交至对应角色。
第二层是工具边界(Tool Boundary)。Agent 仅能调用预先批准的工具集,且每次工具调用必须经过 schema 校验与授权检查。对于涉及外部网络请求、文件写入、数据库修改等高风险操作,应在调用前增加二级审批流程。工具边界的设计原则是:默认拒绝,仅在明确授权时放行。
第三层是数据边界(Data Boundary)。Agent 不应访问或输出系统提示词、密钥、内部上下文等敏感信息。实现方式通常是在上下文注入阶段对敏感字段进行脱敏处理,并在输出过滤器中检测潜在的敏感信息泄漏。数据边界与角色边界往往需要联动 —— 例如风险审查者可以访问比信息收集者更广泛的日志数据,但两者都不应看到完整的系统 prompt。
第四层是动作边界(Action Boundary)。这是最关键的一层,用于约束 Agent 的「最后一公里」行为 —— 即真正影响外部世界的操作。高风险动作(如支付、删除数据、发送通知)不应由参与争辩的 Agent 直接执行,而应通过编排层的审批工作流完成。动作边界的实现通常采用「建议 - 审批」模式:参与争辩的 Agent 仅生成操作建议,实际执行由独立的审批 Agent 或人工审核节点完成。
冲突解决的四种模式与选择策略
争辩过程中 Agent 之间产生观点分歧是正常现象,但分歧需要以结构化的方式处理,避免陷入无限争论或产生危害性输出。2025 年的实践归纳出四种主流冲突解决模式,各适用于不同场景。
仲裁模式(Arbiter Mode)引入一个独立的裁判 Agent,根据预定义的评分标准对各方论点进行打分并选出最优答案。裁判 Agent 的评分标准应公开可审计,且在系统上线前通过人工标注数据进行校准。仲裁模式的优势在于决策速度快、结果可解释,适合对响应延迟敏感的业务场景。
协商模式(Negotiation Mode)要求持有不同观点的 Agent 通过多轮提议 - 还价过程找到共同接受的方案。协商过程可以引入「退出机制」—— 当协商轮次超过预设上限(如 3 轮)仍无法达成一致时,系统自动升级至人工处理或采用默认方案。协商模式适合需要平衡多方利益的复杂决策场景。
投票模式(Voting Mode)适用于对准确性要求较高但不涉及高风险决策的任务。所有参与 Agent 对最终答案进行投票,少数服从多数。投票模式需要注意「串通风险」—— 如果多个 Agent 共享相同的系统 prompt 或训练数据,可能会在不自觉中形成趋同投票。为降低该风险,可以在投票前对 Agent 的初始角色设定进行强差异化处理。
升级模式(Escalation Mode)是上述模式的兜底方案。当争辩结果涉及安全风险、资金损失、法律合规或不可逆操作时,系统应拒绝自行决策并将问题升级至人工审核。升级触发条件应明确写入配置,包括但不限于:涉及金额超过阈值、涉及个人隐私数据、涉及合规审查需求等。
工程落地的关键参数清单
将上述设计原则转化为可落地的工程实现,需要关注以下关键参数与监控指标。
在协议层面,建议设置 3 到 5 个参与争辩的 Agent,默认开启 1 轮质询(除非任务复杂度极高否则不建议超过 2 轮),置信度隐藏策略默认为开启状态。质询超时阈值建议设置为单 Agent 响应时间上限的 1.5 倍,以避免单个 Agent 阻塞整体流程。
在安全边界层面,工具权限应采用白名单机制,敏感工具(如文件写入、网络请求)调用时强制开启二级审批。数据脱敏应在上下文注入阶段完成,覆盖率目标为 100%。动作边界的高风险操作列表应至少包含:支付、转账、数据删除、权限变更、外部通信,每项操作必须经过审批工作流。
在冲突解决层面,建议根据任务风险等级选择对应模式:低风险任务采用投票模式,中等风险任务采用仲裁模式,高风险任务采用协商模式并强制人工审核兜底。协商模式的默认退出阈值为 3 轮,投票模式的安全阈值设置为至少超过半数而非简单多数。
在监控层面,应重点关注以下指标:Agent 置信度分布方差(用于检测从众效应)、争辩轮次完成率(用于检测死循环风险)、工具调用拒绝率(用于检测权限配置是否过严或过松)、升级至人工的比例(用于评估自动化边界的合理性)。这些指标应纳入实时监控面板,并在异常阈值突破时触发告警。
多智能体争辩机制的本质是让多个模型在受控环境下进行结构化的思想碰撞。协议设计决定了争辩能否产生有价值的认知增量,而安全边界则决定了争辩结果能否安全落地。2025 年的行业共识已经明确:静态的 prompt 级防护不足以保障多智能体系统的安全,必须在运行时通过角色隔离、工具约束、动作审批等多层机制实现系统级的安全防护。未来的技术演进方向可能集中在争辩过程的自动化可审计性、以及基于历史争辩数据动态调整安全策略的自适应机制。
资料来源:本文技术细节参考 Multi-Agent Debate Framework(Emergent Mind)、The impact of multi-agent debate protocols on debate quality(arXiv 2603.28813v1)、LLM guardrails: Best practices for deploying LLM apps securely(Datadog)。