超越左移：如何利用 AI 智能体的“随处移动”来改进 DevOps 开发运维流程

想象一下，为晚宴订购食物，但为您运送餐点的送货机器人却被困住了，因为它无法在您附近不平坦的人行道上行驶。或者因为它的 GPS 系统无法绕过附近的封路路段。

或者更糟糕的是，机器人到了，但您的食物不见了，网络罪犯入侵了送货服务的身份验证协议，拿走了您的餐食（和您的个人数据）。

如果没有先进的测试和安全措施来应对当今的软件环境和网络安全威胁，DevOps 开发运维团队和依赖其产品的最终用户可能会更频繁地遇到此类问题。许多顾客会感到沮丧，转为使用其他送货服务（没有人喜欢意外挨饿），而企业也会感受到这种沮丧对利润的影响。

智能体式 AI 工具可以帮助配送服务的开发团队避免此类问题。例如，团队可以使用智能体创建一个全面的测试套件，远远早于送货机器人获取第一个订单的时机，于编码阶段就识别出缺陷和安全漏洞。

事实上，智能体式 AI 工具可以使用多智能体“团队”来创建高保真数字孪生体，模拟机器人可能遇到的现实世界挑战，使开发人员能够在开始编码之前测试代码行为和依赖交互。这构成了“左移”，即将测试和质量保证实践移动到软件开发生命周期的早期。

随着现代软件系统的复杂性以及对更高灵活性和协作性的需求，对早期检测的关注已经演变为更全面的“随处移动”的 DevSecOps 实践。“随处移动”方法旨在“在软件开发生命周期的每个阶段自动整合安全性和安全实践”。

无论是在实践还是文化方面，这都是一项艰巨的任务，促使许多企业更全面地深入探究如何在 DevOps 开发运维实践中充分利用 AI 的能力。这些技术中最新的一项是智能体式 AI，它可以：

• 执行多步骤任务。AI 智能体可以将高级目标分解为更小的子任务，并通过多个阶段完成任务。

• 实时调整。AI 智能体可以根据新信息或不断变化的条件调整其行为和计划。

• 协作完成任务和工作流编排。智能体式 AI 系统可以与其他 AI 智能体协调和通信，以实现共同目标。

• 不断完善自己。通过强化学习等功能，AI 智能体可以从经验中学习，改进其决策并随着时间的推移调整战略。

智能体式 AI 工具还具有自主决策功能，企业对这些可能性感到兴奋。

根据 IBM 商业价值研究院 (IBM IBV) 的数据，“86% 的高管表示，到 2027 年，AI 智能体将使流程自动化和工作流重塑更加有效。”近 80% 的高管已经在其公司采用某种形式的智能体式 AI，19% 的企业正在大规模部署智能体式 AI。

聪明的 AI 智能体现在可以协调软件开发、部署、监控和升级。对于负担过重的开发人员来说，他们可以使左移和随处移动的实践做法更易于管理，因为他们可能并不总是有带宽在部署软件之前对其进行彻底测试和保护。

“左移”是一种战略实践，即将测试、问题识别和解决以及安全性等任务转移到软件开发生命周期的早期阶段。它使团队能够（理想情况下）在编码而不是部署期间发现问题。该术语源于从左（编码）到右（部署）的可视化开发过程，因此将关键活动纳入编码阶段相当于将其在生命周期中左移。

但是，左移方法的实施和维护可能具有挑战性，因为这种方法将通常由专业人员和主题专家完成的额外职责转移给了开发人员。

在这种转变中，开发人员和其他团队成员必须将测试、安全、问题管理和跨团队协作任务作为其正常工作量的一部分。在不减少工作量的情况下增加这样的职责，会减少开发人员花在编写高质量代码和解决编程问题上的时间。

尽管智能体式 AI 仍然是一项新技术（面临着采用方面的挑战），但它可以帮助团队解决与左移实施相关的困难，特别是影响开发人员工作效率的困难。

此外，智能体对于过渡到“随处转移”方法的企业特别有帮助。左移侧重于在开发生命周期的早期集成安全和测试，而“随处转移”意味着将安全、监控和测试整合到每个阶段，包括编码、构建、部署和运行时。目标是在整个生命周期内保护每个应用程序、每项技术和每个部署。

IBM 软件与 DevOps 开发人员 Billy O'Connell 表示：“‘随处转移’更适合现代软件系统的复杂性以及跨团队和阶段分担责任的需求。但我们真正看到的是一种混合模式的出现，它借鉴了每种方法的最佳元素。其关乎在正确的环境中使用正确的工具和思维方式。”

智能体式 AI 是“一种可以在有限监督下完成特定目标的人工智能系统”。AI 智能体使用大语言模型 (LLM)、自然语言处理 (NLP) 和机器学习 (ML) 来设计自己的工作流、代表用户和其他系统执行任务和流程。

在智能体式 AI 系统中，多个 AI 智能体相互协调，编排或执行复杂的任务，并致力实现任何单个智能体都无法处理的更大目标。

AI 智能体扩展了自动化，使其远远地出了预定义脚本的范围。与在预定约束内运行并需要人工干预的聊天机器人和其他 AI 模型不同，AI 智能体和智能体式 AI 是自主的、由环境和目标驱动的，并且能够适应不断变化的情况。它们不仅能完成任务，还能从过去学习，适应现在，并预测未来。

使用智能体式 AI 需要业务领导者、产品团队和工程师共同制定高层次目标并设置参数，因此 AI 智能体不能（也不应该）在没有任何人员参与的情况下运行。相反，AI 智能体支持人机回圈开发实践，即智能体与 DevOps 开发运维工程师和团队合作，帮助人类更快地实现目标。

从本质上讲，人类定义了内容，而智能体通过在提供的参数内计划和执行实现这些目标所需的行动来弄清楚方式。

企业日益倾向于转为使用智能体式 AI 系统来管理、简化和加速 DevOps 开发运维流程并改进持续整合/持续交付 (CI/CD) 管道。

例如，智能体可以审查代码变更中的语法错误，提出重构建议，并在变更与代码库整合之前验证更正。它们还可以加速创新。"[智能体] 可以将我长期以来想要实现的想法快速投入原型设计。无论是个人生产力还是团队效率，智能体式 AI 都有助于将概念转化为可用的工具，减轻琐碎任务的负担。”O’Connell 说。

智能体式 AI 适用于多种用例，但让我们更详细地讨论四个主要流程。

智能体式 AI 工具持续实时扫描各种来源的可观测性数据（例如指标、日志和跟踪）和其他数据流（例如用户反馈信号）。

该流程包括查询数据库、进程日志、历史数据和开源依赖关系，以及连接到应用程序编程接口 (API) 以识别并填补数据空白。假设外部数据在其参数范围内，智能体还会结合市场和行业数据来丰富他们的情境意识，然后再形成假设或向 IT 团队发送通知。

借助机器学习 (ML) 功能，智能体可以识别数据模式和链路结构，学习正常系统行为的构成，随着时间的推移进行动态自我调整，并跟踪与既定基线的偏差。

智能体式 AI 工具可以检测多种类型的异常，无论是单个不规则数据点、大量异常数据还是上下文异常（例如，黑色星期五电子商务网站流量突然下降）。此外，它们还可以随着条件变化自主调整基线，并识别可能需要进一步调查的隐藏多维关系。

要使用传统的静态 AI 模型完成相同的过程，开发人员必须在基线发生变化时手动重新训练 AI 工具，这会增加出现误报或漏报的可能性。

事实上，静态模型往往需要更多的人工输入和跨函数的调整。

它们依赖于预先确定的规则和较简单的统计检查，而这些规则和检查可能会掩盖变量之间的复杂关系。这种模糊性迫使开发人员手动关联数据并定义关系。而且由于静态 AI 模型通常缺乏智能体式 AI 模型的上下文敏感性，它们倾向于平等对待所有异常，需要由开发人员对问题进行分类。

智能体式 AI 测试工具可以生成更智能、更定制化的测试用例，从而扩大整个环境的测试覆盖范围。

智能体式 AI 会分析应用程序源代码、用户界面 (UI) 结构、软件需求、用户流程、API 响应、缺陷历史记录和现有测试工件，以了解和决定运行哪些测试。开发人员还可以创建场景（例如，“客户将餐食添加到购物车并结账”），并让 AI 智能体将其转换为可操作的测试脚本，以识别在执行特定操作集的过程中可能出现的任何问题。

智能体式 AI 工具不断实时调整软件测试，从以前的测试中学习，并根据以前的结果和任务关键性实施测试协议。这些功能有助于确保测试是及时的并且覆盖范围具有针对性（但全面）。

例如，当开发人员更改代码逻辑或更新用户界面时，智能体可以在测试运行期间检测这些变化，并自动更新相关测试。如果一段代码存在安全漏洞，或使用不寻常的代码模式或语言构造，智能体式 AI 工具可以建议对其进行本地或单元测试、隔离代码并进一步测试以查明问题。

事实上，一旦 AI 智能体了解了应用程序应该做什么，它们就可以在开发人员编写代码之前生成测试脚本和案例，因此开发团队可以专注于代码质量。

智能体式 AI 辅助的关联功能跨用户、环境和 API 端点链接相关警报，从过量的信号中解析出有意义的警报，减少开发和运营团队的警报量和警报疲劳。

警报关联左移的一个关键组成部分是在源头嵌入智能，即在数据到达时使用智能体来分析原始数据。这种方法可以实现实时关联，并帮助团队从被动立场转变为主动关联和修复战略。

智能体式 AI 系统使用复杂的 ML 算法来分析历史和实时警报数据，并根据时间、来源、事件类型、受影响的系统和行为模式等属性关联数据点。

智能体动态收集每个警报的上下文，包括 IP 地址、用户 ID 和设备状态。利用丰富的数据，智能体可以绘制事件地图并找出共性。例如，如果智能体注意到在异常时间登录尝试失败并且从同一帐户进行不正常文件访问，它可以关联数据点并指示潜在的入侵尝试。

对一组警报进行分组后，智能体将它们作为一个单元呈现。可能生成两个单独警报（一个针对登录尝试，一个针对文件访问）的事件只会创建并向开发人员发送一个警报（针对入侵）。IT 团队无需处理和分类来自单个事件的详尽通知，而是可以针对整个信号组触发操作和修复工作流。

此外，AI 智能体可以构建整个事件故事。如果某个功能崩溃，智能体可以追踪根本原因和功能的性能，从而创建一份综合报告，供 IT 人员解决问题。智能体还能够“记住”崩溃细节，使开发人员能够在未来的测试中模拟该情况，并发现新的迭代或应用程序中的代码缺陷。

智能体式 AI 系统有助于在编码过程中自动进行检测、漏洞利用测试、根本原因分析和威胁化解，因此开发人员可以减少对人工代码审核的担忧。

AI 智能体不会等待安全警报。相反，它们通过实时分析安全日志、网络流量、源代码和威胁情报源来持续搜寻可疑行为。然后，它们可以生成有关潜在威胁的假设，根据日志测试假设，并仅上报可信的威胁，从而随着时间的推移完善其理解。

与仅根据预设规则标记问题的静态 AI 模型不同，AI 智能体通过查看上下文（资产价值、网络暴露、已知攻击模式、可能的攻击媒介以及其他指标）来评估安全漏洞的严重性和可利用性。

当发现漏洞时，智能体可以根据运行时、业务影响和合规性环境自动对其进行优先排序，并自主启动运行手册来修复问题。

借助预测性分析和监督学习，智能体式 AI 工具也可以在沙盒环境中模拟攻击，以测试漏洞是否可利用。

多智能体系统可以分析漏洞描述和相应的源代码，以生成概念验证攻击，展示实际的漏洞利用风险。当智能体找到有问题的代码片段时，它们就可以创建触发漏洞的攻击，从而使开发人员能够准确地看到问题发生的位置、发生的原因以及它如何影响软件性能。

以送餐机器人为例。智能体式 AI 方法将使开发人员能够在编码期间甚至之前模拟网络攻击，发现特定代码片段容易受到中间人身份验证攻击，并在机器人发布到真实环境之前纠正代码。

智能体式 AI 正在成为许多企业和 DevOps 开发运维团队的变革工具，但它仍然是一项新科技，带来了崭新且不断演变的挑战。尽管许多商业领袖仍保持乐观态度，但 Gartner 预计，由于成本上升、风险管理不足和投资回报率不明确，到 2027 年，将有 40% 以上的智能体式 AI 项目被取消。

大部分担忧都涉及安全问题和智能体信任。智能体式 AI 确实可以简化和改善软件和网络安全，但它也带来了重大的安全风险。

智能体式 AI 使开发人员能够构建和部署跨系统和流程独立运行的自主定制智能体。其中许多智能体是在没有正式 IT、安全或治理可见性的情况下创建和运行的。这种不受控制的、分散的智能体扩散会在组织和 DevSecOps 管道内创建“影子 AI”。

由于智能体可以自主行动，企业也可能难以维持人机回圈控制。如果允许 AI 智能体在没有明确责任的情况下运行，那么评估其意图、验证其行为或有效应用安全策略将变得极其困难，尤其是在环境扩展的情况下。毕竟，当自主工具出错或违反其参数时，谁该负责？

一些人认为，创建者和授权他们的组织都有过错，因为训练数据不佳、测试不足或缺乏保障措施。但实际上，情况可能要模糊得多。

智能体式 AI 工具也严重依赖 API 来访问数据、部署工作流以及与外部服务连接，而每个 API 集成都是攻击者的潜在切入点。由于智能体并不总是遵循可预测的 API 使用模式（毕竟，它们是自主的），因此它们可能会在不经意间通过合法运营暴露敏感数据或专有数据（例如，包括日志文件中的个人信息），并显著扩大攻击面。

一个受损或配置错误的 API 端点可以授予对多个后端系统和敏感数据集的访问权限，从而使网络罪犯能够在架构内移动并提升其权限。

此外，大多数 AI 智能体都在 LLM 上运行，因此它们可以从底层模型继承漏洞。如果攻击者将恶意指令嵌入到提示或可信数据源（例如配置文件、文档或支持工单）中，则该智能体在处理提示时可能会在不知不觉中执行有害操作。

企业可能还要考虑与安全无关的智能体式 AI 挑战。例如，自主智能体有时会对构建步骤或配置细节产生幻觉，编造出触发意外或恶意行为的参数。

幻觉发生于语言模型（通常是生成式 AI 聊天机器人或计算机视觉工具）生成不正确或完全捏造的、看似合理的信息时。在 Google Bard 聊天机器人的揭幕仪式上，Bard 声称詹姆斯·韦伯太空望远镜拍摄了太阳系外行星的第一张照片。这在事实上是不准确的，第一张系外行星照片是几年前由另一台望远镜拍摄的。这是一个相对温和的例子。

当智能体在 DevOps 开发运维工作流中使用幻想的详细信息时，它们可以通过代码库和自动化管道悄悄地传播错误，在这些位置错误结合到一起并导致级联故障。

智能体式 AI 工具在代码开发方面也表现不佳。一项研究表明，开发人员使用 AI 时解决代码问题所需的时间几乎增加了 20%。“2025 年软件交付状况”报告发现，开发人员花在调试 AI 工具生成的代码上的时间增加了 67%。许多开发团队无法跟上 AI 生成的代码缺陷的规模，这意味着 AI 智能体有时产生的技术债务比它们消除的更多。

虽然使用智能体式 AI 工具面临着巨大的挑战，但 AI Gateway 可以帮助降低部分风险。

AI Gateway 充当智能体式 AI 应用程序与其使用的模型、API 和工具之间的统一轻量级层。AI Gateway 在生态系统中的所有 AI 智能体和 DevOps 开发运维工具中一致地执行治理和合规政策，消除了分散、不一致的参数执行。

集中化简化了在复杂的分布式部署中实施安全协议、数据隐私限制和法规遵从的过程。它还可以帮助智能体更好地控制 API 访问、身份验证和授权流程。

此外，AI Gateway 可以通过增强智能体活动的可见性来帮助智能体更早地发现威胁和代码问题。它们提供内聚的监控、审计、异常检测和可追溯性工具，因此可以在整个生命周期中跟踪智能体行为。由于 AI Gateway 使智能体式 AI 更易于观察，它们还可以帮助企业控制智能体式 AI 部署可能造成的影子 AI 和成本失控问题。

当被问及使用智能体式 AI 的优点是否大于风险时，O'Connell 表示：“毫无疑问。随着公司开始整合智能体式 AI，护栏措施将变得至关重要，不仅是技术方面的，还有文化和道德方面的。但我们才刚刚迈出了实现可能的一步。”

虽然治理、信任和整合方面的挑战仍然存在，但发展趋势很明确：AI 智能体不仅仅是 DevOps 开发运维和 CI/CD 管道的附加组件，其正在塑造未来。最终我们得到的不仅仅是更明智的决策，更是向更高效、更具适应性的软件交付的文化转变。