航旅排障智能体如何把航班、订单、改签和退款等诊断步骤编排成可回放工作流，并对高风险写操作做权限、确认和审计控制？｜字节跳动后端开发面经解析

60 秒回答模板

航旅排障智能体的目标是把用户或运营反馈的问题转成可执行的排查路径，自动查询订单、航班、库存、支付、通知和服务依赖，但高风险动作必须受控。Planner 负责诊断计划，Executor 负责工具执行和证据收集。定义排障输入输出：输入包括用户问题、订单号、航班信息、异常时间、渠道和历史操作；输出包括根因判断、证据、影响范围、建议动作、是否需人工和处理结果。 Planner 拆解诊断路径：Planner 根据问题类型生成步骤，例如查订单状态、航班变更、支付状态、库存锁定、通知发送、外部供应商返回和历史工单。 Executor 受控调用工具：Executor 按计划调用只读查询工具，返回结构化证据。涉及改签、退款、补发通知、改状态等写操作必须进入权限校验和人工确认。通信和状态回传：Planner 和 Executor 通过结构化任务状态通信，包含 stepId、tool、params、result、evidence、risk 和 nextAction。结果回传给用户、工单或运营后台时要保留证据链。误操作防护：通过最小权限、动作白名单、参数校验、幂等、审批、dry-run、审计日志和回滚预案防止 Agent 在不确定时执行危险操作。最后要把方案落到可验证的指标、失败兜底和迭代闭环上。面试里不要只讲概念名词，要说明边界、取舍、数据来源、线上观测和出问题后的回滚或人工介入。

考点 场景输入

难度 真实面经题

回答目标 展示你能把垂直场景 Agent 设计成受控、可审计、可回传的后端系统。

深入解析

定义排障输入输出

输入包括用户问题、订单号、航班信息、异常时间、渠道和历史操作；输出包括根因判断、证据、影响范围、建议动作、是否需人工和处理结果。

Planner 拆解诊断路径

Planner 根据问题类型生成步骤，例如查订单状态、航班变更、支付状态、库存锁定、通知发送、外部供应商返回和历史工单。

Executor 受控调用工具

Executor 按计划调用只读查询工具，返回结构化证据。涉及改签、退款、补发通知、改状态等写操作必须进入权限校验和人工确认。

通信和状态回传

Planner 和 Executor 通过结构化任务状态通信，包含 stepId、tool、params、result、evidence、risk 和 nextAction。结果回传给用户、工单或运营后台时要保留证据链。

误操作防护

通过最小权限、动作白名单、参数校验、幂等、审批、dry-run、审计日志和回滚预案防止 Agent 在不确定时执行危险操作。

易错点

只讲 Agent 能查问题，不定义航旅排障输入输出。
Planner 直接执行退款、改签等高风险动作。
Planner 和 Executor 靠自然语言传递，状态不可审计。
没有幂等和参数校验，重复执行产生副作用。
排障结果只给结论，不给证据和回传路径。

面试官追问

Planner 和 Executor 为什么要分开？

分开后规划不会直接执行高风险动作，执行层也只按受控参数调用工具，便于权限、审计和错误归因。

如何避免 Agent 错误操作？

限制工具权限，写操作走确认，参数做规则校验，使用幂等和 dry-run，并记录完整审计日志以便回滚。

排障结果如何回传？

结果应包含根因、证据、已执行步骤、建议动作和风险提示，并同步到用户会话、工单或运营后台。

外部供应商接口失败怎么办？

要区分短暂失败和业务失败，设置超时、重试、熔断、降级查询和人工升级，不能把接口失败当成业务结论。