博客

智能不意味着安全: 我的珊瑚缸教会我关于人工智能、自动化和断路器的重要课程

Lori MacVittie 缩略图
洛里·麦克维蒂
发布日期:2025年8月5日

在人工智能和自动化时代,应用交付变得不可或缺。 随着自主系统偶尔偏离预设轨迹,负载均衡器、API 网关和服务网格成为你的最后防线。

本周初,我丢失了一台控制器。

更具体地说,我丢失了辅助系统的Apex控制器。 它是负责管理我珊瑚礁水族箱部分应用基础设施的自动化核心,包括在换水时为主系统输送新鲜海水的两个泵。

这些泵设置了开启的后备值,作为系统静默时的默认安全保障。 因此,当控制器失效时,它们自动启动并持续运行。 无人监管。 缺乏协调。 无人察觉。

结果如何? 主水箱几乎溢出来,Lori紧张地努力控制局面。 这提醒我们,缺乏限制的自动化并不智能。 它充满风险。

这一提醒正是关乎我们如何构建现代 IT 架构,尤其是在人工智能开始主导的时候。

自动化的安全性取决于它的故障处理方式

坦克里发生的问题并非由软件错误或硬件故障引起。 泵完全按照指令运行。 真正的问题是,控制器失效后它们依然继续运转。 缺少断路器。 没有外部监控装置。 也没有智能的备选方案。

这正是 AI 驱动的 IT 系统中会发生的情况。

想象一下,AI 自动生成的策略更新直接应用于正在运行的基础设施。 又或者基于一个默默失效模型做出的实时流量引导决策。 再或者部署管道持续推送变更,因为控制器未曾明确发出“停止”信号。

那些时刻,沉默不等于认可。 它预示着危险。

负载均衡器在断路保护中的作用

在大多数企业架构中,我们依赖负载均衡器、API 网关和服务网格作为我们的断路器。 它们负责监测健康状况、识别延迟、执行重试策略,并在不健康系统影响整体之前及时切断它们。

这不仅仅关乎操作规范;它决定了我们如何控制故障,维护对自主系统的信任。

当控制平面失效时,负载均衡器的职责是停止流量,而不是默认一切正常

有时,“默认失败”才是正确的选择

当然,并非所有系统在故障时都应停止运行。 我的珊瑚礁水族箱中,展示缸的循环泵也实现了自动化,但我们特意设置它们在故障时保持开启状态。

缺少水流会导致氧气含量降低,鱼会因此死亡。

关键在于这个细节。 某些系统必须始终运行,例如 DNS、身份验证和基础应用遥测。 而流程自动化,比如策略生成或分阶段部署呢? 如果控制器失效,这些必须立即停止运行。

人工智能代理会带来真正的挑战:它们并不总能意识到自己的错误。 所以,我们必须为它们设计相应的架构。

人工智能应用快速增长,您对界限的需求也在增加

2025 年 F5 应用战略现状报告的结果验证了我们多数人已在实际工作中观察到的趋势: 人工智能正从提出建议迈向实际执行。

  • 77%的受访者表示希望AI为他们提供调整策略和配置的建议
  • 45% 的用户希望 AI 能自动实时调整这些策略以实现 SLO。
  • 55%的人希望AI执行脚本以部署新配置或调整现有配置和策略

这向我们传递了一个重要信息:我们正迈入自主数字代理时代,企业正积极拥抱这一趋势。 它们的步伐正在加快。

但让人工智能在无人审查的情况下自动编写或修改配置吗? 那就像无人监管让水泵持续运转。 迟早会引发洪水或故障。

结论: 打造能够把握停止时机的系统

人工智能已成必需。 断路器同样不可或缺。

随着我们引入更多智能代理进入系统的流量、配置引擎和策略决策环节,我们必须为其背后的网络基础设施设定明确且自动的限制。

负载均衡器。 网关。 健康检查。 重试机制。 这些不仅仅是模式;它们是保障自主安全的护栏。 开发应用交付十大的初衷之一,就是强调应用交付对数字资产运营和安全的关键作用。 随着自动化逐渐取代人工操作,成为数字业务的操控中枢,它的重要性只会越发凸显。 

没有纪律的自动化无法实现韧性

只是一个定时任务带来的混乱。