推广 热搜: 采购方式  滤芯  带式称重给煤机  甲带  气动隔膜泵  减速机型号  无级变速机  链式给煤机  履带  减速机 

谷歌 SRE 重磅白皮书:当 AI 自动写出 10 倍代码,谁来阻止系统崩溃?

   日期:2026-06-15 08:38:31     来源:网络整理    作者:本站编辑    评论:0    
谷歌 SRE 重磅白皮书:当 AI 自动写出 10 倍代码,谁来阻止系统崩溃?

大家好,我是Tony Bai。

整个软件工程界正在经历一场由生成式 AI 引发的效率大爆炸

随着 GitHub Copilot、Claude Code、Codex 以及OpenClaw、Hermes等各类AI Agent 的普及,企业编写代码、构建功能并将其推向生产环境的速度,正在以4 倍到 10 倍的速度疯狂飙升。

然而,在这场高歌猛进的效率狂欢背后,软件工业最脆弱的防线——系统稳定性(SRE, Site Reliability Engineering),正在面临前所未有的毁灭性挑战。

传统由人类主导的 Code Review、基于静态监控指标的告警排查,在“机器以微秒级吞吐代码”的时代,已经彻底沦为杯水车薪。当代码提交量和部署频率暴涨 10 倍,意味着系统故障和未知黑盒技术债的涌入速度也暴涨了 10 倍。

为了应对这场“AI 带来的生产力过载危机”,谷歌 SRE 团队于近日发布了一份极具颠覆性的系统级白皮书:《AI in SRE: How Google is Engineering the Future of Reliable Operations》。

在这份白皮书中,谷歌首次向外界披露了其内部正在运转的、以Agent 编排与闭环控制(Closed-loop Control)为核心的下一代自愈式运维系统。

图:可由AI改进优化的SRE各个环节

今天,我们就来深度拆解这份代表着全球顶级运维水平的技术白皮书,看看谷歌是如何在 AI 时代,重新定义系统可靠性边界的。

为什么 AI 编码越快,运维死得越早?

谷歌 SRE 团队在白皮书的摘要中开门见山地指出:Site Reliability Engineering 正处于一场范式转移的阵痛中。

传统 SRE 的工作模式(SLO 定义、错误预算、消除琐碎工作)是建立在“人类编写代码的速度有限”这一物理前提下的。当 AI 充当了代码放大器,系统复杂度的膨胀速度已经远远超出了人类的阅读和心智承受极限。

谷歌提出了 AI 在运维系统中的五个自治级别(SRE AI Autonomy Levels)

自治级别
监控 (Monitor)
调查 (Investigate)
缓解 (Mitigate)
执行 (Actuate)
自主决策 (Self Direct)
L0 - 手动自动
人类
人类
人类
人类
L1 - 辅助自动自动
人类
人类
人类
L2 - 部分自动自动自动
人类
自动
人类
L3 - 高度自动自动自动自动自动
人类
L4 - 完全自治自动自动自动自动自动

在 L0 和 L1 阶段,人类还是绝对的“消防员”。但面对海量的机器代码,人类的响应时延(以分钟或小时计)在微秒级的故障蔓延面前毫无抵抗力。

谷歌认为,未来的 SRE 必须快速向 L3(高度自治)甚至 L4(完全自治)推进——即让 AI 智能体在无需人类确认的情况下,自主检测、诊断并安全地执行线上变更。

但问题是:谁来保证 AI 智能体本身不会“抽风”?一旦拥有自主执行权的 AI 智能体做出了错误的决策(例如在流量高峰期错误地清空了整个集群的负载),其造成的灾难(Blast Radius)将比人类操作失误大上千倍。

谷歌 SRE 的核武器:三大内部 AI 运维王牌组件

为了将 AI 安全地引入生产环境,谷歌在内部研发并上线了三套极具系统美学的底层 AI 平台。

1. IRM-Analyzer:将人类“救火轨迹”转化为黄金训练数据

AI 智能体要学会如何排障,首先需要向最优秀的人类 SRE 学习。但人类在排障时的行为是极其零散且非结构化的(躺在 Slack 聊天记录里、GVC 语音里、或者手动的命令行里)。

为此,谷歌开发了IRM-Analyzer(事件分析平台)

IRM-Analyzer 能够自动将零散的 Slack 聊天、日志报错、监控曲线,自动提炼并拼装成结构化、可复现的人类排障轨迹(Human Trajectory)。

IRM-Analyzer 利用大模型,能够将一场长达数小时、涉及数十人的混乱救火过程,自动解析、过滤、去噪并聚合成一条精确的时间线(Timeline),标明:什么时候观察到了 SLA 异常、什么时候执行了 canary 排水(Mitigation)、什么时候验证了服务恢复。

这条高纯度的时间线,成为了训练 AI Operator(智能体运维官)的“黄金数据(Golden Data)”

2. InvD(Investigation Dashboard):一键生成的排障图谱

在发生线上故障时,人类 SRE 往往需要手忙脚乱地打开几十个 Grafana 仪表盘,手动过滤日志。

谷歌自研的InvD(自动排障仪表盘,Investigation Dashboards)彻底终结了这一状态。当收到告警时,InvD 会自动爬取相关的遥测数据,结合历史黄金数据进行推理,自动在网页上渲染出一张“自动故障拓扑图(Automated troubleshooting graph)”(如下图所示)。它能直接指出:这是由于某个新版本的二进制 Rollout 导致的 CPU 节流,并建议立即执行隔离。

数据表明,InvD 的上线,让谷歌受影响服务的平均缓解时间(MTTM)骤降了 44%!

3. Antigravity CLI:用 Go 编写的 AI 运维终端

我们在之前的文章中提到,Go 已经成为了 Google 内部智能体系统的通用语言。在 SRE 领域,这一趋势得到了最直接的印证:谷歌推出了基于 Go 开发的全新核心终端——Antigravity CLI

通过集成标准的 MCP(Model Context Protocol)协议,Antigravity CLI 让 AI 智能体可以直接通过命令行与谷歌内部庞大的 Borg 系统、日志系统和 Bug 跟踪系统进行交互:

  • 自动创建并分配故障单(Create/Assign Bugs);
  • 一键将事故复盘文档导出至 Google Docs;
  • 执行底层的流量排干与扩容指令。

终极安全防线:决策与执行的“冷热解耦”

在白皮书中,谷歌提出了一个极其震撼且对所有企业都有借鉴意义的安全架构:“不要让做决策的 AI,直接去碰你的服务器。”

谷歌将这一安全哲学称为The Safety Trifecta(安全三驾马车),并在底层通过Actus(Actuation Agent,执行控制智能体)实现了完美的“决策与执行解耦”:

1. 思考脑:AI Operator(决策智能体)

当系统报警时,AI Operator 会介入调查。在它的控制台(CoT, Chain of Thought)上,它会写下它的思考过程(例如:“检测到内存 OOM,怀疑是由于昨天部署的镜像导致的,建议将其副本数扩容 100% 以平摊压力”)。

2. 安全闸口:Actus(执行校验智能体)

AI Operator 拥有极高的智慧,但它在 Google 内部没有一丁点直接操作服务器的物理权限。

它提出的所有变更请求,必须提交给一个由确定性安全规则和零信任机制控制的物理控制平面——Actus

  • 强制 Dry-Run 支持:任何 AI 提出的 API 修改,Actus 会首先将其置于dry_run=true状态进行沙箱模拟,观察系统的报错。
  • 智能体断路器(Agentic Circuit Breakers):Actus 拥有最高级别的限流权限。如果发现某个 AI Agent 陷入了无限死循环、或者短时间内发起了超出 quota 的异常变更,断路器会瞬间切断其所有执行权限,并向人类 SRE 抛出报警。
  • 零信任与最少特权:AI 智能体绝对不允许使用其开发者的个人凭证去登录服务器。它们拥有自己高度受控、双重强认证的 Agent Identities,且权限范围窄到极致(比如只允许在特定时间内调配流量,绝对不允许直接 ssh 运行原生 shell 脚本)。

这种将“会犯错的 AI 思考脑(LLM)”与“绝对遵守确定性安全规则的 Actus 控制面”进行冷热解耦的设计,是谷歌敢于将生产系统向 L3/L4 级别自治推进的终极底气。

范式革命:从“救火队员”到“安全架构师”的蜕变

当 AI 编排和 Actus 控制面接管了线上 90% 的基础告警和自动排水后,人类 SRE 应该去干什么?

谷歌给出的答案非常具有前瞻性:人类 SRE 正处于从“操作者(Operator)”向“安全架构师(Architect)”演进的关键节点。

过去,SRE 的价值体现在“手速”和“经验”上——谁能最快登录服务器找到那个坏死的配置,谁就是英雄。

现在,AI 的手速是人类的万倍。人类 SRE 的价值,转而体现在“定义安全边界和Actus策略(Defining Safeguards)”上:

  • 设计高质量的 Evaluation Pipeline:设计更好的回归测试集,确保 AI 智能体在上线前不会退化。
  • 架构高可用的渐进式发布(Progressive Rollouts):针对 AI 10倍速的代码产出,设计更加敏感、能够自适应调整分流比例的“渐进式金丝雀发布”机制。

小结

大模型时代的到来,并没有像悲观主义者预言的那样带来软件工程的崩溃。相反,它正在强行将我们从枯燥、重复、高心智负担的“人肉运维”中解脱出来。

正如谷歌 SRE 团队在白皮书结尾所展现出的深邃洞察:

在机器以微秒级吞吐代码、部署服务的时代,人类工程师的价值,不再于手持水枪冲进火场,而在于设计出一套完美无瑕、能够自动防爆的自愈消防网。系统可靠性的终极边界,依然牢牢掌握在那些对生产环境心存敬畏、能够设计出严密安全闸口的系统架构师手中。

AI 负责疯狂奔跑,而我们,负责用优雅的系统工程,为它画出最安全的跑道。

资料链接:

  • https://sre.google/resources/practices-and-processes/ai-engineering-reliable-operations/
  • https://cloud.google.com/blog/products/devops-sre/how-google-sre-is-using-agentic-ai-to-improve-operations

如果本文对你有所帮助,请帮忙点赞、推荐和转发

点击下面标题,阅读更多干货!

-  聊聊为什么我要花这么大精力,带大家手写 Agent Harness?

大洗牌!Google 内部确认:Go 正取代 C++,成为 AI Agent 时代的“通用语言”

Google官宣:Go实现的Antigravity CLI上位

写代码快 10 倍,不等于研发快 10 倍!Google 揭秘 AI 系统级瓶颈

Google 开源 AX 与 Agent Substrate:构建以 Agent 为核心的云原生计算底座

Google I/O 2026:Jeff Dean 携 DeepMind 众神宣告,AI Agent 正在终结“标准化软件”时代

2026年,大厂重构核心系统为何集体投向 Go?


还在为写 Agent 框架频频死循环、上下文爆炸而束手无策?我的新专栏从0 开始构建 Agent Harness将带你:

  • 抛弃臃肿框架,回归“驾驭工程 (Harness Engineering)”的第一性原理
  • 用 Go 语言手写 ReAct 循环、并发拦截与上下文压缩引擎等,复刻极简OpenClaw
  • 构建坚不可摧的 Safety Middleware 与飞书人工审批防线
  • 在底层实现 Token 成本审计、链路追踪与自动化跑分评估
  • 从“调包侠”进化为掌控大模型边界的“AI 操作系统架构师”

扫描下方二维码?,开启从 0 开始构建Agent Harness 的实战之旅。

 
打赏
 
更多>同类资讯
0相关评论

推荐图文
推荐资讯
点击排行
网站首页  |  关于我们  |  联系方式  |  使用协议  |  版权隐私  |  网站地图  |  排名推广  |  广告服务  |  积分换礼  |  网站留言  |  RSS订阅  |  违规举报  |  皖ICP备20008326号-18
Powered By DESTOON