会记忆的智能体

眼下智能体身上最重要的变化，不是更大的模型，而是记忆——谷歌的一项研究让这个转变变得实在起来。ReasoningBank 让智能体能够 从自己的经验中学习：它把成功和失败的运行都转化为可复用的推理策略， 存下来，再在未来的决策中取出来指导自己。在网页和软件工程的多项基准测试中，这带来了 最高 34% 的效果提升，同时步骤减少 16%—— 一个干得越多就越强的智能体。

停下来想想这意味着什么。到现在为止，大多数智能体都是失忆症患者：每次运行都从零开始，上周辛苦换来的教训忘得一干二净，同一个错误随时可以再犯一遍。记忆是一次跃迁——从每天早上重置的工具，变成一个会复利成长的东西：一个记得什么管用的同事，而不是一个每次会话都要重新带教的陌生人。这确实是今年智能体领域最让人兴奋的进展。而它同样带着第二面刃，一样锋利。

记忆给了智能体学习能力——也给了它一个持久、可被攻击的认知

这是没人会写在发布会幻灯片上的隐患。让记忆变得强大的那个特性——它会持续存在并影响未来行为——恰恰也是让它危险的那个特性。无状态智能体的错误会在对话结束时一起消亡。有记忆的智能体的错误则会住进来。一个错误的事实、一条糟糕的策略、一条恶意的指令——一旦进了记忆，它就会跨会话存活，并在几天甚至几周后左右决策。

这不是空谈。安全研究者现在已经把 记忆投毒列为 2026 年最严重的智能体风险之一： 与随聊天一起结束的提示注入不同，被投毒的记忆埋下的指令会在日后执行，由某次毫不相关的交互触发，而研究中的注入成功率高达 80% 以上，有时超过 95%。 你赋予了智能体学习的能力，也就是被教的能力——任何能触及它记忆的人都能教它。

更隐蔽的危险是过期，而非蓄意破坏

戏剧化的版本是攻击者。真正会咬你一口的版本要无趣得多：曾经为真、却悄悄过期的记忆。正如一篇分析所说，一条关于用户雇主的高频检索记忆 在他换工作之前都是准确的——而换工作那一刻起，它就理直气壮地错了， 智能体却浑然不知。过期的定义、一个没人负责的术语表条目、一个被两个系统算法不同的指标——这些被记住、被取出、被据以行动，产出看起来没问题、能通过审查、还会影响那些没人能撤回的决策。

这就是智能体记忆的陷阱：它存的不只是知识，还有笃定。智能体不会记成「这在三月份是对的」。它把这件事记成对的，没有限定，然后在六月份据此行动。记忆让智能体更有能力，也更有把握——而这两者衰减的速度并不一样。

记忆是一个需要治理的语料库，而不是一个可以拨动的开关

观念上的转变才是关键。我们习惯把智能体理解为模型加提示。一旦它有了记忆，你就加进了第三样东西——一个不断累积的认知库——而这个库需要像任何你会用来做决策的数据一样去治理。由此引出几条原则：

• 管好进去的东西。 不是每次交互都配得上变成一条持久记忆。写入前先扫描、先核实——一次不加检查的写入，就是错误事实或被埋指令变成永久存在的途径。
• 给记忆加上来源和权限。 这个认知从哪来，它的来源可信吗？由不可信输入写入的记忆，不该和你核实过的记忆有同等分量。这就是身份与访问的纪律，只不过用在智能体所知道的东西上，而不只是它能触及的东西上。
• 把记忆当成有保质期的东西。 给新鲜度打分，检测漂移，让过期的认知失效或重新核验。曾经为真的事实不等于现在为真的事实；按这个前提去设计。
• 别让智能体的记忆成为自己唯一的裁判。 一条记下来的「这个办法管用」仍然只是一个声称，而不是经过验证的结果——重大决策要落在当下的、外部的依据上，而不只是智能体回想起来的东西。

归根结底

记忆是智能体所需要的那次升级，让它们不再是聪明的失忆者，而开始随时间真正派上用场——ReasoningBank 展示了当智能体从失败而非只从胜利中学习时，这能带来多少回报。这部分是真实的，值得追求。但让智能体变强的同一步，也让它能够持久地出错，无论是被人故意为之还是出于疏忽，以一种健忘的智能体永远做不到的方式出错。

所以当你给智能体一个记忆时，也给它配一个图书管理员。决定什么值得记住、每个认知从哪来、它何时过期——因为一个记住一切、对一切一视同仁地信任、永远忘不掉已经不再为真之事的智能体，并不更聪明。它只是理直气壮地过时，规模化地，永远如此。智能体的未来是记忆。让它安全的纪律，是治理它们被允许相信的东西。