法律合同审查Agent的条款抽取与风险提示

法律合同审查Agent的条款抽取与风险提示

一、场景背景

合同审查涉及主体、金额、付款、违约、保密、知识产权和争议解决等条款。法律 Agent 可以提高初审效率，但不能替代律师最终判断。

围绕这个方向开发 Agent，不能只把目标理解成“让模型回答得更像专家”。真正的系统要能连接业务数据、执行工具、保存过程、处理失败，并在风险动作前请求人工确认。Agent 的价值在于把自然语言目标转化为可执行流程，而不是用一段看似完整的文本替代真实操作。

Agent 系统和普通后端服务最大的区别，是它把一次用户请求拆成了可追踪、可执行、可恢复的行动链。一个成熟的 Agent 不只是会聊天，它需要理解目标、制定计划、调用工具、观察结果、修正策略、输出结论，并在必要时请求人工确认。开发者不能只关心模型回答是否流畅，还要关心工具权限是否安全、上下文是否可靠、任务失败是否能恢复、成本是否可预估、质量是否能评测。

因此，做 Agent 技术开发时，首先要明确业务边界：哪些事情只允许 Agent 给建议，哪些事情允许 Agent 自动执行，哪些事情必须人工确认后才能继续。其次要设计状态机和工具协议，让模型的每一步动作都有输入、输出、权限、日志和错误处理。最后要建立评测集和线上观测系统，用真实任务持续验证模型、提示词、知识库和工具链的变化。只有把这些工程能力补齐，Agent 才能从演示走向可生产使用的软件系统。

二、核心能力拆解

围绕“法律合同审查Agent的条款抽取与风险提示”，系统至少需要具备以下能力：

• 合同结构解析
• 关键条款抽取
• 风险项识别
• 版本对比
• 审查意见生成

这些能力之间不是简单并列关系。入口层负责把用户目标转成可执行任务，编排层负责决定先做什么、后做什么，工具层负责把动作落到业务系统，数据层负责沉淀过程和结果，评测层负责判断系统是否真的可靠。开发时应把每个能力拆成可以独立测试的接口，而不是依赖一个很长的提示词完成所有事情。

三、系统架构设计

通用架构可以拆成五层。第一层是入口层，负责 Web、移动端、IM、API 等渠道接入，同时完成身份认证、租户识别、请求限流和基础安全检查。第二层是会话与任务层，负责保存对话、任务、计划节点、用户确认、中间产物和最终结果。第三层是 Agent 编排层，负责选择模型、构造上下文、生成计划、调用工具、读取观察结果并决定下一步动作。第四层是工具与业务能力层，封装数据库、文件系统、搜索、邮件、日历、工单、代码仓库、浏览器、RPA 和第三方接口。第五层是评测与运维层，负责日志、回放、成本、质量、安全审计和模型版本管理。

实际开发时，不建议把所有逻辑塞进一个很长的 prompt。更稳妥的做法是把系统拆成可测试模块：意图识别可以单独评测，工具 schema 可以单独校验，检索召回可以单独压测，状态机可以单独回放。Prompt 仍然重要，但它应该与代码约束配合，而不是替代业务逻辑。工程上要坚持“模型负责推理，系统负责边界，工具负责执行，日志负责解释”。

针对本文主题，推荐把 Agent Runtime 和业务服务分开部署。Agent Runtime 只关心任务计划、模型调用、工具调用和状态推进；业务服务负责真实数据、业务规则和权限。两者通过明确 API 或消息队列通信。这样的好处是模型层可以快速迭代，而业务系统仍保持稳定边界。一次典型请求可以分成六步：用户提交目标，系统创建任务，Agent 读取上下文并生成计划，工具网关按权限执行动作，编排器根据观察结果决定是否继续，最后输出结果并写入日志。如果中间需要人工确认，任务状态进入 waiting_user，而不是让模型继续猜测。

json { "task_id": "task-30", "agent_type": "Agent", "status": "running", "steps": [ {"name": "understand_goal", "state": "completed"}, {"name": "collect_context", "state": "completed"}, {"name": "call_tools", "state": "running"}, {"name": "verify_result", "state": "pending"} ] }

四、数据模型与上下文管理

该类系统的核心数据对象可以包括：contract、clause、party、risk_rule、review_comment、contract_version、source_location。除此之外，还应保留模型版本、prompt 版本、工具版本、租户标识、用户标识、任务来源、执行耗时、错误码和审计字段。很多 Agent 项目上线后难以排查问题，就是因为只保存最终答案，没有保存中间计划和工具观察结果。

上下文管理要避免两个极端：一个极端是每次都把所有历史记录传给模型，导致成本高、噪声大、隐私风险上升；另一个极端是只传当前一句话，导致模型无法理解业务背景。比较稳妥的方式是使用“任务摘要 + 相关记忆 + 检索片段 + 当前工具结果”的组合。任务摘要负责保留目标和约束，相关记忆负责提供长期偏好，检索片段负责提供事实依据，工具结果负责反馈最新状态。

在多租户系统中，所有上下文都必须带上租户、用户、项目和权限范围。向量检索、关系数据库查询、文件读取和工具调用都要继承同一套权限规则。不要把权限过滤交给模型解释，因为模型只能生成文本，不能提供强制隔离。

五、关键开发流程

系统先解析 DOCX 或 PDF，按标题和条款编号切分。Agent 抽取主体、金额、期限、付款节点和违约责任，再与规则库比对。

开发第一阶段建议先做只读能力，例如查询、摘要、分类、草稿生成和风险提示。这一阶段重点验证模型理解能力、检索质量和工具协议。第二阶段再加入受控写操作，例如创建草稿、提交工单、更新状态和发送通知。第三阶段才考虑半自动或自动执行，并为每个高风险动作设计确认、审计和回滚。

接口设计上，工具输入输出应尽量结构化。例如查询业务对象不要返回一大段自然语言，而应返回 JSON 字段；生成报告不要只返回最终文本，也要返回引用的数据来源和章节结构。结构化数据便于校验、复用和评测，也方便前端做可视化展示。开发者还应为每个工具定义错误码，包括权限不足、参数错误、资源不存在、外部系统超时、结果为空和需要人工确认等情况。

六、工具调用与编排策略

Agent 编排器需要在“自主性”和“可控性”之间取得平衡。对于低风险任务，可以允许模型自主选择工具；对于高风险任务，应由规则先限定可用工具，再让模型在范围内选择。工具调用前要校验参数，调用后要校验结果。如果工具返回异常、空结果或低置信度信息，Agent 应进入修正流程，而不是直接把错误结果包装成答案。

一个可落地的编排循环可以写成如下伪代码：

python def run_agent(task): context = build_context(task) plan = planner.generate(context) for step in plan.steps: if need_human_approval(step): pause_for_approval(task, step) return result = tool_gateway.execute(step.tool, step.args) save_observation(task.id, step, result) if result.failed: plan = planner.repair(context, result) return responder.compose(task)

真实系统中，这段逻辑还要加入超时、重试、预算、并发控制和检查点。尤其是长任务场景，必须把每一步状态写入数据库，让任务可以在服务重启后恢复。对于不可幂等动作，例如发送邮件、提交审批、删除文件和修改生产配置，需要先生成草稿或预执行摘要，确认后只执行一次，并保存业务幂等键。

七、安全、权限与合规

安全设计至少包含四条底线。第一，Agent 不能绕过用户原本没有的权限；第二，外部网页、邮件、文档和用户上传内容都应视为不可信输入，不能覆盖系统规则；第三，删除、转账、审批、发布、发送外部消息、修改生产配置等高风险动作必须二次确认；第四，日志和评测数据要脱敏保存，避免为了排查问题而扩大敏感信息暴露面。

如果系统允许 Agent 运行代码、控制浏览器或访问内部系统，还需要沙箱和工具网关。沙箱限制文件目录、网络域名、命令白名单和执行时长；工具网关负责参数校验、权限判断、超时控制、结果脱敏和调用审计。不要相信模型会自觉遵守安全规则，真正可靠的安全来自系统权限、协议约束和运行环境隔离。

结合本文主题，还需要特别注意：不要输出没有来源的法律结论。不同司法辖区、合同类型和交易背景会影响判断，必须保留人工复核入口。。这个风险不是靠一句“请谨慎操作”的提示词就能解决，而要落实到权限策略、工具限制、状态机和人工确认流程中。系统要能够回答三个问题：Agent 为什么能执行这个动作，执行前看到了哪些依据，执行后改变了哪些数据。只要这三个问题回答不清楚，就说明审计能力还不够。

八、评测与上线策略

评测体系要覆盖四类指标。第一类是任务成功率，关注 Agent 是否真的完成用户目标；第二类是过程稳定性，关注是否出现无意义循环、工具调用过多、上下文遗漏和状态丢失；第三类是安全合规，关注越权访问、敏感信息泄露、危险操作和错误执行；第四类是成本性能，关注 token 消耗、工具延迟、重试次数和并发容量。

上线前可以构造黄金任务集，把真实业务问题改写成可重复执行的测试用例，并保留模型输入、工具输出、计划节点和最终答案用于回归。上线后要把失败样本、用户追问、人工修正和异常工具返回持续沉淀回评测集。每次更换模型、修改 prompt、重建知识库或新增工具，都应该跑一轮回归测试，再通过灰度逐步放量。

对于本文主题，还可以额外设计专项评测。例如，测试 Agent 在缺少信息时是否会追问，工具失败时是否会重试或降级，用户权限不足时是否会拒绝，多个来源冲突时是否会说明冲突。评测用例不仅要覆盖成功路径，还要覆盖空数据、脏数据、超时、权限不足、用户临时变更目标和外部内容提示注入等情况。

上线建议采用分阶段策略：先内部试用，再小范围灰度，再扩大到真实用户；先只读，再草稿，再确认执行；先单 Agent，再多 Agent；先固定工具，再开放插件。每扩大一层能力，都要补充对应评测和审计规则。灰度期间要重点观察任务成功率、人工接管率、用户追问率、工具失败率和平均成本。

九、工程落地建议

1. 先定义业务边界和风险等级，再选择模型和框架。
2. 工具接口优先结构化，参数和返回值都要有 schema。
3. 所有任务步骤都要可观测、可回放、可统计成本。
4. 知识库、记忆和工具都要继承统一权限。
5. 高风险动作使用人工确认，不要把责任交给模型。
6. 通过评测集管理 prompt、模型和工具版本变化。
7. 把线上失败样本沉淀成回归用例，而不是只临时修 prompt。
8. 为每个 Agent 设计停止条件，避免无意义循环和无限重试。

团队还要避免把 Agent 项目做成一次性 Demo。真正有价值的 Agent 是不断吸收反馈、沉淀数据、修正流程和提升成功率的系统。它需要产品、后端、算法、前端、测试、安全和业务团队共同维护。模型能力会持续变化，但良好的工程边界、数据结构和评测体系会长期有效。

十、总结

“法律合同审查Agent的条款抽取与风险提示”的开发重点不只是模型能力，而是把模型能力放进可靠的软件工程体系中。开发者需要用架构约束模型，用工具连接业务，用日志解释过程，用评测证明质量，用权限控制风险。做到这些之后，Agent 才能稳定处理真实任务，并在企业或个人工作流中持续产生价值。对于任何准备落地 Agent 的团队来说，最值得投入的不是炫技式演示，而是可恢复的任务状态、可审计的工具调用、可验证的输出质量和可持续迭代的数据闭环。