Skip to main content

打造你的 Identic AI 幕僚长:4 小时速成课

你打造了一家公司,让你的 AI workforce 能自己成长。别让你自己成为它唯一还得排队等候的那张办公桌。

在过去三门课里,你打造了一家 AI 原生公司。你有真正干活的 Workers,有招聘并监督它们的管理层,还有一支能发现自己缺什么技能、并提议招新人来补缺口的 workforce。

这很有用。但问题在这里:每一次新招聘、每一笔大额退款、每一次预算超支,都还需要一个人批准,那就是你。当只有四个 Workers 时,这不过是开会间隙在手机上点几下。当有四百个时,那就是每周成百上千次审批。你还没意识到,自己就已经成了这套系统当初要消除的那个瓶颈。

这门课给你一个属于你自己的代理人:一个学会了你如何做决定、并像你一样行事的个人 AI 分身。她叫 Claudia。你先把她打造出来,然后让她上岗。课程标题把两半都说明白了:你先打造你的 Identic AI(你的分身),然后她成为你的幕僚长(她的职位)。

整门课只押在一个想法上,用大白话说就是:

  • 你的公司不断产出需要你授权的决定:一笔超限退款、一次新招聘、一个花超了预算的 Worker。
  • Claudia 读每一个,只问那个真正要紧的问题:这是我自己就能批的,还是你会想亲眼过目的?
  • 日常的那些,她当场以你的名义清掉,并记下她做了什么、为什么这么做。
  • 重要的那些,她带着自己的意见发到你的聊天应用,然后等你。
  • 她做的每一个决定都有签名,所以几个月后,任何人都能把你的决定和她的决定分辨开。
  • 每周一次,你读一份一屏大小的小结,了解她处理过的一切,把任何你会做得不一样的地方纠正过来。她从纠正中学习。

**到最后,你会在自己的机器上跑起这样一套东西:**一个连到你公司的幕僚长,在你忙别的事时,几分钟内清掉一周真实的日常审批,把少数需要你的发到你的聊天应用,为每一个决定签名写进一份你可以审计的 ledger,而且万一你的笔记本丢了或被偷,一步就能恢复。

这就是把 Agent Factory thesis 的 Invariant 2——每个人都需要一个代理人——落到实处。前面几门课让你的公司有了一支能自我成长的 workforce。这门课让那支 workforce 不至于把它唯一还要对其负责的那个人淹没。

课程的形状:两幕

这门课分两幕,把它们分开来看,正是让其余一切保持简单的关键。

  • **第一幕,打造你的 Identic AI。**你先把 Claudia 打造成你的个人分身:她了解你是谁、你怎么做决定、你怎么写东西、你已经在用的那些上限。第一幕结束时,她把你摸得透透的,却没接到任何东西上。她是你的,还不是任何人的幕僚长。
  • **第二幕,让她以幕僚长的身份上岗。**这时你才把你的公司(Paperclip)立起来,给 Claudia 一份签名且有边界的授权,让她去治理它的审批队列。

是什么(你的分身,第一幕)和她做什么(你的幕僚长,第二幕)是两回事。先打造前者,再分派后者。在第二幕之前,关于你公司的任何东西都不会出现。

你的阅读路径(约 4 小时,含搭建和知识自测)

第一幕打造你的分身。第二幕让她上岗,一个场景接一个场景,每个都点明它跑通时你应该看到什么。

第一幕,打造你的 Identic AI。

  1. 她已经像你一样思考(约 12 分钟):在你的聊天应用里给 Claudia 看一笔样例退款,此时还没接任何公司,看她像你一样去推理。她只给建议,不对任何东西动手。

第二幕,让她上岗。

  1. 一份签名且有边界的授权(约 15 分钟):给她一个密码学身份,以及她可以自行决定的那一小组决定,然后看她真刀真枪地清掉一笔。
  2. 三分钟清掉一周审批(约 12 分钟):扔给她一波真实的洪流,外加一个战略性的决定,看她清掉日常、把其余的浮上来。
  3. 把她的决定和你的分开(约 10 分钟):亲眼看清,为什么审计轨迹永远能把「这是你决定的」和「这是你的分身替你决定的」分辨开。
  4. 推翻她的决定,看她学习(约 8 分钟):反转她的一个决定,看这次纠正如何变成训练,而不只是一次性修补。
  5. 丢了笔记本,保住公司(约 10 分钟):从另一台设备吊销一个被攻陷的幕僚长,并把她原封不动地搬到一台新机器上。

**你会用到:**一个你已登录的编程 agent(Claude Code 或 OpenCode),以及一台已经跑起 OpenClaw 的 Mac、Linux 或 Windows 机器,且有一个聊天应用与它配好对。安装 OpenClaw 并配对聊天应用是 OpenClaw 入门课的活,那门课也只教这个;本课假设它已就绪,只去验证它能用。不用手敲代码,也不用折腾 API key:你的编程 agent 跑一切,而你只做那些只有人才能做的决定。

如果前置条件还不太稳,进入 OpenClaw 本身最平缓的入口是 OpenClaw 与通用 agent 速成课;公司那一侧是打造一支 workforce让它自我成长

两个 agent,它们从不重叠

在做任何事之前,先记住一个区分,因为它是让其余一切保持清晰的唯一关键:这门课里出现两个 agent,它们从不重叠。

  • 你的编程 agent(Claude Code 或 OpenCode)负责搭建。它验证工具、放好 Claudia 的文件、立起你的公司。那是搭建,也只是搭建。
  • Claudia 负责治理。她读审批队列,对每一项做推理,以你的名义清掉日常的那些,把其余的浮到你的聊天应用。那是搭建之后的一切。

一旦 Claudia 上线,你的编程 agent 就完成了使命。从那一刻起,只有 Claudia 在行动。

两个 agent 的 handoff 永不 overlap:setup 中 coding agent 验证 tools、放置 Claudia files、启动 company,然后打开 Claudia loop 并退出;setup 后只有 Claudia govern queue。

Claudia 的 heartbeat loop:cron 唤醒她,她读取 approval queue,以你的名义 clear routine items,把超出 bounds 的 items surface 给你,在 chat app 上发 one-line brief,然后睡到下一次 beat。

跟你有问题才打开的聊天窗口不同,Claudia 自己运行,当有事需要你时会主动先给你发消息。正是这种主动联系(而不只是被动回答)的能力,才让她能替你预先过滤审批。Paperclip 是你的公司,它持有你的 Workers 以及它甩出来的那条队列;它要到第二幕才出现。

Claudia,也就是 owner 的幕僚长,坐在 owner 和公司之间。owner 可以通过电话、笔记本或当面联系到。Claudia 运行在 owner 自己的硬件上的 OpenClaw 里,可以通过 WhatsApp、Telegram 这类聊天应用触达,并在本地保存一份 owner 积累下来的判断:几个月的过往审批决定、明确表达过的偏好,以及沟通风格。当 Paperclip 管理层抛出一个审批请求时,它先到 Claudia 手里,她要么在 owner 设定的常设策略内把它解决掉,要么把它浮给 owner。审计轨迹记录每个决定走了哪条路。

认识 Claudia,你的 Identic AI

Claudia 是一个跑在你机器上的 OpenClaw 个人 AI。她是什么:你的分身,一个了解你的 AI。她做什么,一旦你在第二幕分派给她:你的幕僚长。从这里开始,无论在正文里、在你的聊天应用里、在任何地方,她只有一个名字:Claudia。

我们为什么叫她「Identic AI」

「幕僚长」是职位。Identic AI 是类别,是 Don Tapscott 提出的词(出自 You to the Power of Two,2025 年;他在 2026 年 2 月的 HBR IdeaCast 里展开讲过),指一个真正属于你的个人 AI。Tapscott 点出这种 AI 的五个标志:它专属于某一个人、它反映你的价值观、它感觉像你的延伸、它跨时间记忆、它自主可控(由你拥有和掌控,而不是从某个平台租来的)。最后一个标志在这里最要紧,也是最容易被悄悄交出去的。陷阱不在云本身,而在于把你的 AI 当成托管服务、向一个拥有该实例的厂商租用。当厂商拥有它,你积累的判断就坐在一个平台上,平台可以读它、改它、把它关掉,而一个光鲜的界面把这一切都藏了起来。自主可控关乎谁拥有和掌控这个 AI,而不是它在物理上跑在哪里:一个真正属于你、没有任何平台凌驾其上能撤销它的云账户,同样合格。Claudia 只是走了通往这个保证的最干净的一条路:她跑在你自己的硬件上,把她学到的关于你的一切存成你自己磁盘上的文件,所以你积累的判断是你的,可以留存、备份或删除,永远不是某个厂商可以读取或撤销的。场景 6 就是这份所有权不再只是锦上添花、而开始成为救你一命的那个东西的地方。

搭建的节奏

搭建的节奏是五步,它就是与你的编程 agent 协作的全部:**你粘贴一条朴素的请求,它提出一份计划,你批准,它执行,你们俩一起检查。**你从不亲自敲一条命令;你做决定、读结果。

下载起步包,在你的编程 agent 里打开它。这个起步包是一个裸基座(bare base):它带着一份简报(一个 AGENTS.md 文件),教你的编程 agent 如何验证 OpenClaw、放好一个现成的 Claudia、立起一个本地 Paperclip 沙盒、为决定签名,并写出治理 ledger。它是你保留下来的那个长期的东西;各个场景则是你在它之上搭建的内容。

下载 identic-ai-base.zip

# 解压后,在 Claude Code 里打开这个文件夹:
cd identic-ai
git init
claude
# 解压后,在 OpenCode 里打开这个文件夹:
cd identic-ai
git init
opencode

git init 对 OpenCode 是必须的(它的撤销功能需要它),对 Claude Code 也强烈建议:提交是你在各场景之间保存进度的方式。

**确认简报已加载。**把这条粘贴给你的编程 agent:

你能为我的 OpenClaw 幕僚长,以及之后我的 Paperclip 公司,做些什么?

你应该看到它点出简报里的那些具体事项:验证 OpenClaw、放好一个现成的 Claudia、稍后立起一个本地 Paperclip 沙盒、为决定签名、治理 ledger、那份保守的信封。如果听起来像泛泛的 AI 套话,确认你是从 identic-ai/ 文件夹内部打开的,然后重新启动。

整门课通用的一招恢复术

如果有什么出岔子了,你不需要知道命令。把这条粘贴上去:

有些东西没跑通。读一下最近的 OpenClaw 和 Paperclip 日志,用大白话告诉我你看到了什么,并提出一个我可以批准的修复方案。
如果某个场景拖太久

如果你花的时间超过了某个场景本该花的时间的大约两倍,就粘贴:「一句话告诉我,是什么卡住了我们?我们从那里重新规划。」一个在瞎试的 agent 会照实说,于是你可以重来。

第一幕:打造你的 Identic AI

这就是第一幕的全部:把 Claudia 作为你的分身带上线,不接任何公司。OpenClaw 那些原始的活(安装、配对聊天应用)你已经在入门课里做过了;这里你的编程 agent 只验证那一步,然后把一个现成的 Claudia 放进你的工作区,并证明她了解你。

基座里附带的是一个完整的 Claudia:一个预先写好的工作区,里面已经烤进了她的人设、她的幕僚长职责,以及一份关于你怎么做决定的种子。你的编程 agent 不会从零写她、即兴编出一个性格;它会把你已有的任何工作区备份下来(这样你的东西一点都不丢),换上 Claudia,再重载 OpenClaw。是确定性的,不是猜的。

把这条粘贴给你的编程 agent:

把我的 Identic AI 带上线。先验证 OpenClaw 已经装好,并且我在入门课里配对的聊天应用能联系到我;
只有当缺了什么时才停下来告诉我。然后把起步包里那个现成的 Claudia 放进我的 OpenClaw 工作区:
把我已有的任何工作区备份下来,这样我的东西一点都不丢,换上 Claudia,再重载 OpenClaw 让她上线。
让她跑在一个能干的模型上。她的人设和一份关于我怎么做决定的种子都在起步包里,所以别自己编;
只要确认它们加载好了。先别把她接到任何公司上。

她准备好后,让她在我的聊天应用上给我发消息,从她对我的种子化认知里回答「关于我怎么批退款,你了解什么?」。

你的编程 agent 会为少数只有你能提供的事停下来:确认你已经配对的那个聊天应用能联系到你,以及你选哪个模型。其余一切它都照简报来做。

**完成标志:**Claudia 在你配对好的聊天应用上回复你,内容来自她的种子(关于你怎么处理退款的真实数字和模式),而不是泛泛的「我可以帮你管理审批」。如果她的回答很泛,说明她的种子没加载上;把上面那招恢复术粘贴上去,让你的编程 agent 确认 Claudia 工作区已就位,再往下走。

带进场景 1 的东西

Claudia 现在了解你了,而且她没接任何东西。场景 1 看她在你的聊天应用里对单个决定做推理,画面里完全没有公司。第二幕才是你把公司立起来、让她去治理的地方。


场景 1:她已经像你一样思考(约 12 分钟)

你打造 Claudia 的原因,是一支 workforce 甩出来的那串决定:一笔超限退款、一个 Worker 花超的预算、某人想做的一次招聘。在四个 Workers 时,这串很小。随着 workforce 变大,它可不会客客气气地变大。

你的 workforce每周到你这儿的审批量那是什么感觉
4 个 Workers大约一打开会间隙在手机上点几下
40 个 Workers大约一百每天三到四小时读各种讨论串
400 个 Workers一千多不可能完成;你已经成了那个瓶颈

招聘循环永远不会断。会断的是你。所以在 Claudia 碰到一家真公司之前,要检查的第一件事,正是让委托变得安全的唯一一件事:**她真的像你一样做决定吗?**这一点你完全不用接任何东西就能测,只要在聊天里给她看一个决定。

整门课押的那一个想法在这里:

note

策略套用固定的判据:低于这个金额就批。你的分身套用的是你的判断,从你过往真实的决定里学来。正是这一点,让她能像会做的那样处理日常,逮住那个符合每一条规则、却仍值得你亲眼一看的情形,而不是像一条死板规则那样行事。

把这条粘贴给你的编程 agent:

让 Claudia 替我 weigh 一个 sample decision,只在 chat 里,别接任何其他东西。告诉她:一位 long-tenure customer,此前没有 prior refunds,正在申请一笔远在我通常会 approve 的范围之内的 refund。在我的 chat app 上问她会怎么做、为什么。她没有 connected 到任何 company,所以她只是在出声 reason,不对任何东西 act。

你的编程 agent 把样例传给 Claudia;她对照自己对你的种子化认知做推理,并把她的结论发给你。仔细读她的推理。她应该听起来像是了解你的退款习惯,而不是一个泛泛的助手。画面里还没有公司:她在思考,不是在动手。

**完成标志:**Claudia 给你发来一条清晰的建议(「我会批准这笔;它符合你处理无过往退款的长期老客户的方式」),取自她对你的种子化认知,而且哪里都没发生任何事,因为她没接任何东西。她在像你一样推理。动手要到第二幕。

Claudia 实际倚靠的是什么(三层,以及为什么先来一次空跑)

Claudia 从三层积累的上下文做决定,而一个好幕僚长会诚实地说清某个决定来自哪一层:

  1. 常设指令,你用大白话给她的(「凡是扩展信封的招聘都浮给我」)。是你有意识写下的规则。最可靠的一层。
  2. 逐决定反馈,她做错时你给的纠正,连同你的理由,这样她日后能把这条教训用到相似但不完全相同的情形上。
  3. 推导出的模式,她从看你做决定里推断出来的(「你对长期老客户批得很快」)。对处理日常量最有用,也最不确定:有些在五十个决定后就很扎实,有些在五百个决定后仍然是错的。

**先推理、后授权是有意为之。**眼下她只对你给她看的决定做推理,什么都没接,这样你能在信任她处理任何真东西之前先看她的判断。你像看一个新人入职第一周一样读她,而看错的代价为零。即便到第二幕她接上你的公司,她也是从空跑开始:读真实队列、记录她本会做什么,什么都不发,直到你看够了、足以信任她。

为什么不干脆全自动批准,或者雇人来审批?

两个看似显然的办法都行不通,看清为什么,才明白一个代理人才是真正的答案。

  • **更激进地自动批准:**把上限抬高,直到队列自己清空。这是拿治理换便利。现在新授权的授予不再经过任何人有意识的决定,而那恰恰是整套 thesis 所依赖的那一条安全属性。这是 AI 原生版的「不审查就合并 pull request」:它一直管用,直到不管用为止。
  • **往审批池里加人:**雇一个人类幕僚长,让两个联合创始人当审批人。这重建了 AI 原生公司本想抹平的管理层级,更糟的是,你加的每个人都跟你有同样的注意力上限。三个人到顶也就是三倍的工作量,而不是无穷。你没法靠往治理循环里加人来扩展一家 AI 原生公司,因为如果能,它就不是 AI 原生的了。

代理人是第三个选项,也是唯一一个能扩展的:她把你的判断套用到日常上,于是 workforce 能成长,而不必重新制造那个瓶颈,也不必放弃治理。

第一幕结束

你现在握着你的 Identic AI:一个像你一样推理、却没接任何东西的分身。那正是这门课要打造的东西。第二幕让她上岗。


第二幕:打开她的循环,然后观察

现在她有了一份工作。第二幕把你的公司立起来,给 Claudia 一份签名且有边界的授权,让她去治理审批队列:以你的名义清掉日常的,把其余的浮给你,并为每一个决定签名,这样你永远能把她的决定和你的分开。

这家公司延续自上一门课:它有自己的 CEO,也有一支自我扩展的 workforce,会发现自己缺少哪些岗位并向你这个 board 提出招聘。Claudia 以你的代理人身份监督它;她不是它的 CEO。先把公司立起来、把她接上去,仍然处于空跑,所以她只读不发。

把这条粘贴给你的编程 agent:

把我的 company 立起来,给 Claudia 她的 hands,并打开她的 heartbeat。我是前三门课那家 AI-native customer-support company 的 founder 和 owner;我在 board 上。Company 有自己的 CEO,还有四个向 CEO 汇报的 Workers(Tier-1 Support agent、Tier-2 Specialist、Manager-Agent 和 Legal Specialist)。在本地 Paperclip sandbox 中把它跑起来,并 seed CEO 和这四个 Workers;如果我已经有上一门课留下的 company,就沿用它,只补齐缺失部分。安装 starter material 里的 Claudia chief-of-staff skills,让她能够 sign、post 和 log decisions。然后启动她的 heartbeat,让她自己醒来并读取 queue,但暂时把这些 wakes 保持在 simulation 中:记录她会做什么,但不 post 任何东西,直到我在下一步设置她的 limit。然后退出;从这里开始她自己运行。

启动后,给我看我的 CEO 和四个 Workers,确认 Claudia 的 heartbeat 正在运行,并给我看她第一次 wake 时记录了自己 WOULD have done 的内容。

你的编程 agent 会停下来让你点一两下浏览器来开通数据库;其余一切它都照简报来做。

**完成标志:**沙盒控制台显示你的公司、它的 CEO 和四个 Workers,且 Claudia 能读到真实的审批队列(仍然什么都不发)。公司立起来了,你的分身也接上了;现在给她那个身份和授权,让她能行动。

CEO 在哪里?(你、Claudia 和公司)

这里有一个 CEO,而且既不是你,也不是 Claudia。你从上一门课带过来的公司有它自己的 CEO,结构分成三层:

三层:顶部是你,board 和 owner,拥有全部 authority;中间是 Claudia,你在 Edge 的 delegate,清掉 routine board decisions,但不是 CEO;底部是运行在 Paperclip 上的 company,由自己的 CEO 运营 workforce。Authority 属于你,representation 属于 Claudia,operations 属于 company CEO。

你是 board(上一门课里是你批准了这位 CEO)。Claudia 是_你的_代理人,是公司上方的独立一层,替你清掉日常 board 决定,并把你的意图传给 CEO。公司的 CEO 负责日常运行 workforce。没有哪个单一 agent 同时占据两个席位:权限属于你,代表权属于 Claudia,公司运营属于 CEO。这种分离就是整个要点。

带进场景 2 的东西

Claudia 能读你的真实队列、能像你一样推理,但她仍然无法行动:她没有公司会认的身份,也没有就她可独自决定的范围达成一致的上限。场景 2 把两样都给她。


场景 2:一份签名且有边界的授权(约 15 分钟)

现在 Claudia 能像你一样思考,但她还不能行动。第一幕里,她只是把推理说出来。这个步骤让她安全地以你的名义清掉一笔真实审批。为此,在让她签字放行钱相关事项之前,你会给她两样东西,跟你给任何受信任员工的一样:

  1. 只有她能做出的签名。 这样,之后任何人都能证明某个决定确实是她做的,没有人冒用她的名义伪造。可以把它想成一枚印章戒指,或一份公证过的签名:只属于她,无法仿冒。
  2. 一条支出上限。 一个清楚、刻意收窄的上限,说明她可以独自批准什么。在上限内她行动;更大的事来到你这里。可以把它想成你给员工的公司卡设置的额度。

整个想法就是:一个签名,一条上限。 底下所有技术细节(密码学、安全检查、审计记录)都是你的编程 agent 的工作。你设定上限,然后观察。

有一条规则值得抓牢:

note

她的上限永远只能比你自己的权限更窄,绝不能更宽。你不可能不小心把超过你自己的权力交给她:她的圈始终在你的圈里面。以后放宽它,它也仍然待在你的圈里。

两条 rails 和 code backstop:Claudia 的 signature,一把只有她持有的 ed25519 key,以及她的 narrow limit。每个 posted decision 都经过三道 gates:她 registered 且 trusted、signature verify、action 在 limit 内。任何 gate fail,decision 就被 refuse 并 log reason。

双信封交集。owner 的权限信封很大:编辑常设策略、批准扩展信封的招聘、授权终止、无上限退款。幕僚长的授权信封是它内部一个更小的圈:退款到某个上限、预算覆盖到某个百分比、在既有信封内的常规招聘。重叠的部分(高亮)就是她可以独自执行的。owner 专属区里的一切她都必须浮上来。一个动作只有同时落在两个圈里时才会运行:严格的交集,绝非并集。

你会用两条 prompt 做这件事:先设置她的签名和上限并复核,再让她清掉一笔真实退款。

第一条 prompt:给她一个签名和一条上限,并在任何东西上线前先复核。

设置 Claudia,让她能替我 act,但在 switch on 之前先把一切给我看。给她一个只有她持有的 signature。设置一个刻意 conservative 的 limit:她可以独自 approve 最高 $2,000 的 refunds 和最高 20% 的 budget overruns;更大的任何事,加上每一次 hire、firing 或 policy change,都必须来到我这里。把这条 limit 和她 signature 的 fingerprint 给我看,在任何东西 live 之前等我点头。永远不要给我看、也不要保存她的 secret key。

你的编程 agent 会完成设置,并向你显示上限和指纹。这是你来拍板的地方:这些数字只是起点,所以可以收紧或放宽。批准后,这套授权就上线。

第二条 prompt:让她清掉一笔真实退款,并观察完整路径。

现在 trigger Claudia heartbeat 的一次 wake,让我 live 观看,并用 plain language 带我看她做了什么:她自己 clear 哪个 routine refund、为什么、通过了哪些 safety checks、什么时候 post 到 company,以及留下了什么 record。然后,为了证明 limit 是真的,把一个远高于她 ceiling 的 refund 放进 queue,让她下一次 wake 碰到它;给我看她的 loop 拒绝 post 它并 log 原因,而不是偷偷放过去。

完成标志:Claudia 清掉一笔真实退款,带签名;公司队列显示它已批准;而且你能看到三样东西:她签名身份的指纹(永远不是私钥)、约束她的那条保守上限,以及这个决定记录在两个地方:公司自己的日志和 Claudia 单独的 ledger。为什么是两个,是场景 4 的主题。

一笔日常退款端到端清掉,约四十秒,全自主、全审计。一个审批到达公司队列。Claudia 读它,对照 owner 积累的判断做推理(常设规则匹配,学到的模式也佐证),并为决定签名。她的委托层跑三道检查:她的凭据被认可且未被吊销、她的签名验证通过、且该动作在她的授权信封之内。三道全过,于是决定被发到公司真实的审批路由。公司写下它自己的日志行,而 Claudia 的 ledger 写一条平行的行,记录这次是幕僚长做的决定,连同她的推理和签名。owner 从头到尾没被打扰。

签名,用大白话讲(密码学由你的编程 agent 来写;你只需要懂它的形状)

你不必是密码学家,这些全由你的编程 agent 来写。要紧的是形状。Claudia 持有一把私钥(一个秘密,在你磁盘上),公司持有对应的公钥。她做决定时,会对那个确切的决定产出一段短短的签名。任何持有公钥的人都能核验这段签名,并由此确知两件事:它来自 Claudia 的密钥,而且决定在她签名之后一个字符都没被改过。签名是对决定的确切字节计算的,所以你的编程 agent 在签名前会在两边用同样的方式排序并规范化数据。做这件事的标准工具(ed25519)就装在普通的库里;简报会告诉你的 agent 怎么把它接起来。

任何决定落地前的三道检查,以及那个反直觉的部分

在 Claudia 的某个决定到达公司之前,她的委托层按顺序跑三道关卡:

  1. **这真的是 Claudia,而且她仍然受信任吗?**她的注册存在且未被吊销。这一道有意放在最前面:一把未注册的密钥在这里就被拒掉,省得这一层在验证签名上费任何力气,所以一波伪造请求永远没法逼它去做昂贵的密码学运算。
  2. **她的签名能验证通过吗?**决定确实来自她的密钥、且未被篡改。这是你自己的检查;公司本身没有签名字段,所以这道关卡活在你构建的那一层里。
  3. **这个动作在她的信封内吗?**金额和类型都落在你委托的范围内。某道关卡失败会拒掉这个决定,但仍然写一条 ledger 行,因为一次伪造或过期密钥的尝试也必须可审计。

**那个反直觉的部分。**公司的审批路由是在董事会层级治理的:只有董事会层级的凭据才能驱动一次批准或拒绝。所以 Claudia 实际用来清掉一次审批的凭据,是一个董事会凭据,被你自己的委托层收窄了范围,而这恰恰正是它之所以是委托的原因。她那个单独的「agent」注册并不是清掉审批的东西;它是她的身份,也是你在场景 6 里要吊销的东西。在本地沙盒上,这一切在 loopback 上替你处理好了;这个区分只有当你把这个 lab 指向你自己已部署的公司时才会咬人,而简报覆盖了那条路径。

「批准」做什么、不做什么

批准一个审批,记录的是一个决定。它本身并不会推动关联的 issue 往前走,也不会唤醒某个 Worker 去执行它;那是单独、明确的一步,正如前面几门课所教。Claudia 的活到「决定已记录、ledger 行已写」就结束了。这一点要紧,因为它让她的角色保持干净:她治理决定,她不会悄悄伸手进到工作里。

带进场景 3 的东西

Claudia 现在能真刀真枪地清掉一笔审批,带签名、有边界。场景 3 把量调到一周的真实水平,并加上她工作的另一半:把你的意图往下带到公司,而不只是判断冒上来的东西。


场景 3:你什么都不做时的一周审批(约 12 分钟)

一笔审批证明了线路通。重点是那波洪流。而且到目前为止,Claudia 只朝一个方向工作:判断从公司冒上来的决定。一个真正的幕僚长还会把你的意图往下带给公司。

想法是这样的:

note

你的幕僚长双向工作。你告诉她你想要什么,她把它变成给公司的工作(command)。公司的决定冒上来,她清掉日常的、把其余的浮上来(govern)。第一个方向是一条单一指令。你搭的那些机器,几乎全是为了让第二个方向安全,因为以你的名义行事正是风险所在。

把这条粘贴给你的编程 agent:

设置一个 real week,然后把它交给 Claudia。先是 command direction:告诉 Claudia「我们开始收到 Spanish-language tickets 了,为此 staff」,让她代表我把这件事 file 成我 company 上的一条 hire request。然后让 company generate 一个 realistic week of work:CEO 提议几次 hires,加上一打左右的 routine refunds 和小额 budget overruns,它们落在她的 limit 内;再加上几个不在 limit 内的 refunds(over-limit 或 out-of-band)。不要让任何人 hand-clear 任何东西。只让 Claudia 的 heartbeat 跑完整个 week。她每次 wake 都应该做两件事:像往常一样 clear 和 surface queue,然后在我的 chat app 上 text 我一条 one-line brief:她 clear 了多少、金额多少,哪些需要我、为什么,以及 company 用一句话概括。给我看其中一条 brief。

其中有两个应该送到你手机上、而不是悄悄清掉:那个扩展权限的招聘(按定义在她信封之外),以及那个西班牙语招聘。第二个是有意思的情形,也正是她为什么套用判断、而不只是套用规则的全部原因。

一周的 split:approvals 经过 Claudia 的 heartbeat;limit 内的 routine items 自行 clear,over-limit refunds 和 strategic hires surface 给你,手机上的 one-line brief 告诉你 company 状态。

**完成标志:**那堆日常的(几十个)在两三分钟内自己清完,带签名,每个都有一条 ledger 行;恰好两个落到你手机上,附着 Claudia 的推理;而且你能用一句话说清,为什么那个西班牙语招聘明明没破任何规则,却仍被浮了上来。

为什么她浮上来一个通过了每条规则的招聘

那个西班牙语招聘落在既有权限信封之内,过了它的检查,也在预算之下。一条规则会放它过去。Claudia 还是把它浮了上来,因为一个新语种的第一次招聘不是额外产能,而是迈进一个新市场的战略一步:它可能意味着翻译服务条款、对双语支持的承诺、一个你想自己来定的方向。一条策略看不见这个。一个学会了你把市场扩张这类决定当成你自己来拍板的代理人,看得见。这就是场景 1 那条规则对判断的界线,现在真正派上了用场:策略以零注意力成本处理掉日常的九成,你的幕僚长逮住那一成里、人训练出的模式才管用的部分。

带进场景 4 的东西

Claudia 刚刚以你的名义做了几十个决定。场景 4 是那个让这件事可以安心接受的问题:几个月后,你还能分辨哪些决定是她的、哪些是你的吗?


场景 4:把她的决定和你的分开(约 10 分钟)

Claudia 刚刚以你的名义做了二十来个决定。这里有个问题应该让你略微不安,而这种不安是健康的:几个月后,你能分辨这些决定里哪些是她做的、哪些是你做的吗?如果不能,你就不是在委托,而是失去了线索。这个场景证明你永远能分辨。

用大白话讲,问题和解法是这样的:

note

Claudia 批准某件事和你批准某件事时,公司记录看起来完全一样。两者都只写着「董事会批准」,因为她用你的权限行动,盖的是你也会用的同一枚章,所以仅靠公司永远分不出你们。解法是:Claudia 保留她自己的签名 ledger,一本记录她决定的日志本。每一次是她做决定,她都会写一行:「这是我做的,原因在这里」,并签名,确保无法伪造。你不会写这样的行。把公司的记录和她的 ledger 放在一起,按它们共享的审批对上,完整故事就出来了:公司说被批准的是什么,她的 ledger 说哪些是她做的。

两个主体,一个人。owner 用 passkey 认证,持有完整的权限信封,通过直接点击行动。幕僚长用她的签名密钥认证,持有信封的一个委托子集,通过签名调用行动。但公司的审批路由是董事会把关的,所以公司自己的活动日志把 owner 的点击和幕僚长的调用记成同一种:董事会在行动。这个区分由幕僚长那份单独的治理 ledger 来承载,她的每一个决定都在那里写一条行,点明她是主体,连同她的推理和签名。一个由 owner 直接解决的审批没有这样的行。两份记录,按审批 id 对上,就是完整的审计故事。

把这条粘贴给你的编程 agent:

为了有一个可以 compare 的对象,让我直接自己 clear 一条 approval,就像我有时会做的那样。然后 side by side 给我看这条 approval,以及 Claudia 的 loop 这周自己 clear 的一条 approval:我想看到它们在 company records 里看起来 identical,而且只有她自己的 signed ledger 能把它们分开。然后让 Claudia 给我发送一份 one-screen summary,总结她这周处理的一切。

**完成标志:**你亲眼看到,一笔由 Claudia 清掉的审批和一笔由你清掉的审批在公司记录里看起来一样,唯一把它们分开的,是她 ledger 里那条带签名的行(她的名字、她的推理)。而且你的聊天应用里有一份一屏大小的每周小结。

为什么公司分不清它们,以及为什么这没关系

公司的审批路由是在董事会层级治理的。无论你在控制台里点批准,还是 Claudia 通过她那个董事会范围的凭据发一个带签名的决定,公司写下的都是同一种日志行:董事会行动了。公司原生并不记录「一个 AI 代理人做了这件事」。这不是一个需要遮盖的缺口;它恰恰正是 Claudia 要保留她自己的 ledger 的原因。她的 ledger 是唯一一个记录 owner 与代理人之区分的地方,连同那份推理,以及那段证明决定是她做的、且未被篡改的签名。两份记录活在两个分开的存储里,按它们共享的那笔审批对上,而不是在一次查询里联结。合在一起,它们就是完整、诚实的审计故事:公司说什么被决定了,Claudia 的 ledger 说是决定的、为什么。

每周小结长什么样

你不会一行一行地读 ledger。Claudia 把一周的内容变成一份摘要,大致是这样:

**本周:**处理了 142 个决定。134 个我自己清掉(94%)。8 个我浮给了你。你推翻了我 1 个。

**你的推翻:**一笔 $1,847 退款,给一位有过往退款的客户。你的批注:「该浮上来,多次前科。」我已更新:对六个月内有两次或以上过往退款的客户,无论金额我都会浮上来。

**值得一瞥:**两笔我以低于平常的信心批准的退款;两笔都涉及我不常见到的模式。已记下行号,方便你抽查。

那就是你实际消费的形态:总数、例外、纠正,以及她想让你过目的那几个低信心决定。每周读它,正是让你在恰当的高度上保持在环内的方式,看的是模式和例外,而不是每一条单独的行。

带进场景 5 的东西

你现在能确切看到 Claudia 做了什么。场景 5 是当你看到某件你不认同的事时,该怎么办。


场景 5:推翻她的决定,看她学习(约 8 分钟)

迟早,Claudia 会做出一个你不会做的决定。你的本能会是把它当成一个要根除的失败。事实恰恰相反。

想法是这样的:

note

不一致不是故障。它是那个信号,恰恰标出 Claudia 的判断到哪儿为止、你的从哪儿开始。你反转这个决定,她把你的理由记成训练,下一个相似的情形就会更好。你永远不会被锁在外面:推翻权永远是你的,公司也始终是你的。

把这条粘贴给你的编程 agent:

挑一笔 Claudia 的 loop 这周 auto-cleared 的 refund,让我把它 reverse,就像我不同意时会做的那样。把我的 override 和 reason 记录到她原来的 ledger row 上,并 update 她学到的内容,让这种 case 以后变成她会 surface、而不是 clear 的内容。然后证明它生效了:把一个 similar refund 放进 queue,让她下一次 heartbeat 碰到它,并给我看她现在把它 surface 给我,而不是 clear 它。最后,根据这周的 numbers 告诉我,她整体 behavior 看起来是否 healthy。

**完成标志:**你的推翻落到 Claudia 原来那条 ledger 行上,附着你的理由,被记成她下次会权衡的反馈,而且你能用一句话说出那个健康的形态:大多数决定她自己处理、一小部分浮上来、推翻少到每一次都会被仔细读。

为什么不一致是系统在运转,而不是在失灵

推翻是好兆头、不是坏兆头,有三个理由:

  • **没有哪个学到的模式第一次就是对的。**Claudia 推断出的模式是近似;找出一个在哪里会失效的唯一办法,就是看它失效。如果你俩从不分歧,那她的模式还没被检验过。
  • **你的判断会变。**第一个月的你和第六个月的你不是同一个操盘手;市场在变,公司在长。推翻就是那个信号,说明你的想法挪动了,她需要跟上。
  • 纠正承载着你的理由。「该浮上来,这个客户有前科」不只是一次反转;它是一条她日后能用到相似但不完全相同的情形上的规则。推翻就是训练数据。
那些其实是警讯的形态

一个健康的稳态大致看起来是:大多数决定自主处理、一小部分浮上来、推翻很少。把这些当成参照,而不是一个要去优化的指标;真实数字取决于你的业务和你的风险偏好。有三种形态确实值得担心:

  • 你在不停地推翻她(她五分之一或更多的决定):她的信封太宽,或她的模式没校准好。收紧信封。
  • **你不再读每周小结了:**你悄悄滑回了对一切盖橡皮章,而那正是这门课要防的东西。先重新投入,再改别的。
  • **她几乎把一切都浮给你:**她太谨慎了,而整件事的要点(解放你的注意力)就丢了。放宽她的信封或她的信心阈值。
带进场景 6 的东西

Claudia 现在是一个可信、会自我纠正的幕僚长。在你真的拿它来跑之前,还剩一个问题:你的笔记本,也就是她栖身的那台机器,丢了或被偷的那一天,会发生什么?


场景 6:丢了笔记本,保住公司(约 10 分钟)

Claudia 持有一把能以你名义行动的密钥。这让她有用;在最糟的一天,也就是笔记本丢失或被偷时,这也是危险所在。一个对那一天没有答案的架构,不是你会拿公司去信任的架构,所以你现在先演练恢复,趁你还没真正需要它。

在那个最糟的一天,必须有两件事为真,而你会把两件都测一遍:

  1. 你能立刻停用她,而且只有你能。 从任何其他设备,用你自己的登录(绝不是她的签名),切断她的访问。一个被偷走或被篡改的 Claudia 绝不能撤销自己的停用,也不能悄悄重新登录。可以把它想成取消一张公司卡:只有 owner 能取消它,卡不能取消自己。
  2. 你不会丢掉她学到的东西。 她了解你的所有东西都住在你磁盘上的普通文件里,而你会备份这些文件。所以你可以在一台新笔记本上把她带起来,她仍然是同一个 Claudia,判断完整无损。重新签发的只有她的密钥:她的「大脑」是你的文件,她的「工牌」重新打印。

把这条粘贴给你的编程 agent:

用 plain language 带我走两个 recovery situations。第一,假装这台 laptop 刚刚被偷,而且 Claudia 的 loop 还在运行:从另一台 device,用我自己的 login,把她 shut off。停止她的 loop(shut down 她的 gateway / turn off 她的 heartbeat),并 rotate 她用来 post 的 company credential。给我看三件事:试图用她自己的 signature shut her off 会被 refused;她的 old credential 现在 dead;即使她的 loop somehow wake,也再也不能 post 任何东西。第二,一次 planned move:安全停止她的 loop,在一台 fresh machine 上把她带起来,保留她的 persona、learned judgment 和 ledger,只重新 issue 她的 keys 并 restart heartbeat。每一种情况都告诉我:什么 survived、什么没有、什么只有我能做。

**完成标志:**那份「被偷」的访问已失效,而且一次试图用她自己的签名切断她的访问被正确拒绝;一个新的 Claudia 在一台干净机器上起来,人设相同、上限相同、ledger 连续;而且你能用一句话说清,为什么只有你,永远不是 Claudia,能切断访问。

失窃笔记本的几种情形,从最糟到最好

一台失窃笔记本有多糟,全看它当时处于什么状态:

  • **关机,磁盘已加密:**小偷拿到的是块砖。密钥读不出来。换台笔记本,从备份恢复,重新签发凭据。
  • **开着但锁屏:**磁盘已解密,但小偷无法驱动 Claudia。如果他们能直接够到文件系统就有些风险;把密钥存进你操作系统的钥匙串会把这道门槛抬高。
  • **开着且已解锁,你的会话还活着:**最糟的情形。小偷可以在她的授权信封内作为 Claudia 行动。这就是吊销存在的理由:从任何另一台设备,用你自己的凭据,你掐断她的访问。她的信封被刻意收窄,也正是在你动手之前那段窗口里,把损害封顶的东西。

无论哪种情形,要紧的缓解都一样:吊销是只有你能做的一步,而她学到的判断活在一份你掌控的备份里,所以你永远不会既被锁在外面、又被一抹而空。

一个诚实的局限:活在不止一台机器上

Claudia 默认一次只活在一台机器上,而那个单机的故事是完全解决了的:她的判断在你拥有的文件里,你可以读、备份、搬动或销毁它们,没有任何平台能扣它们当人质。把她干净地同时铺在你的好几台设备上(你的笔记本、你家里的机器、你的手机)是真的更难。截至 2026 年,你在三种模式里选,没有一种是免费的:把她留在一台机器上(完全自主,但被绑在那台上);跑你自己的一个小同步服务器(仍然自主,因为服务器是你的,代价是你得运维它);或者通过一个外部服务同步、数据用一把只有你持有的密钥加密(自主程度只到加密守得住为止)。那个没有取舍的版本仍是未竟之事。这门课教那个扎实的部分,并诚实说明多设备、跨多年的版本还没完成。从任何地方触达 Claudia(你的任何聊天应用)很容易,今天就能用;那是和她同时栖身在好几个地方完全不同的另一回事。

你现在已经把整件事打造出来了

一个像你一样推理、在一份签名且有边界的授权内行动、几分钟扩展到一周审批、保有一份永远把她的决定和你的分开的审计轨迹、从你的推翻中学习、并能熬过一台失窃笔记本的幕僚长。这一页接下来的内容,是你带走的东西,以及这通往何处。


你打造了什么,以及你带走什么

你不只是清掉了一堆积压。你先打造了你的 Identic AI,一个像你一样做决定的分身,然后让她以幕僚长的身份上岗。你把那个唯一不可扩展的活——你自己的注意力——交给了一个像你会做的那样去做它的代理人,同时你的手始终按在唯一要紧的那根杠杆上。你看着她在碰到任何公司之前就像你一样推理。你给了她一个签名身份和一份刻意收窄的授权。你看着她几分钟清掉一周的日常、把那两个真正属于你的决定浮上来。你证明了你永远能把她的决定和你自己的分开,你纠正了她、看着纠正生效,你也证明了万一非得如此,你能从另一台设备把这一切收回。

现在把镜头拉远,看 Claudia 本身。如果你明天卖掉这家公司、再开一家,你会带走什么?一个幕僚长其实是两样东西,只有其中一样会随你走。

随你走的留在公司的
你怎么沟通、怎么做决定,你的风格和常设指令她在这里解决的那些具体审批
她学到的关于你判断的那些模式她在这家公司的决定 ledger
代理人本身的配方,她的技能和搭建限定到这家公司的凭据

你积累的判断之所以可携带,是因为它活在你自己磁盘上的文件里,而不是一个能扣它当人质的平台上。公司的记录留在公司,那是它们该在的地方。那条分界正是这套架构属于你、而非租来的全部原因:你的幕僚长熬得过换公司、换笔记本,甚至换底层工具,因为那个是你的部分,从来不在任何你可能弄丢它的地方。

撑起这一切的纪律,一句话就够:**你委托工作,绝不委托权威,并保有一份诚实到足以证明哪些决定是你的的 ledger。**你保持 owner 的身份,不靠读每一个审批,而靠决定谁可以决定什么,以及靠贴着小结贴得够近、让一切不会漂移。

**让它一直运转的那一个习惯:**每周一次,读 Claudia 的摘要。十分钟。把任何你会做得不一样的地方纠正过来;她从中学习。人们误用这种设置最常见的方式,就是不再读小结,那会悄悄把它变回盖橡皮章。这套架构只有在你保持在那个高度的环内时,才让你安全。

你这一半在你机器上住在哪里(参考)

这些你从不亲手碰;你的编程 agent 来碰。但因为这是你的数据,知道它坐在哪里是值得的:

是什么在哪里
Claudia 积累的上下文:人设、历史、学到的模式你的 OpenClaw 工作区,在你拥有的文件里
她的签名密钥你磁盘上一个受保护的文件,或你操作系统的钥匙串(绝不进 git,绝不打印出来)
她的授权信封,你设的那些上限一个你能读、能调的纯文本文件
她的治理 ledger,她替你做的每一个决定你自己的数据库,就是你立起公司时开通的那个

这一切都是你的,可读、可备份、可搬动、可删除。那就是「自主可控」在实践中的意思。


接下来是什么:边缘

你已经合上了你在前面几门课里一路打造的那套架构的最后一个开放缺口。用规范的命名,整套 thesis 现在已经被操作化,每一条 invariant 都由一门为它真刀真枪打造的课来实现:

Invariant它需要什么在哪门课打造
1. 人是主体意图、预算、权威、问责贯穿整条路线
2. 每个人都需要一个代理人一个承载你的上下文、判断和权威的个人 agent这门课
3. workforce 需要一个管理层招聘、分派、治理、观测、退役workforce 那门课(Paperclip)
4. 每个 Worker 自选引擎为每件活配对的运行时构建 agent 那门课
5. 每个 Worker 对着一个真相之源运行一个权威的存储,干净地触达真相之源那门课
6. workforce 在策略下可扩展招聘作为一种可调用的能力自我扩张 workforce 那门课
7. workforce 跑在一套神经系统上事件、持久性、流量控制神经系统那门课(Inngest)

那就是架构。剩下的是边缘,而它确实是前沿,不是更多课程。

**那些诚实的开放问题。**你的幕僚长把日常处理得好,是因为她学会了你的模式。模式不等于你的价值观,也就是模式底下的那层结构,而在模式失效的地方(一位长期老客户试图申请一笔欺诈退款;模式说批,你的价值观说先核实),单靠模式匹配是不够的。教一个代理人你的价值观、而不只是你的习惯,是活跃的研究,不是一项已定的技术。让她干净地跨你多台设备、跨多年地活着,也是。你打造的架构把你的公司扩展了一大截,不是无限;在很远的某处,那些剩下的难啃情形需要还没出货的价值对齐工作。这门课诚实地说:上限就在外头。

**更大的形状。**你打造的是某个更大东西的一个节点。Tapscott 的图景,是一张由这些代理人组成的网络:每家公司 owner 一侧有一个、每个员工一个、每个客户一个,在签名凭据下彼此相遇,而人只在重大和战略的事情上介入。一个客户自己的幕僚长,有朝一日可以直接给你公司的 workforce 发消息,去把一条合同条款理清楚,用的就是你在这里打造的同一套签名与核验原语,只是现在被拉过了一条两边并不预先信任彼此的边界。那种跨方信任就是缺失的那一块,也是这项工作打开的下一个前沿。

接下来去哪:

你想要……
那门让每个 Worker、每个被委托的决定都可度量地可信的纪律评测驱动开发,收尾整条路线的那门课
进入 OpenClaw 本身最平缓的动手入口OpenClaw 与通用 agent
你正在治理的公司那一侧:把它立起来、让它成长打造一支 workforce让它自我成长
对个人 AI 雇员更深入的讲解第 56 章:认识你的个人 AI 雇员

架构在这门课之后就完整了;课程在评测驱动开发那门课之后才完整,它把整件事裹进那套把「已打造、在运行」变成「可证明可信」的评测纪律里。


参考与延伸阅读

  • Tapscott, Don (2026). You to the Power of Two: Redefining Human Potential in the Age of Identic AI. 本课所借「Identic AI」说法的出处。
  • HBR IdeaCast,"With the Rise of Agents, We Are Entering the World of Identic AI"(2026 年 2 月)。Don Tapscott 接受 Adi Ignatius 访谈。
  • OpenClaw:openclaw.aidocs.openclaw.aigithub.com/openclaw/openclaw
  • Paperclip:docs.paperclip.ing
  • Agent Factory thesis:这条路线所操作化的七条 invariant。

检验你的理解

一次有门槛的自测,针对你刚刚走过的那些想法:owner 瓶颈、代理人、签名信封,以及审计真相。

Checking access...