过去两年,很多 AI 应用都停留在屏幕里:聊天、写代码、生成图片、总结文档。
它们的失败通常是可逆的。回答错了可以重试,代码坏了可以回滚,图片不满意可以再生成一张。
但当 AI 进入物理世界,事情会立刻变得不一样。
机器人伸出手,车辆打方向,医疗设备给出剂量,工业机械调整阀门,这些动作不再只是信息流里的 token,而是会改变真实世界状态的控制行为。
物理世界不可逆
物理世界最麻烦的一点,是不可逆。
一辆车错过刹车点,不能像撤销一次编辑那样回到三秒前。机械臂夹碎零件,病人接受了错误干预,工厂产线进入异常状态,都不是简单的“重新生成答案”。
这意味着我们不能把大模型在数字世界里的容错方式直接搬到物理系统里。
AI 可以犯错,但物理系统不能用“多试几次”作为默认策略。
物理世界只能部分观测
另一个麻烦,是部分可观测。
模型看到的永远不是完整世界,而是传感器、日志、历史状态和业务规则拼出来的近似。
摄像头有盲区,雷达会受干扰,医疗数据可能延迟,工业传感器会漂移。现实不是一份干净的 JSON 输入,而是一组带噪声、缺失、延迟和偏差的信号。
这会带来一个很重要的工程判断:AI 的输出不应该被当作“真相”,而应该被当作“在当前观测条件下的概率性建议”。
这也是 AI 和传统控制系统之间最核心的张力。
概率智能与确定控制
传统控制更偏确定性。给定状态、规则和约束,它追求可预测、可验证、可复现。
刹车系统、飞控系统、工业 PLC、医疗设备控制逻辑,都是建立在明确边界和可证明行为上的。
而现代 AI,尤其是大模型和多模态模型,更擅长处理模糊语义、复杂场景和开放任务。它们可以判断“前方可能有人”“这个工况看起来异常”“这段病历提示风险升高”,但它们的推理不是传统意义上的确定控制律。
所以更合理的架构不是让 AI 直接接管控制,而是让 AI 提供感知、解释、规划或候选动作,再由确定性系统负责约束、仲裁和执行。
安全不能只放在模型里面
很多讨论会自然落到“让模型更可靠”“让模型学会安全规则”。这当然有价值,但不够。
因为物理系统的安全边界必须存在于模型之外。
模型可能误判、幻觉、过度自信,也可能遇到训练分布之外的场景。安全设计应该假设模型会失败,然后问:失败时系统如何保持可控?
自动驾驶里,规划模型可以给出路径建议,但车辆控制层需要速度上限、碰撞约束、紧急制动策略。医疗场景里,AI 可以辅助诊断和剂量建议,但最终需要权限、审计、人工确认和禁忌规则。工业现场里,AI 可以预测设备异常,但执行层必须受限于联锁、停机条件和安全阈值。
Runtime 像一个动作网关
这时 Runtime 的角色会变得非常关键。
这里的 Runtime 不是简单的代码运行环境,而是 AI 系统和物理系统之间的安全协调层。它负责把模型输出放进真实约束里运行:检查状态、管理权限、执行限流、处理超时、记录审计、触发回退、协调人工介入。
可以把 Runtime 理解为一个“动作网关”。模型不能直接操作世界,只能向 Runtime 提交意图。Runtime 再根据上下文判断这个动作是否允许、是否需要降级、是否需要二次确认、是否只能在沙盒或低风险范围内执行。
例如机器人要抓取一个物体,模型可能给出“移动到坐标 X,闭合夹爪”的计划。但 Runtime 需要检查工作区边界、附近是否有人、夹爪力度是否超限、当前任务是否允许自动执行。如果风险升高,它可以要求降低速度、切换远程人工确认,或者直接进入安全停止。
车辆场景也是类似。AI 可以参与场景理解和策略规划,但 Runtime 必须持续协调感知可信度、控制约束、法规规则和最小风险状态。当传感器冲突、模型置信度下降或环境超出设计域时,正确动作可能不是继续“智能驾驶”,而是减速、靠边、交还控制权。
医疗和工业更能说明这个问题。越是高风险系统,越不能把安全寄托在单点智能上。
需要的是分层防护:模型层负责识别和建议,规则层负责硬约束,Runtime 负责协调状态和动作,人工与组织流程负责最终责任闭环。
小结
AI 与物理世界耦合之后,工程重点会从“模型能不能做出聪明决策”,转向“系统能不能在不确定条件下安全行动”。
这是一种范式变化。我们不再只是在构建应用,而是在构建带有现实后果的行动系统。它需要概率模型,也需要确定控制;需要智能规划,也需要硬边界;需要自动化,也需要可暂停、可追责、可恢复。
未来可靠的物理 AI,不会是一个无所不能的大模型直接控制世界,而是模型、Runtime、控制系统、传感器、规则和人共同组成的协作系统。
智能负责提出可能性,Runtime 负责守住边界。世界不可逆,所以系统必须谦卑。