两种失败的差异

传统软件的错误是吵闹的。崩溃弹窗、500 错误页、红色感叹号——用户立刻知道出事了,产品方立刻收到告警。

AI 产品的错误是安静的。模型给出了一段流畅、自信、格式完美的输出——然后你可能要到三天后才发现其中引用的数据是虚构的,或者给出的建议基于一个已经被废除的政策。

我把这类错误称为「静默失败」。它有三个特征:

  • 输出形式上无可挑剔
  • 用户第一反应是信任而非质疑
  • 错误的后果可能在时间或空间上延迟暴露

产品经理最该警惕的不是"模型有时候会出错"——这是已知的。真正危险的是"模型出错时看起来完全不像出错"。

静默失败的高发场景

事实性陈述

模型被问到"2025 年中国 AI 市场规模是多少"时,给出一个带小数点的精确数字。用户无法分辨这是查询了最新报告,还是模型根据训练数据中的模糊记忆"编"了一个看似合理的数。

操作建议类

医疗、法律、金融领域的咨询场景。模型的语气越笃定,用户越容易被误导。我看到过一个案例:用户问 AI"合同中的竞业条款是否合法",模型引用了两部已经废止的法规条文,做出了"合法"的判断——而且附带了法条编号,看起来非常专业。

代码生成类

模型生成了一段代码,语法正确、逻辑通顺,安全漏洞却藏在函数的边界条件里。开发者复制粘贴后跑了测试,全绿通过。三个月后在极端流量下崩溃,排查了半天才定位到那行 AI 生成的代码。

产品层的应对策略

与其试图让模型永远不出错——这不现实——不如设计一套"让错误变得可见"的产品机制。

策略一:置信度可视化

不需要展示模型内部的概率分布。在产品层面,更有效的方式是对不同类型的信息采用不同的视觉语言:

  • 确定信息:标准卡片,无额外标识
  • 推测信息:浅灰底色 +「AI 推断,建议核实」
  • 引用信息:附来源链接 + 更新时间

这个设计的核心不是"告诉用户 AI 有多不确定",而是"让用户用最低的认知成本分辨哪些信息可以闭眼用、哪些需要动脑核实。"

策略二:强制二次确认

对于有后果的操作类输出,设置"人工确认节点"。不是弹窗问"你确定吗?"——用户永远会点确定。而是:

  • 把 AI 的关键假设拆成 3-5 条,让用户逐条确认
  • 对关键结论,要求用户补充一个 AI 不知道的私有信息作为校验

策略三:影子模式

上线高风险场景时,不要直接替换人工流程。先跑"影子模式":AI 在后台运行,给出结果但不呈现给用户,由人工审核后记录偏差。当影子模式下的准确率连续两周稳定在阈值以上,再逐步切流量。

这是一个慢但稳的做法,适合金融、医疗、法务等容错率低的领域。

长期思路

静默失败不是技术问题,是产品设计问题。技术团队负责提升准确率,产品团队负责设计「当准确率不是 100% 时,用户如何安全地使用产品」。

一个好的 AI 产品,用户不会因为它出错而愤怒——因为错误是可感知、可追溯、可修正的。用户真正愤怒的,是对着自己不知道的错误做了错误的决策,而产品没有给任何提示。