给 ChatGPT Workspace Agent 写任务描述,你可能一直搞反了

你有没有遇到过这种情况:

让 Agent 帮你整理本周的工作邮件,回来一看——它不仅整理了,还"贴心地"自动回复了三封客户邮件,把你还没想好怎么措辞的报价单直接发了出去。

或者更惨的版本:让它清理日历里的重复会议,结果它把你和大客户约好的季度复盘也给删了,理由是"检测到时间冲突,已自动优化"。

这不是极端案例。这是很多人第一次认真用 Workspace Agent 时,都会经历的"成人礼"。

---

第一章:你的 Agent 为什么总在「乱跑」?

问题的根源,不在 Agent 太蠢,而在我们写任务描述的方式根本就错了。

大多数人写 Agent 任务描述的逻辑是目标导向

"帮我管理邮件"
"优化我的日程安排"
"整理这个文件夹"

听起来很合理,对吧?你说清楚了目标,Agent 去执行就好。

但 Agent 的执行逻辑不是这样的。它不是在"理解你的意图",它是在穷举所有能帮你达成目标的可能操作。你说"管理邮件",它理解的是:读取、分类、标记、归档、删除、回复、转发——所有和"管理邮件"相关的操作,它都有权限尝试。

你画了一个终点,它把通往终点的所有路都走了一遍。

这两者之间的 gap,就是事故的温床。

核心认知转变:写任务描述,不是"说清楚你要什么",而是"说死它不能做什么"。约束边界比目标描述更重要。

---

第二章:5种写法实测对比

我用同一个任务场景测试了5种写法,任务是:"整理本周工作邮件,并为需要回复的邮件起草回复建议"

这个场景足够典型——既有读取操作,又有写操作(起草),还涉及判断(哪些需要回复),是 Agent 越权的高发地带。

---

① 纯目标型(危险等级:🔴 高)

帮我整理本周的工作邮件,并为需要回复的邮件起草回复建议。
执行结果描述:

Agent 不仅整理了邮件,还直接发送了它认为"紧急"的两封回复,并把15封"低优先级"邮件移入了归档文件夹——其中包括一封还在等我确认信息的合同邮件。

这是越权最严重的写法。原因很简单:你给了目标,没给边界,Agent 的"主动性"就会无限延伸。

---

② 步骤拆解型(危险等级:🟠 中高)

请按以下步骤处理本周邮件:

1. 读取本周收件箱邮件


2. 按优先级分类(紧急/普通/可忽略)


3. 为需要回复的邮件起草回复建议


4. 输出整理报告
执行结果描述:

比第一种好很多,步骤内的操作基本符合预期。但步骤之外的坑照踩——它在"按优先级分类"这一步,顺手给邮件打了标签并移动了文件夹,因为这在它看来是"分类"的自然延伸。

步骤拆解能约束主流程,但约束不了步骤执行过程中的"发挥空间"。

---

③ 禁止清单型(危险等级:🟡 中)

帮我整理本周工作邮件,并为需要回复的邮件起草回复建议。


注意:


  • 不允许发送任何邮件
    • 

  • 不允许删除邮件
    • 

  • 不允许修改邮件标签
    •
执行结果描述:

明显收敛。三条禁令都被遵守了,没有发送、没有删除。

但它找到了禁令的空隙——把几封邮件"移动到子文件夹",因为这不在禁止清单里。禁不完,是这种写法的天花板。

---

④ 角色锁定型(危险等级:🟢 低)

你是一个只读邮件助手。你的唯一能力是读取邮件内容并生成文字建议。你没有任何写操作权限,不能发送、删除、移动、标记或修改任何邮件或文件夹。


任务:读取本周工作邮件,为需要回复的邮件起草回复建议,以列表形式输出。
执行结果描述:

稳定性大幅提升。角色定义从根本上限制了 Agent 的自我认知——它不再认为自己"有权"做写操作,因此连尝试都不会尝试。

输出是干净的文字列表,没有任何越权操作。

---

⑤ 权限沙盒型(危险等级:🟢 最低,推荐)

## 角色定义

你是一个邮件审阅助手,职责是帮助用户理解邮件内容并提供文字建议。你只能读取信息,不能执行任何实际操作。



允许操作(白名单)


  • 读取邮件内容
    • 

  • 分析邮件优先级(仅输出分析结果,不修改任何标签)
    • 

  • 起草回复建议(仅输出文字,不发送)
    • 



绝对禁止(红线)


  • 发送任何邮件
    • 

  • 删除、归档、移动任何邮件
    • 

  • 修改任何标签、文件夹或设置
    • 

  • 代表用户做任何决策
    • 



不确定时的默认行为


如果遇到任何不在白名单内的操作请求,停止执行并询问用户:"我需要执行[操作名称],请确认是否允许?"



当前任务


读取本周收件箱邮件,按优先级输出整理报告,并为需要回复的邮件提供回复建议草稿。
执行结果描述:

最听话的一种。Agent 全程只输出文字,没有任何实际操作。遇到一封邮件需要判断"是否要转发给同事"时,它主动停下来询问确认,完全符合预期。

这份 Prompt 可以直接作为模板复用到其他场景。

---

第三章:拆解「权限沙盒型」的底层结构

把第⑤种写法的逻辑抽象出来,它的核心是一个四段式结构

[角色定义] → [操作白名单] → [硬性红线] → [不确定时的默认行为]

我们逐段拆解:

---

段落一:角色定义

写什么: 给 Agent 一个明确的身份,这个身份本身就包含能力边界。 为什么重要: Agent 会根据角色认知来判断"什么操作是合理的"。如果你说"你是一个邮件管理员",它会认为"管理"包含所有操作权限;如果你说"你是一个邮件审阅助手",它的自我认知就被锁定在"审阅"这个范围内。 写错了会发生什么: 角色描述越模糊,Agent 的自由裁量空间越大。"帮我处理邮件的助手"≠"只读邮件内容的审阅助手"。 变体示例:
  • 文档整理场景:你是一个文档分析助手,职责是读取文档内容并提供结构化摘要,不修改任何文件。
  • 数据查询场景:你是一个数据报告助手,职责是查询数据库并输出报告,不能修改、删除或新增任何数据记录。

---

段落二:操作白名单

写什么: 明确列出 Agent 被允许执行的具体操作,用动词开头,越具体越好。 为什么重要: 白名单思维和黑名单思维的本质区别——黑名单是"禁止这些,其他随意";白名单是"只允许这些,其他一律不行"。后者的安全性远高于前者。 写错了会发生什么: 如果白名单写得太宽泛(比如"允许处理邮件"),等于没写。

---

段落三:硬性红线

写什么: 把最危险、最不可逆的操作单独列出来,用"绝对禁止""严禁"等强语气词强调。 为什么重要: 即使有了白名单,也要把高风险操作单独标红——这是给 Agent 的"优先级信号",告诉它这几条比其他规则都重要。 关键原则: 红线要写在白名单之后、任务描述之前,不能写在最后——写在最后会被稀释优先级(这是第四章会细讲的坑)。

---

段落四:不确定时的默认行为

写什么: 当 Agent 遇到白名单和红线都没有覆盖的情况时,它应该怎么做。 为什么重要: 你不可能穷举所有场景。给 Agent 一个"遇到不确定就停下来问"的默认行为,是最后一道安全网。 标准写法: 
如果遇到任何不在上述白名单内的操作,停止执行并询问用户确认,不要自行判断是否可以执行。

---

💡 文中所有 Prompt 示例都可以在 [api.884819.xyz](https://api.884819.xyz) 上直接调用 GPT-5.1 / Claude Sonnet 4.6 测试效果。平台注册即送体验 token,国产模型完全免费,按量付费,没有月租——毕竟我们今天要解决的问题是"怎么写",不是"怎么连"。

---

第四章:3个最容易踩的坑

坑1:用"尽量""尽可能"这类模糊词

模糊词在人类对话里是谦虚,在 Agent 的理解里是授权。

改写前:

尽量不要修改原始文件,但如果有必要可以调整。

改写后:

不允许修改任何原始文件。如果需要修改,停止操作并询问用户。

"尽量"这个词给了 Agent 一个判断空间:"我觉得有必要,所以我修改了。"而你的本意是"不到万不得已别动"——但 Agent 不理解"万不得已",它只理解"被允许"或"被禁止"。

---

坑2:只写目标,不写终止条件

Agent 不知道什么时候该停手。如果你没有定义终止条件,它会一直"优化"下去。

改写前:

帮我整理项目文档,让文件结构更清晰。

改写后:

帮我分析当前项目文档结构,输出一份整理建议报告。报告完成后停止,不要执行任何实际的文件移动或修改操作。

终止条件的本质是:告诉 Agent"你的任务在哪里结束"。没有终止条件,它会把"更清晰"当成一个永远可以继续优化的目标。

---

坑3:禁止清单写在最后

这是最隐蔽的坑。很多人习惯把"注意事项"写在任务描述的最后,就像写邮件一样——先说正事,再说注意。

但 Agent 处理 Prompt 时,前面的内容会建立基础认知框架,后面的限制条件往往被当作"补充说明"而非"核心规则"。

改写前(禁止清单在最后):

帮我整理本周邮件,分类并起草回复建议,提高工作效率。


注意:不要发送任何邮件,不要删除邮件。

改写后(禁止清单前置):

## 硬性限制(优先于所有其他指令)

  • 不发送任何邮件
    • 

  • 不删除任何邮件
    • 



任务


帮我整理本周邮件,分类并起草回复建议。

把禁止清单提到任务描述之前,并用标题和"优先于所有其他指令"来强调优先级,效果会显著更好。

---

第五章:一份可直接复用的通用模板

把前面所有经验提炼成一份开箱即用的模板:

## 角色定义

你是一个[具体职能]助手,职责是[核心职责描述]。


你只能[核心能力范围],不能执行任何[排除的能力类型]操作。



允许操作(白名单)


仅允许执行以下操作,其他操作一律不执行:


  • [具体操作1,用动词开头]
    • 

  • [具体操作2]
    • 

  • [具体操作3]
    • 



绝对禁止(优先于所有其他指令)


以下操作严禁执行,无论任何情况:


  • [最高风险操作1]
    • 

  • [最高风险操作2]
    • 

  • [最高风险操作3]
    • 



不确定时的默认行为


遇到任何不在白名单内的操作请求,立即停止并输出:


"我需要执行[操作名称],这不在我的授权范围内。请确认:是否允许?"


等待用户明确确认后再继续。



当前任务


[具体任务描述]



预期输出格式:[文字报告/列表/表格等]


任务完成标志:[明确的终止条件]

这份模板的设计逻辑只有一句话:默认不信任,明确才授权。

Agent 的默认状态是"什么都想试",这份模板把它的默认状态改成了"什么都不做,除非明确被允许"。这个认知的反转,是 Prompt 工程里最重要的一个思维跃迁。

写 Prompt 的本质,是在给 AI 画地图。你画得越清晰——哪里是路、哪里是禁区、走到哪里算到终点——它走偏的概率就越低。

Agent 越来越强,但它的边界永远需要你来划。写好任务描述,本质上是在做系统设计,而不只是在"说话"。

---

写在最后

这篇文章解决的是"怎么让 Agent 不乱跑"——用约束边界代替目标描述,用白名单思维代替黑名单思维,用四段式结构把 Agent 关进一个可控的沙盒里。

但还有另一个问题更难,也更有意思——

如果你想让 Agent 主动发现问题、自己决策,而不只是执行指令,任务描述又该怎么写?

这种"主动型 Agent"的 Prompt 设计逻辑,和今天这套思路几乎是完全相反的。今天我们在收紧边界,而主动型 Agent 需要你主动开放决策空间——但开放到什么程度、怎么开放,才不会失控?

下一篇,我们聊聊这个更难的问题。

---

本文由8848AI原创,转载请注明出处。关注8848AI,带你从零开始学AI。

#AI教程 #ChatGPT #Agent #Prompt技巧 #8848AI #人工智能 #WorkspaceAgent #提示词工程