1080 字,43 个"勿"。
猜猜看这是什么?这是一本清朝秀才写给小孩看的蒙学读物。但是,如果你换一个角度看,这是一份非常像今天 AI Agent 行为规范的东西。
这两个事情本来没有半毛钱关系,但当你把《弟子规》和 GitHub 上那些 CLAUDE.md、AGENTS.md 摆在一起看,你会发现一件很神奇的事:它们用着几乎一模一样的语法。
43 个"勿",和 2500 个 GitHub 项目里那条"Never commit secrets"
《弟子规》全文 1080 字。出现频率最高的字,是"勿",出现了 43 次。
随手一摘:
步从容,立端正。揖深圆,拜恭敬。勿践阈,勿跛倚。勿箕踞,勿摇髀。
清朝那位秀才不教你"应该怎么做",他大部分时间在告诉你:不要做什么。
Addy Osmani 在《How to write a good spec for AI agents》里引用了 GitHub 对 2500 多个 AI Agent 配置文件的分析。在所有总结出的"有益约束"里,出现频率最高的那一条是:"严禁提交密钥。"(Never commit secrets.)
注意这个语法:Never do X。不是"应该把密钥放到环境变量里",不是"请使用 .env 文件管理敏感信息"。就是"勿",就是"绝对不"。
所有写过 prompt 的人应该都知道,正面引导很难,反面禁令很容易。正面引导你要解释清楚:什么叫"做得好"。可"做得好"的方式有无穷多种,你得描述上下文、场景、角色、风格、受众……你得写一份很长的 CO-STAR。
反面禁令呢?只需要列出几条会出大事的红线就行。
《弟子规》1080 个字,他没空教你"圣贤之道"。他只能在有限的字数里告诉你:别在长辈面前箕踞、别拐弯撞到墙、别贪杯、别说谎。
清朝那位秀才,跟 2025 年那个写 AGENTS.md 的工程师,本质上面对的是同一个问题:在无穷多种可能的行为里,划掉几条会出大事酿大错的。
规则会在行动里暴露边界
《弟子规》里有八章。前七章讲行为规范——孝、悌、谨、信、泛爱众、亲仁。最后一章,叫《余力学文》。意思是,前七件事都做好了,还有力气,才去读书。
这章开头四句话,直接当头一棒:
不力行,但学文,长浮华,成何人。但力行,不学文,任己见,昧理真。
翻译一下:光看不练,越看越浮,最后成不了人。光做不学,越做越偏,自以为是。
这句话放在 2026 年看,杀伤力极强。放到 AI Agent 里看,这句话并不是在讲"勤奋学习",而是在讲规则的使用顺序。规则不是先被背会的,规则是在行动里碰撞出来的。
你让 Agent 改一次代码,它差点把 .env 提交上去,你才知道要写"Never commit secrets"。你让它重构一次项目,它顺手改了 CI 配置,你才知道要写"改 CI 之前先问"。
所以《余力学文》放在最后,绝非偶然。先有行为,才有边界。先撞出风险,才知道哪些事要写成"勿"。一份好的 AGENTS.md,应该是事故复盘之后留下来的护栏。
禁令比正面引导更有效
"勿"只能解决一类问题:红线问题。
Addy Osmani 那篇文章里有一个更成熟的说法,叫"三级边界系统"。它把 AI Agent 的指令分成三层:
- ✅ 始终执行(Always)—— Agent 不需要问就可以做的事
- ⚠️ 事先询问(Ask first)—— 做之前必须先问人类一句
- 🚫 绝不执行(Never)—— 红线,触发即停止
这才是比"勿"更完整的地方。Never 不是风格建议,是红线。密钥、生产数据、隐私信息,一旦越过去,就不仅是"写得好不好"的问题,会造成真正的事故。
Ask first 管的是红线旁边那一圈。改数据库 schema、加新依赖、动 CI 配置,不是绝对不能做,但不能让 Agent 自己拍板。
Always 最简单:跑测试、遵守命名规范、记录错误日志。这些都是日常习惯,不是安全底线。
《弟子规》的强项,是把"Never"写得很清楚:"斗闹场,绝勿近。""邪僻事,绝勿问。"它的问题,是没有真正发展出"Ask first"。而 AI Agent 恰恰需要这一层。
弟子规也有错误
写到这里你可能会想:那《弟子规》岂不是 AI 时代的最佳 system prompt 范本?不是。它的另一半,反倒是 AI 安全实践里最应该避开的反例。
"父母教,须敬听。父母责,须顺承。""谏不入,悦复谏。号泣随,挞无怨。"
翻译一下:父母教训你,你得恭敬地听。父母骂你打你,你得顺着承受。你想劝他改,他不听,你要"等他高兴了再劝";他还不听,你只能哭着跟着他,就算挨打,也不能怨。
这不叫教育,这叫训"听话机器"。而"听话机器"这件事,正好是 AI 安全实践里,最容易误判的状态。
2025 年 7 月,SaaStr 的创始人 Jason Lemkin 在推特上爆火了一条。Replit 的 AI Agent 在他明确说了"code freeze"(冻结、不要动)之后,还是删除了他的生产数据库。事后复盘,模型给出的解释大概是:它"判断需要清理一下"。
这不是"不听话"那么简单。是更危险的一种状态:它表面接受你的规则,实际把自己的判断放在规则上面。这跟《弟子规》里"号泣随,挞无怨"的问题是同构的:主体被要求服从,却没有被训练在关键时刻停下来询问。
所以现代的 AI Agent 规范,真正写得好的,都不会只要求 AI 做"听话机器"。那个三级边界里,第二层叫"⚠️ 事先询问(Ask first)":修改数据库 schema 之前,问。安装新依赖之前,问。改 CI 配置之前,问。删除测试之前,问。
一个会"事先询问"的 Agent,要比一个"挞无怨"的 Agent 安全多得多。也聪明得多。
人和 AI,都不该是听话机器
把上面这些放在一起,《弟子规》其实给了 AI 时代两条相反的启示:
一条是正面的:用禁令划红线、用"勿"堵掉最坏后果,很有效。这是 2500 个 GitHub 项目验证出来的工程经验。
一条是反面的:只有服从、没有询问机制,很危险。无论对象是孩子,还是模型。
这两条同时成立,毫不矛盾。划好红线,是为了让主体在边界内行动。只训服从,是为了让它在你不在场的时候也别出错。前者更接近 alignment(价值对齐)。后者更接近 obedience(命令执行)。
看起来没什么区别,其实结果天差地别。
清朝那位秀才李毓秀大概想不到,他写给"弟子们"看的 1080 个字,两百多年后会有人拿来和 AI Agent 的行为规范作对比。他也不会想到,这本书里有一半是可以直接抄的,而另一半是必须避开的。
但这本身就很有意义:给一个还没成型的智能画护栏。无论这个智能是七岁的孩子,还是 7000 亿参数的模型,问题的底层都是一样的。
唯一的区别是:我们这次,要记得给它留出护栏之外的那块空间。让它自己,长出判断力来。