广告管理变成 AI Ad Management，最大的变化不是效率，是审计

你好，我是曹犟。

先做一个思想实验。

假设一家公司把月度广告预算交给一个 Agent 管理。这一周，Agent 做了一个动作：从原来跑得比较稳定的关键词里挪出一部分预算，投向一组过去几天刚冒出来的新关键词。

人类账户经理看到这个动作，可能会觉得有点激进。旧关键词已经跑了很久，效果相对稳定；新关键词刚出现，历史数据还不够充分。

但 Agent 可能会说：机会窗口已经在数据里出现 3 天了。搜索量在上升，点击成本还没涨起来，竞争对手还没大规模进入；如果再等一周，可能就不是这个价格了。

那到底谁对？

这个问题当然重要。但更重要的问题是：我们怎么知道谁对？谁来审计这个决策？

同时，如果后来跑赢了，是 Agent 判断准确，还是赶上了市场短期波动？如果后来跑输了，是 Agent 看错了信号，还是验证窗口太短？如果客户问“为什么要这么调预算”，系统能不能把当时看到的数据、引用的依据、实际执行的动作都清清楚楚拿出来？

这就是我最近越来越强烈的一个感受：当一类业务开始交给 Agent 自主决策，比如广告管理变成 AI Ad Management，最大的变化可能不是效率，而是审计。

AI 比人快，这已经不是新闻。真正难的是，当 AI 开始替你决定预算花在哪里时，它不仅要花得快、花得对，还要能说清楚自己为什么这么花。

一、AI Ad Management 与传统自动化有什么不同

这里说的 AI Ad Management，不是用 ChatGPT 帮你写几条广告文案，也不是把广告后台里的几个规则自动化一下。

它更接近一个完整闭环：监控账户和市场数据，提出优化假设，执行预算、关键词、素材、出价等调整，再跟踪效果，把结果沉淀成下一轮决策依据。

换句话说，它不只是“给建议”，而是逐步走向“能执行、能复盘、能持续优化”。

这和传统广告后台里的自动化功能不太一样。比如 Google 的 PMax 已经能自动化很多投放动作，但它更像平台内部的黑盒：你能看到结果，却很难看到每一步为什么这么做、依据是什么、出错后怎么撤回。

我理解的 AI Ad Management，恰恰不应该变成另一个更复杂的黑盒。

它应该是：

Agent 花钱，但每一步决策都可追溯、可解释、可干预、可回滚。

如果做不到这一点，AI Ad Management 就不一定是进步。它可能只是把人的慢错误，变成了机器的快错误。

二、真正的瓶颈不是“能不能花”，是“怎么证明花对了”

很多人讨论 AI 做广告投放时，第一反应是效率。

人类投放师一天可能看几次账户，AI 可以 24 小时盯着。人类一周可能做 5 次 A/B 测试，AI 理论上可以同时跑上百个变体。人类需要写日报、周报、复盘文档，AI 可以随时生成监控摘要。

效率当然重要，但速度本身不创造价值。真正有价值的是：

速度 × 决策质量 × 可追溯性。

如果决策质量不高，速度越快，损失也越快。如果决策不可追溯，短期看起来跑得很热闹，长期却没人知道哪些动作真的有效、哪些只是碰巧。

没有可追溯性的速度，只是更快的混乱。

传统广告代理的信任，大致建立在三件事上：合同、人、月度报表。合同约定边界，人是信任主体，月底再看花了多少钱，带来多少点击、多少转化。

这个机制在人的时代可以工作。因为人的动作频率有限，决策链条相对可控，很多事情可以事后解释。

但 AI Ad Management 会改变节奏。合同还在，真正执行的人变成了 Agent；报表还在，但它已经不足以解释中间发生的高频动作。一个 Agent 可能在一天内做出几十个微调，涉及关键词、预算、素材、地域、设备、时段等多个维度。

如果还等到月底再看汇总报表，很多关键问题已经回答不了了：某个广告组的预算为什么在周三下午被提高？某个关键词为什么被暂停？某条新广告为什么创建后没有立即上线？某次删除动作是谁触发的？当时有没有确认？

这意味着，AI 时代的信任不能只靠“事后看结果”，还必须做到“事中可解释”。

在广告预算这个场景里，我认为至少有 4 类东西必须可审计。

决策依据回答“为什么”，数据来源回答“凭什么”，操作记录回答“做了什么”，反向回滚回答“错了怎么办”。

这张表看起来朴素，但它决定了 AI Ad Management 能不能真正被客户托付。客户敢不敢把账户交给你，不只取决于你能不能做出好决策，也取决于你做错之后有没有刹车和倒车的能力。

可回滚不是锦上添花，而是信任机制的一部分。

三、我们的实操观察：审计不是附加功能，而是基础设施

在做 Omni-Growth Agent 的过程中，我们很早就意识到一件事：做 AI Ad Management，花在“可审计”上的工程时间，很可能不比花在“决策算法”上的时间少。

这件事一开始有点反直觉。外部最容易关注的是 Agent 会不会分析数据、写广告文案、调预算，也就是它“聪不聪明”。但真正进入实现阶段以后，更早冒出来的往往是另一类问题，而且更硬。

比如，Agent 调用 Google Ads API 修改账户，怎么确保每一次写操作都被记录？创建广告时，怎么避免它一创建就直接上线？删除类操作怎么避免误触？发现 Agent 判断错了以后，怎么在窗口期内撤回？

这些问题听起来不性感，但非常关键。

第一，是 mutation log。

这里的 mutation，可以理解为“对广告账户状态的修改”。创建、修改、删除，只要会改变账户状态，都应该记录下来。它的价值不在于“有一份日志好看”，而在于出问题时能精确回溯：什么时候发生了什么操作，操作前后的状态是什么，当时的触发上下文是什么。

没有这层记录，Agent 就像一个动作很快但不写工作日志的员工。短期看起来勤奋，长期管理起来会非常危险。

第二，是默认 PAUSED。

比如创建广告这类操作，代码层默认就是 PAUSED。Agent 可以把广告创建出来，但它不会自动进入投放状态，需要经过审批或明确确认之后，才会从暂停变成上线。

这会让流程变慢一点，也显得没有那么“全自动”。但在花真实广告费的场景里，这个中断点很重要。它给人留下了一个真正介入的机会，也把“AI 一生成就开始花钱”的风险挡在外面。

在《三个 40 岁老程序员决定用 AI 重新出发（六）：Skill、Harness 和代码护栏》里，我讲过 Harness 的概念：把 AI 模型之外的控制机制设计好，让关键风险不只靠模型自觉。默认 PAUSED 就是一个非常具体的 Harness。

第三，是 dry_run + confirm_token。

删除类操作不应该一步到位。dry_run 是先演练，不真正执行；系统先告诉你，如果真的执行，会删除什么、影响什么、风险是什么。人确认要继续，系统再生成一个短时间有效的 confirm_token。只有第二次调用时带上这个 token，删除才会真正发生。

这类设计的核心目的，是尽量避免“AI 一不小心点错”。越是高风险动作，越不能只靠一句“请谨慎操作”的提示。它必须变成协议，变成流程，变成系统默认行为。

第四，是 undo_last_mutation。

这不是为了证明 Agent 不会犯错，恰恰相反，是承认 Agent 一定会犯错。好的系统设计，不应该假设模型永远正确，而应该假设错误会发生，并且提前设计好出错之后的处理路径。

这些设计都会带来代价：开发会变慢，产品会变复杂，演示时甚至会显得“不够智能”。因为真正可信的 Agent，很多时候不是一上来就全自动跑完，而是在关键节点停下来，把依据和风险摊开给你看。

但这些代价是值得的。客户真正交给你的，不是一个按钮，也不是一份建议，而是真金白银的预算，以及这笔预算背后的增长责任。

前面一篇客户案例里，我写过“Agent 要替客户挡子弹”。但要挡子弹，前提是先看得清子弹从哪儿来、往哪儿去、是谁扣动了扳机。换句话说，能不能挡住，离不开审计能力。

四、AI 时代的信任，是被审计出来的

把视角从广告管理放大一点看，我觉得这里面有一个更普遍的变化。

工业时代，信任很大程度上靠合同。互联网时代，信任很大程度上靠口碑、评分、评论和社区。到了 AI Agent 时代，信任会越来越依赖过程是否可审计。

因为 Agent 做的事情，不再只是“回答一个问题”，而是“替你完成一串动作”。它可能读你的数据、调用你的工具、修改你的账户、影响你的业务结果。

在这种情况下，只看最终输出是不够的。你需要知道它看了哪些证据，忽略了哪些数据，做了哪些假设，调用了哪些工具，改了哪些配置，带来了哪些后果。

也就是说，信任不只是来自“这个 Agent 看起来很聪明”，而是来自“我能看清它为什么这么做”。

这也是为什么 Cursor、Claude Code 这类 AI 编程工具会让用户看到很多过程信息：它准备怎么改、调用了什么命令、改了哪些文件、测试有没有跑过、diff 是什么。

这些东西不仅仅是用户界面，也是信任的一部分。

如果一个编程 Agent 只告诉你“我已经改好了”，但不让你看 diff、不让你看测试、不让你看执行过程，你大概率不会放心把代码库交给它。

广告账户也是一样。一个 AI Ad Management 系统如果只说“我已经帮你优化好了”，但不告诉你为什么优化、怎么优化、改了什么、错了能不能撤回，那它很难获得真正的长期信任。

这也带来一个产品层面的判断：可审计性本身，可能会成为新的护城河。

模型能力会持续提升，而且提升速度很快。今天一个 Agent 在关键词分析上比另一个 Agent 强，过几个月可能就会被新模型追平。

但“如何让 AI 决策可追溯”这件事，不完全是模型问题。它更像是产品、工程、流程和业务理解叠在一起的能力。

你要知道哪些动作需要审批，哪些动作可以自动执行；哪些证据必须保留，哪些数据源不可靠；哪些错误可以回滚，哪些错误只能事前拦截；哪些日志给工程师看，哪些解释给客户看。

这些东西很难靠换一个更强的模型一次性解决。

在我们的实践里，我们越来越觉得，AI Ad Management 真正的护城河，可能不是某一个神奇算法，而是一套可审计、可干预、可回滚的能力。

当然，这还是阶段性判断，也是一家之言。未来模型变强以后，很多今天需要系统兜底的地方，可能会被模型能力覆盖掉一部分。

但即使模型越来越强，可审计性也不会消失。原因很简单：当 AI 决策开始影响真实预算、真实客户、真实业务结果时，人类社会大概率会要求它留下过程证据。

不是我们不信任 AI，而是因为权力，就是需要被审计。

五、结语：AI 越自主，审计越重要

回到开头那个思想实验。

Agent 把预算挪向新关键词，到底是一次敏锐的机会捕捉，还是一次冒进的误判？答案不应该靠事后拍脑袋，也不应该靠“AI 应该比人聪明”这种信念。更可靠的方式，是把当时的决策依据、数据来源、操作记录和回滚路径都留下来。

这样，跑赢了，我们知道为什么跑赢；跑输了，我们知道哪里错了；需要复盘时，我们有证据；需要阻止时，我们有刹车；需要恢复时，我们有倒车挡。

在我们的实践里，让 AI 帮你花广告费这件事，瓶颈不在能力，而在信任。而信任不是被宣称出来的，是被审计出来的。AI 越自主，可审计性反而越重要。

不是相反。

如果你也在做 AI Agent 产品，尤其是那些开始接触真实账户、真实数据、真实预算的场景，我非常建议你重新检查一下自己的系统：它到底只是更会执行，还是已经具备了被审计的能力？