夜雨聆风
When OpenClaw Meets Hospital: Toward an Agentic Operating System for Dynamic Clinical Workflows
摘要
本文提出了一个专为医院环境设计的大语言模型(LLM)代理架构,通过引入受限执行环境、面向文档的交互范式、页面索引记忆架构和医学技能库,解决了在医疗环境中部署自主代理的可靠性、安全性和记忆机制等核心问题。该"医院智能代理操作系统"将代理权限限制在预定义的技能接口内,通过操作系统级别的隔离实现安全保障,并能灵活组合临床任务序列以适应医疗实践中的长尾变异性需求。
阅读原文或https://t.zsxq.com/8y80y获取原文pdf
往期推荐
10分钟自动撰写推文,医学版OpenClaw"龙虾"超级个体正式上线!南加州大学 MED-COPILOT 重新定义临床决策支持,GraphRAG 技术引爆行业革命
全文
一、引言:从能力问题到基础设施问题
大语言模型已经从被动的对话系统演进为能够与外部软件环境交互的自主代理。这些代理结合了推理、规划、工具调用和记忆机制,能够执行超越简单文本生成的复杂工作流。在医疗领域,这种能力激发了广泛的应用兴趣——从诊断支持到医学文档编写,再到患者沟通。然而,将这些系统引入实际运营的医院环境暴露了持久的结构性限制。
现有的代理框架通常假设开放的计算环境,需要广泛的操作系统权限——包括无限制的文件系统访问、外部网络调用和任意代码执行——这些能力与医疗隐私法规和审计要求根本不兼容。与此同时,以向量检索为基础的主流记忆方法会将患者历史分割成孤立的嵌入,丧失了临床推理所依赖的纵向结构,导致在长期护理过程中记忆检索不可靠。
医疗环境还施加了额外的约束。医院通过结构化工作流运作,涉及多个参与者,包括医生、护士和患者。信息交换主要通过临床笔记、实验室报告和治疗计划等结构化文档进行。然而,大多数现有的代理架构假设单一的对话接口,而非协作知识环境。
更深层的限制来自现有医院信息系统本身的设计哲学。电子健康记录(EHR)、临床决策支持系统(CDSS)和护理协调平台都是基于一个共同原则构建的:每个系统都实现一套固定的、预编程的功能,任何在设计时未明确预期的临床任务都超出了系统的范围。这种设计哲学在常见的、定义明确的协议上表现良好,但在长尾的临床变异性面前失效。由于没有两个患者的病情完全相同,疾病轨迹也不遵循既定的脚本,任何足够多样化的患者群体都会定期出现现有工作流无法处理的临床需求。
因此,为医疗环境调整代理不主要是一个模型能力问题,而是一个基础设施设计问题。本研究提出将代理嵌入到一个由临床环境的安全性、记忆和协调需求特别塑造的受控计算层中。这一层被称为"医院智能代理操作系统",包含四个核心组件:受限执行环境、页面索引记忆架构、面向文档的多代理协调模型,以及支持临床任务即席组合的医学技能库。
二、核心设计:四大组件的协同
2.1 受限执行环境与最小权限原则
该架构的设计原则是最小权限执行:与其向代理授予对系统资源的广泛访问,不如每个代理实例在其权限边界由部署时静态定义的隔离运行时内运行,类似于Unix多用户系统中的受限用户账户。
每个参与者角色——患者、医生或临床工作人员——都映射到在自己隔离命名空间内执行的专用代理进程。该命名空间仅暴露由经过授权的工具调用组成的固定接口;直接文件系统访问、出站网络连接和动态代码加载在运行时级别被禁止,而不是通过模型级别的指令来强制执行。这种设计将信任强制从模型的指令遵循行为转移到执行环境本身,提供了更强和更可审计的安全保证。
代理能力通过经过策划的医学技能库来实现:这些是静态定义的、经过预审计的工作流模块,封装了临床操作,如生命体征汇总、用药依从性跟踪和结构化报告生成。每项技能都向代理呈现一个类型化的接口,并且只能通过预定义的、范围狭窄的连接器访问内部的、由机构管理的资源——如医院的实验室信息系统、药房数据库或可穿戴设备网关。没有任何技能可以调用任意外部网络,提升自己的权限,或执行任意系统调用。这种设计在保持代理运行时网络隔离属性的同时,仍然能够通过可审计的、预批准的集成点与真实临床数据源交互。这种技能级别的分解支持正式的部署前审查和所有代理启动操作的细粒度运行时监控。
2.2 页面索引记忆架构:超越向量检索
与计算相似度分数不同,代理通过迭代读取清单文件并选择要下降到哪些子树来检索相关内容,由其关于查询的推理指导。这种渐进式披露策略反映了临床医生如何浏览纸质病历:首先扫描一个摘要索引,然后只打开可能包含答案的部分。
页面索引记忆架构将代理记忆组织为三阶段生命周期:捕获、存储和检索。在捕获阶段,代理交互过程中产生的观察——如传感器读数、对话轮次、技能输出——通过第三部分描述的变异机制作为结构化条目写入文档集合。在存储阶段,系统将捕获的条目整合到文档层次中,并在每个层次级别维护一个清单来总结其内容。在检索阶段,代理通过连续的清单读取导航该层次,逐步缩小其焦点,直到到达与其当前推理任务最相关的页面。
文档集合被组织成一个根树。树的内部节点代表文档组(例如,给定患者的所有记录或护理事件中的所有遭遇),叶节点是包含临床内容(如遭遇笔记、实验室结果或用药单)的各个内容页面。每个内部节点都存储一个manifest.md文件,列出其直接子节点及每个子节点范围和内容的简要、易读描述。
清单由系统自动生成和维护:当新页面在变异事件后附加到文档组时,系统发出LLM调用来为受影响的子条目生成或更新描述。由于每个清单更新是针对单个节点的本地操作,维护成本是O(d)每变异事件,其中d是H中修改节点的深度,不需要对同级节点进行批量重新处理。
渐进式披露检索策略而不是计算相似度分数。代理首先在根清单Mroot开始,在每个级别将清单条目与当前查询一起呈现给LLM;LLM选择要展开的子节点的子集。未选择的分支被剪除而不被读取,避免不必要的上下文消耗。遍历继续,直到到达叶页面或代理确定已收集足够的上下文为止。这种方法替换了基于嵌入方法的相似度函数与代理的完整语言理解能力,允许它同时推理临床范围、时间相关性和文档类型,而不是将所有三个维度简化为标量距离。
关键是,这种架构不需要向量嵌入:导航完全由应用于清单文本的代理自身的语言推理能力驱动。这消除了嵌入计算开销,不需要离线索引构造,并自然处理实时文档变异,无需任何重新索引步骤。
2.3 面向文档的多代理协调
代理间协调遵循文档变异模型而非共享内存或直接消息模型。所有信息交换都实现为对共享临床文档的结构化写入;没有代理通过直接通道与另一个通信。患者代理对患者拥有的文档(如症状日志、生命体征记录和自我报告的健康日志)拥有写权限,而临床医生代理对医生编写的文档(如评估笔记、用药单和随访计划)拥有写权限。跨角色交互完全由这些文档调解:一个检测到超出范围的生命体征的患者代理会向患者记录附加一个结构化的警报条目,然后临床医生代理读取它;修改随访时间表的临床医生代理将更新计划写为新文档版本,患者代理随后摄取该版本以调整其监控行为。
为了支持反应性协调,每个代理订阅与其访问范围内的文档相关的变化通知流。在内部,每个文档写入都被记录为附加专用变异事件,包含文档标识符、修改的页面参考、写入代理的角色和单调递增的版本计数器。轻量级事件代理将这些变异事件分发给所有订阅的代理;收到时,代理评估更改是否值得立即采取行动——例如将异常发现升级给临床医生——或在下一个计划推理周期期间进行延迟处理。这种订阅机制在时间上分离代理,同时保持因果顺序:因为每个事件都引用一个版本计数器,代理可以重构文档更改的确切序列并检测并发修改而无需轮询。所有变异事件都与文档本身一起持久化,产生完整的、防篡改的系统审计跟踪,记录跨系统的每个代理间信息交换。
2.4 医学技能库与即席任务组合
与将护理编码为静态、预编程工作流的现有医院信息系统不同,代理模型反转了这一约束。由于代理可以推理可用的技能库并动态组合技能调用序列以响应指定的临床目标,它可以处理任何现有工作流都不涵盖的新情况。需要将罕见药物相互作用与多年实验室趋势关联的医生,或想要了解新诊断如何与其现有合并症历史相关的患者,提出了任何固定工作流都无法服务的请求;代理按需构建任务计划,导航清单层次以检索相关纵向上下文,并调用适当的技能序列来产生连贯的临床反应。
三、临床工作流集成实例
该架构支持通过组合上述三种机制来实现这些过程:医学技能作为可执行操作的单位,文档变异作为代理间的通信通道,清单引导的记忆导航作为检索相关临床上下文的手段。
3.1 持续监测与常规随访
分配给出院患者的患者代理按计划间隔执行MONITORVITALS技能,将可穿戴传感器读数和患者报告的症状汇总为添加到患者健康记录的结构化每日摘要页面。当临床医生代理的下一个计划推理周期触发时,它调用清单引导的检索来收集最近的摘要页面,综合进展评估,并将随访笔记附加到医生文档。如果评估识别出恶化趋势——例如五天内血压逐步升高——临床医生代理将结构化的FOLLOWUPREQUEST条目附加到共享护理计划文档,触发变异事件,通知负责管理预约队列和预订工作流的专用代理进程(调度代理)预订面对面审查。在整个工作流中,没有代理直接与另一个通信;所有协调都通过文档写入进行调解,通过事件订阅模型观察。
3.2 分诊和初始评估
当患者在急诊科注册时,分诊代理执行COLLECTPRESENTINGSYMPTOMS技能来填充患者记录的初始就诊页面。然后代理执行患者记录的清单引导遍历——跨越事件级清单导航以检索相关的慢性疾病、当前用药和最近的实验室结果——并附加结构化分诊评估页面,整合主述、相关历史和初步紧急程度评分。这个评估页面被写入所有值班临床医生代理都可以访问的共享分诊队列文档。订阅该队列的临床医生代理接收变异事件,读取分诊页面,并接受案件或通过向队列文档写入转诊条目将其重新路由给专家代理,相应地更新患者的紧急程度清单条目。
3.3 紧急升级
当患者代理检测到临界生理事件——例如心率读数超过预定义的阈值或氧饱和度下降到安全边界以下——它立即调用ESCALATEEMERGENCY技能,而不是推迟到下一个计划推理周期。这项技能原子地将高优先级警报页面附加到患者记录,并向由所有值班临床医生代理监控的专用紧急协调文档写入结构化升级条目。由于升级条目在变异事件有效负载中携带优先级标志,事件代理在标准通知之前分发它们,允许临床医生代理中断其当前推理周期并在有界延迟内响应。响应的临床医生代理通过清单导航读取患者记录——直接针对最近的生命体征页面——记录初始响应计划,并调用触发适当医院警报协议的NOTIFYCODE技能。这条链中的每一步——传感器事件、升级写入、临床医生响应和协议调用——都被持久化为时间戳变异事件,为紧急响应产生完整且可审计的时间表。
3.4 用药管理与依从性跟踪
患者代理每天执行CHECKMEDICATIONADHERENCE技能,将护理计划中的计划用药事件与患者确认的给药条目进行比较。如果检测到漏剂,代理将依从性标志附加到用药日志页面;如果该模式在可配置的阈值之外持续,它将非依从性警报写入共享护理协调文档。临床医生代理在收到变异通知后,通过清单导航检索用药历史页面,并确定是否调整给药时间表、启动患者教育交互或升级给药师代理。对护理计划的任何修改都被写为新的版本控制页面,患者代理在其下一个周期摄取更改以相应更新其监控参数。这种闭环设计确保用药管理在代理边界保持一致,无需任何直接的代理间消息传递。
3.5 主动风险识别与预防性干预
除了对急性阈值突破做出反应外,该架构通过利用文档层次的完整时间深度自然支持主动纵向推理。按周或月的时间表,临床医生代理执行ANALYZELONGITUDINALTREND技能,发出跨越多个护理事件的广泛清单引导检索查询——从患者的根清单导航到多年的就诊摘要、实验室趋势页面和生命体征历史。代理推理这种纵向上下文来计算结构化风险评估页面,记录指标,如十二个月的实验室结果中肾功能的逐步衰退,或冬季每次之前紧急就诊次数增加的模式。这个风险评估页面被附加到患者记录,如果计算的风险评分超过可配置的阈值,另外还被写为预防性警报给由护理管理代理监控的人口健康协调文档。护理管理代理在收到变异事件后,审查警报,通过自己的清单引导检索交叉引用机构预防护理指南,并将推荐的干预计划——例如肾病学转诊或结构化自我管理计划——写入患者的护理计划文档。患者代理摄取更新的护理计划并相应调整其监控焦点,增加相关技能执行的频率。这个工作流不需要架构扩展;它完全通过计划技能调用、跨深层文档历史的清单引导检索和现有的文档变异协调模型实现。
3.6 多学科患者跨专科协调
由多名专家同时管理的患者呈现了文档变异模型通过共享文档访问和事件订阅直接解决的协调挑战。每个专科都由专用临床医生代理代表——心脏病学代理、肾脏病学代理、肿瘤学代理——每个都对自己的专科笔记文档拥有写权限,对共享多学科护理计划文档有读权限。当心脏病学代理更新降压药物治疗时,它写入新的用药单页面并向共享护理计划附加摘要条目;产生的变异事件被分发给所有订阅的专家代理。接收通知的每个专家代理执行自己相关历史的清单引导检索——肾脏病学代理导航到最近的肾功能页面,肿瘤学代理到当前化疗协议页面——并根据自己的治疗背景评估更改。如果识别出冲突,例如新处方的血管紧张素转换酶抑制剂与患者当前的化疗药物相悖,检测代理将结构化冲突警报页面附加到共享护理计划文档,触发进一步的变异事件,对所有专家代理和协调临床医生可见。协调临床医生代理汇总这些冲突条目,跨所有专科清单检索完整的相关上下文,并生成取代冲突订单的调和护理计划页面。由于此工作流中的每次写入都是版本化的文档变异,专家更新、冲突检测和计划调和的完整序列保存在审计跟踪中,因果顺序完整,提供与记录的多学科团队会议等效的透明记录。
四、安全与治理
该架构的一个关键见解是,将代理的有效接口减少到两个原始操作——文件读取和文件写入——允许整个安全和治理问题被委托给主机操作系统的安全机制,而不是在特殊应用层逻辑中实现。
4.1 最小化信任计算基数
不同于需要网络访问、动态代码执行、数据库连接和外部API调用的通用代理框架——每一个都引入一个独立的攻击面——所提议系统中的代理仅通过读取文档和附加页面与环境交互。这个最小接口大幅缩小了可信计算基数:系统没有要保护的网络堆栈,没有要维护的解释器沙盒,也没有要管理的API凭证生命周期。安全问题减少到控制哪个代理进程可能读取或写入哪些文件,这是成熟操作系统几十年来已经解决的问题。
4.2 操作系统级本机强制执行
在Linux上,所提议的权限模型直接映射到标准OS安全原始体,不需要任何附加基础设施。每个代理进程在专用OS用户账户下运行;文件所有权和权限位强制执行由架构定义的读/写访问边界——患者代理拥有患者记录文件,临床医生代理拥有医生文档文件,没有代理可以访问其分配子树之外的文件。强制访问控制框架(如SELinux或AppArmor)可以在内核级别进一步将每个代理进程限制在其声明的文件路径,防止权限升级,即使模型的指令遵循被破坏。Linux命名空间在代理进程之间提供文件系统级隔离,不需要额外的开发成本,seccomp过滤器可以限制每个进程的系统调用表面积到文件I/O所需的最小集合。由于这些机制由内核而非应用代码强制执行,它们独立于模型行为,不能被行为不当或对抗性提示的代理规避。
4.3 审计跟踪作为文件系统属性
支持代理间协调的仅追加变异日志(第三部分)在存储层是普通的仅追加文件。文件系统级审计工具(如Linux inotify和auditd)因此可以实时监控每个文档写入,无需代理代码的任何检测。这意味着医疗保健法规(如HIPAA)要求的完整代理操作审计跟踪是OS本机文件审计基础设施的副产品,而不是单独工程的组件;防篡改可以通过在存储层中将仅追加日志路由到哈希链接机制来进一步加强。
五、局限性与未来方向
当前提案的多个局限性值得承认。清单准确性和维护成本:清单描述本身由LLM生成,因此容易出现不准确、遗漏或时间漂移(如清单更新机制在变异事件上失败)。尽管维护策略设计为增量式,但高频更新环境——如集中护理单元生成连续传感器数据——可能产生变异事件的体积,对每次更新O(L)个LLM调用的预算造成压力。批处理策略和清单过期容限需要进一步调查 。
并发写入一致性:当前架构未为两个代理同时尝试向同一文档附加页面的情况指定并发控制协议。虽然Linux上的仅追加文件语义防止了存储层的数据损坏,但来自并发代理的交错写入可能产生逻辑上不一致的文档状态。基于已在变异事件格式中存在的版本计数器的轻量级冲突解决协议(如乐观并发)是自然的扩展,但此处未形式化。
EHR集成:该架构假设患者数据来自由所提系统管理的文档集合内。实际上,医院运营已建立的电子健康记录(EHR)系统(如Epic或Cerner),临床数据以HL7 FHIR兼容格式存在,需要翻译成文档层次结构。所提文档存储与现有EHR基础设施之间的双向同步设计超出了本文范围 。
六、总结
我们论证了在医院中部署LLM代理主要是基础设施问题而非模型能力问题,并提出了医院智能代理操作系统作为具体应对。通过将每个代理的接口简化为文件读和写,该架构将安全强制执行委派给主机OS,用清单引导的文档导航替代向量检索,并通过策划的医学技能库启用即席任务组合——共同解决了通用代理框架和固定功能医院IT系统的结构性局限性。我们提供这一设计作为临床AI基础设施的基础,该基础通过使不安全行为在结构上成为不可能来赢得信任,而不是通过承诺安全的模型行为 。
该工作为医疗AI领域的未来研究开辟了多个方向。在技术层面,需要解决清单维护在高频更新场景下的可扩展性、并发写入的一致性控制,以及与现有EHR系统的深度集成。在临床验证层面,需要在真实医疗环境中进行部署试验,评估该架构对临床工作流的实际改善效果,以及医疗专业人员对系统透明性和可审计性的接受度。在监管合规层面,需要与HIPAA、FDA等相关部门合作,建立针对医疗代理系统的监管框架和审批流程。最终,这一基础设施设计的成功将取决于其在实际医疗场景中的适应性、可靠性和临床价值的综合验证。