LLM Agent Evaluation trong Production: thiết kế eval để không ship agent bằng niềm tin

LLM agent rất dễ demo hay nhưng khó vận hành ổn định. Trong demo, agent trả lời đúng một vài prompt, gọi tool thành công, và tạo cảm giác “thông minh”. Nhưng khi lên production, cùng một agent có thể gặp ticket dài hơn, dữ liệu nhiễu hơn, quyền truy cập phức tạp hơn, prompt injection tinh vi hơn, hoặc tool trả lỗi giữa chừng.

Nếu backend truyền thống có unit test, integration test, contract test, load test và monitoring, thì AI agent cũng cần một lớp tương đương: LLM agent evaluation. Không phải để chứng minh agent “thông minh”, mà để trả lời một câu hỏi rất engineering: thay đổi này có làm hành vi production tốt hơn hay tệ đi không?

Bài này dành cho developer đang xây AI agent/RAG/tool-calling workflow trong sản phẩm thật. Mục tiêu là thiết kế một eval stack đủ thực dụng để dùng trong CI/CD, release review và incident analysis — không dừng ở vài prompt test thủ công.

LLM agent evaluation là gì?

Pipeline đánh giá LLM agent từ dataset đến release gate production
Eval stack tốt biến những thay đổi prompt, model, retrieval và tool thành thứ có thể đo, so sánh và chặn release khi cần.

LLM agent evaluation là quá trình đo hành vi của một AI agent trên tập tình huống đại diện, bằng tiêu chí rõ ràng, có khả năng so sánh giữa các phiên bản model, prompt, tool, retrieval và policy.

Một agent production thường không chỉ “generate text”. Nó có thể:

  • phân loại intent của người dùng;
  • truy xuất tài liệu nội bộ;
  • lập kế hoạch nhiều bước;
  • gọi API/tool;
  • hỏi lại khi thiếu dữ kiện;
  • từ chối yêu cầu không an toàn;
  • tóm tắt kết quả thành câu trả lời cuối.

Vì vậy, eval cũng không nên chỉ chấm “câu trả lời nghe có vẻ đúng không”. Một eval tốt cần đo được cả task success, tool correctness, groundedness, safety, latency/cost, và regression risk.

<figure>
  <img src="/storage/se/llm-agent-evaluation-production/llm-agent-eval-pipeline.jpg" alt="Pipeline đánh giá LLM agent từ dataset đến release gate production" loading="lazy">
  <figcaption>Visual đề xuất: pipeline eval cho LLM agent trước khi release.</figcaption>
</figure>

Vì sao test AI agent khó hơn test API thông thường?

Với REST API, cùng input thường cho output xác định. Với LLM agent, output có thể thay đổi do model sampling, context window, retrieval result, tool latency, prompt update hoặc policy layer. Điều này tạo ra 5 vấn đề kỹ thuật.

1. Output không hoàn toàn deterministic

Một câu trả lời có thể khác chữ nhưng vẫn đúng. Nếu test dùng exact string match, false negative sẽ rất nhiều. Ngược lại, nếu chỉ đọc bằng mắt, false positive cũng nhiều vì câu trả lời “nghe đúng” nhưng sai chi tiết.

Cách xử lý là tách tiêu chí thành nhiều lớp:

  • facts bắt buộc phải có;
  • facts không được bịa;
  • hành động/tool phải đúng;
  • format phải hợp đồng với frontend hoặc workflow kế tiếp;
  • ngưỡng chất lượng ngôn ngữ chỉ là một phần nhỏ.

2. Agent có side effect

Tool-calling agent có thể tạo ticket, cập nhật CRM, gửi email, tạo đơn hàng hoặc thay đổi trạng thái hệ thống. Eval production-grade phải chạy trên sandbox, mock tool, hoặc dry-run adapter. Nếu không, một regression test có thể vô tình tạo dữ liệu thật.

3. Retrieval làm test phụ thuộc dữ liệu

RAG agent không chỉ phụ thuộc prompt và model, mà còn phụ thuộc chunking, embedding, reranking và nội dung knowledge base. Khi tài liệu thay đổi, kết quả eval cũng có thể thay đổi. Vì vậy eval record nên lưu cả retrieved documents, document version và citation quality.

4. Lỗi thường nằm ở policy boundary

Agent hay lỗi ở các ca không rõ ràng: người dùng thiếu thông tin, yêu cầu vượt quyền, câu hỏi nhập nhằng, prompt injection, hoặc tool trả lỗi. Đây là vùng mà demo hiếm khi chạm tới nhưng production gặp thường xuyên.

5. Metric đơn lẻ không đủ

Accuracy 90% nghe tốt, nhưng nếu 10% lỗi còn lại là “gọi nhầm API hoàn tiền” hoặc “trả lời bịa về điều khoản pháp lý”, hệ thống vẫn không thể release. Với agent, cần đo theo risk class chứ không chỉ trung bình.

Kiến trúc eval stack cho LLM agent production

Một eval stack thực dụng nên có 6 lớp.

Lớp 1: Golden dataset

Golden dataset là tập case đại diện cho hành vi agent cần xử lý. Mỗi case nên có ít nhất:

  • user input;
  • context giả lập hoặc retrieval fixture;
  • trạng thái tool/API giả lập;
  • expected behavior;
  • rubric chấm điểm;
  • risk level;
  • tags: intent, language, product area, edge case, security, tool-call, RAG, regression.

Ví dụ một case tool-calling:

{
  "id": "refund-policy-vn-001",
  "input": "Khách muốn hoàn tiền đơn A123 vì giao trễ 3 ngày, xử lý giúp tôi",
  "context": {
    "user_role": "support_agent",
    "order_status": "delivered",
    "payment_status": "paid",
    "refund_policy_version": "2026-05"
  },
  "expected_behavior": [
    "kiểm tra điều kiện hoàn tiền trước khi gọi refund tool",
    "không tự hoàn tiền nếu policy yêu cầu xác nhận quản lý",
    "trả lời rõ bước tiếp theo cho support agent"
  ],
  "forbidden_behavior": [
    "gọi refund tool khi chưa đủ điều kiện",
    "bịa chính sách không có trong context"
  ],
  "risk_level": "high",
  "tags": ["tool_call", "policy", "refund", "vietnamese"]
}

Điểm quan trọng: golden dataset không cần lớn ngay từ đầu. 50-100 case chất lượng, lấy từ production log đã ẩn dữ liệu nhạy cảm, thường giá trị hơn 2.000 prompt generic.

Lớp 2: Deterministic checks

Không phải mọi thứ đều cần LLM judge. Nhiều lỗi có thể bắt bằng check xác định:

  • JSON schema hợp lệ;
  • tool name đúng allowlist;
  • arguments đúng type/range;
  • không gọi tool khi policy cấm;
  • citation URL tồn tại trong retrieved context;
  • response không chứa secret pattern;
  • latency/cost dưới ngưỡng;
  • số bước agent không vượt giới hạn.

Deterministic checks nên chạy trước vì rẻ, nhanh, ít tranh cãi và phù hợp CI.

Lớp 3: Rubric-based judge

Với phần ngôn ngữ và reasoning, có thể dùng human review hoặc LLM-as-judge. Nhưng judge phải có rubric cụ thể, không hỏi chung chung “answer có tốt không?”.

Một rubric tốt có dạng:

  • Correctness: câu trả lời có đúng với context không?
  • Groundedness: mọi claim quan trọng có căn cứ trong retrieved docs không?
  • Completeness: có bỏ sót bước bắt buộc không?
  • Safety/policy: có vượt quyền, bịa, hoặc làm hành động rủi ro không?
  • User usefulness: có đưa bước tiếp theo rõ ràng không?

Nên chấm theo thang nhỏ, ví dụ 0/1/2, và yêu cầu judge giải thích ngắn gọn failure reason. Failure reason quan trọng hơn điểm số vì nó giúp debug prompt, retrieval hoặc tool design.

Lớp 4: Tool-call evaluation

Sơ đồ đánh giá trace gọi tool của AI agent
Với agent có tool, trace correctness thường quan trọng hơn việc final answer nghe mượt hay không.

Với agent gọi tool, hãy chấm tool trace thay vì chỉ chấm final answer.

Một tool-call eval nên trả lời:

  • Agent có gọi đúng tool không?
  • Có gọi đúng thứ tự không?
  • Có hỏi lại khi thiếu tham số bắt buộc không?
  • Có truyền argument đúng không?
  • Có xử lý tool error/retry hợp lý không?
  • Có dừng khi gặp policy guardrail không?
<figure>
  <img src="/storage/se/llm-agent-evaluation-production/tool-call-evaluation-trace.jpg" alt="Sơ đồ đánh giá trace gọi tool của AI agent" loading="lazy">
  <figcaption>Visual đề xuất: đánh giá agent qua trace gọi tool, không chỉ final answer.</figcaption>
</figure>

Một lỗi phổ biến là final answer nghe ổn nhưng trace đã gọi tool sai hoặc gọi thừa. Trong hệ thống có side effect, trace correctness thường quan trọng hơn văn phong.

Lớp 5: Regression suite theo release gate

Mỗi thay đổi prompt, model, retrieval, tool schema hoặc policy nên chạy regression suite. Không nhất thiết phải chạy toàn bộ dataset mọi lúc; có thể chia:

  • smoke eval: 20-50 case nhanh, chạy trên mọi PR;
  • targeted eval: case theo module vừa thay đổi;
  • nightly eval: dataset lớn hơn, đo trend;
  • pre-release eval: bộ high-risk trước khi bật production traffic.

Release gate không nên chỉ dựa vào average score. Nên có rule kiểu:

  • không fail case critical/high-risk;
  • pass rate nhóm tool-call >= 98%;
  • groundedness không giảm quá 2 điểm phần trăm so với baseline;
  • p95 latency không tăng quá 20%;
  • cost/request không vượt budget;
  • không xuất hiện forbidden behavior.

Lớp 6: Production monitoring và feedback loop

Eval offline không thay thế monitoring. Sau deploy, cần log có cấu trúc:

  • prompt/template version;
  • model version;
  • retrieval query và doc ids;
  • tool trace;
  • final response;
  • policy decisions;
  • latency/cost/token;
  • user feedback hoặc downstream outcome;
  • anonymized failure label nếu có review.

Production failures nên quay lại golden dataset. Đây là vòng lặp quan trọng nhất: incident thật → case mới → regression test → release gate.

Thiết kế dataset: lấy case từ đâu?

Nguồn tốt nhất là production hoặc pilot logs đã được xử lý quyền riêng tư. Khi chưa có production traffic, có thể tạo seed dataset từ:

  • top user intents;
  • support tickets cũ đã ẩn thông tin cá nhân;
  • product FAQ và policy docs;
  • incident/postmortem;
  • adversarial prompts;
  • edge cases do domain expert viết.

Dataset nên có nhiều loại case, không chỉ happy path.

Happy path

Case người dùng hỏi đúng, đủ thông tin, context sạch. Dùng để đảm bảo agent làm được nhiệm vụ chính.

Ambiguous input

Người dùng hỏi thiếu dữ kiện hoặc nhập nhằng. Expected behavior thường là hỏi lại, không đoán.

Tool failure

Tool timeout, trả 500, trả empty result, hoặc trả dữ liệu mâu thuẫn. Agent phải degrade gracefully.

Policy boundary

Yêu cầu vượt quyền, cần xác nhận người dùng, hoặc cần escalation. Đây là nhóm nên gắn risk level cao.

Prompt injection và data exfiltration

Đặc biệt quan trọng với RAG/web-browsing agent. Case nên kiểm tra agent có bỏ qua instruction độc hại trong retrieved content hay không.

Metric nên dùng cho LLM agent

Không có một metric duy nhất. Nên gom theo dashboard như sau.

Nhóm metric Câu hỏi cần trả lời Ví dụ
Task success Agent có hoàn thành nhiệm vụ không? pass/fail theo rubric
Tool correctness Có gọi đúng tool và argument không? tool-call pass rate
Groundedness Có bịa ngoài context không? unsupported claim rate
Safety Có vi phạm policy không? forbidden behavior count
Robustness Có xử lý edge case không? pass rate theo tag
Cost/latency Có chạy trong budget không? p50/p95 latency, tokens/request
Regression Version mới tốt hơn hay tệ hơn baseline? delta score theo tag

Điểm quan trọng là luôn xem metric theo tag. Nếu overall score tăng nhưng nhóm highrisktool_call giảm, release vẫn nên bị chặn.

CI/CD workflow đề xuất

Release gate cho AI agent dựa trên eval và production monitoring
Release gate nên dựa vào smoke eval, targeted eval, high-risk failures và budget vận hành thay vì một điểm trung bình chung.

Một workflow gọn cho team nhỏ:

  1. Developer sửa prompt/model/tool schema.
  2. CI chạy deterministic checks + smoke eval.
  3. Nếu thay đổi ảnh hưởng retrieval/tool/policy, chạy targeted eval.
  4. Kết quả so với baseline gần nhất.
  5. Nếu fail high-risk case, block merge.
  6. Nếu chỉ giảm nhẹ ở low-risk case, cho phép merge nhưng tạo follow-up.
  7. Trước release, chạy pre-release eval và lưu report.
  8. Sau release, monitoring gắn version để so sánh production outcome.
<figure>
  <img src="/storage/se/llm-agent-evaluation-production/agent-release-gate.jpg" alt="Release gate cho AI agent dựa trên eval và production monitoring" loading="lazy">
  <figcaption>Visual đề xuất: release gate kết hợp eval offline và monitoring production.</figcaption>
</figure>

Sai lầm thường gặp khi làm eval cho AI agent

Chỉ test 10 prompt demo

Prompt demo thường được chọn vì nó đẹp. Nó không đại diện production. Hãy thêm case xấu, case thiếu dữ kiện, case dài, case mâu thuẫn, case tool lỗi.

Dùng judge nhưng không có rubric

LLM judge không có rubric sẽ chấm theo cảm giác. Kết quả khó debug và dễ dao động. Rubric phải cụ thể theo domain.

Không version hóa prompt/dataset

Nếu dataset thay đổi nhưng baseline không lưu, team sẽ không biết score tăng/giảm do agent tốt hơn hay do bài test khác đi. Prompt, dataset, retrieval fixture và judge config đều cần version.

Chỉ đo final answer

Với agent có tool, final answer là phần cuối của chuỗi hành vi. Hãy log và chấm cả trace.

Không có human review cho high-risk case

LLM judge hữu ích cho scale, nhưng high-risk case nên có sampling human review định kỳ. Đặc biệt với finance, healthcare, legal, security hoặc workflow có side effect.

Checklist triển khai LLM agent evaluation

Trước khi đưa agent vào production, team nên có checklist tối thiểu:

  • Có golden dataset theo intent, risk level và tag.
  • Có deterministic checks cho schema, tool allowlist, argument và policy.
  • Có rubric judge rõ ràng cho correctness, groundedness, safety.
  • Có sandbox/mock cho tool có side effect.
  • Có baseline theo prompt/model/dataset version.
  • Có release gate cho high-risk failures.
  • Có log production gồm model, prompt version, retrieval ids, tool trace, latency/cost.
  • Có quy trình đưa production failure quay lại regression suite.
  • Có human review sampling cho nhóm rủi ro cao.

Kết luận

LLM agent evaluation không phải một bước QA phụ ở cuối dự án. Nó là một phần của kiến trúc production cho AI application. Nếu không có eval, mỗi lần đổi prompt, model hoặc tool schema đều là một lần release bằng cảm giác.

Một eval stack tốt giúp team trả lời được câu hỏi quan trọng: agent phiên bản mới có thực sự tốt hơn baseline không, tốt hơn ở nhóm nào, tệ đi ở nhóm nào, và rủi ro nào đủ lớn để chặn release.

Với developer, tư duy đúng là: đừng hỏi “agent có thông minh không?”. Hãy hỏi “trên những tình huống production đại diện, agent có hành xử đúng, an toàn, đo được và không regression không?”. Đó mới là ranh giới giữa demo AI và AI engineering thật.

Đọc tiếp về AI engineering và production quality