P2 阶段总结 — 参考架构落地,部件齐而引擎待接
P2 阶段总结 — 参考架构落地,部件齐而引擎待接
日期: 2026-08-16 阶段: Phase 2 - AI-native 参考架构 标签: #phase-summary #reference-architecture #sota-check #p3-prep
核心问题
P2(AI-native 参考架构阶段)只为证明一个命题:作品②的「智能引擎侧」可以先把一套可演示、可审计、可降本、有安全护栏的参考架构骨架搭起来——编排(durable)、网关(gateway)、成本前沿(Pareto)、工具接入(MCP server)、红队、风控网关、关键决策记录(ADR)——而真实 LLM 推理留到 P3 接入。 这延续 P1「尺子先于引擎」的纪律:P1 先建度量底座,P2 先建架构骨架,两者都不靠 LLM 已接入来成立。
本日 P2 阶段总结回答三件事:(A) 作品②的七大部件清单逐项核对——架构骨架真的就位了吗,证据在哪?(B) P2 交付与可链接证据汇总(含诚实限定语:哪些是设计/骨架,哪些已可演示);(C) P3 开工预备——MCP 终版 07-28 已落地后的集成切口、阻断项、红队对接。
关键内容
A. 作品②七大部件清单核对(架构骨架就位的物证)
命题的强形式:存在一个时间点,作品②有可演示的参考架构骨架(七部件),但真实 LLM 推理尚未接入。 下表按部件核对,标注「是骨架/设计 还是 已接 LLM」,杜绝把「设计就位」夸成「功能上线」:
| # | 部件 | 状态 | 入仓位置/证据 | 依赖 LLM? |
|---|---|---|---|---|
| 1 | Durable execution 编排 | 设计 + 原型 | orchestratorAgent.ts(单进程 Lead-Subagent+Budget)→ ADR#1 演进为 Temporal(macro)+Vercel AI SDK 6(micro);拟 src/aml/orchestration/investigationWorkflow.ts | 否(骨架) |
| 2 | AI gateway | 设计 | gateway 选型(LiteLLM 自托管 vs Bifrost 语义缓存);统一 provider 经 Vercel AI SDK 6;gen_ai.usage.* 接成本聚合 | 否(骨架) |
| 3 | 成本前沿(Pareto) | 方法 + 底座 | 模型×质量×成本 Pareto 前沿选型法;成本底座 useTraceStore.addCost + semconv token 属性(P1 已建) | 否(底座) |
| 4 | MCP server | 设计(按 07-28 终版) | 本项目作 MCP 客户端 + 暴露 AML 工具为 MCP server;无状态核 → 无需 sticky session;Tasks 扩展承载长调查 | 否(骨架) |
| 5 | 红队 | 设计 + 用例 | 按 MCPTox 10 类工具投毒构造 AML 专属红队用例;复用 P1 failureTaxonomy.ts 扩攻击桶 | 否(用例) |
| 6 | 风控网关(guardrails) | 设计 | 零信任工具权限 + 提交前熔断 + 人在环强制;src/aml/evalChecks.ts(代码型检查)前移为运行时 guard | 否(骨架) |
| 7 | ADR#1 | ✅ 定稿 | docs/aipa/adr/ADR-1-agent-framework.md(Day 62 长文#3 决策:micro=Vercel AI SDK 6 + macro=Temporal,四框架出局理由) | 否 |
「参考架构先于引擎」的反直觉点:直觉是「没接 LLM 就没法做 agent 架构」。但 P2 证明相反——编排骨架、网关选型、MCP 接口、红队用例、风控 guard、ADR 决策,全部可以在零 LLM 推理的前提下设计并部分入仓。原因和 P1 一样:agent 架构的「难」不在调一次 LLM,而在 durability/成本/安全/可审计这些横切关注点,它们恰恰是确定性工程,不需要 LLM 在场就能定型。先接 LLM 再补架构 = 用一个能跑的 demo 掩盖没有 durable/没有 guardrail 的事实——这正是 MCPTox 测出「20 个 agent 普遍中招、拒绝率<3%」的根因:大家先接 LLM 跑通 demo,把安全护栏当事后补。P2 的价值就是把护栏前置成设计物证。
B. P2 交付与可链接证据(含诚实限定语)
| 交付物 | 计划 | 实际状态 | 位置/证据 | 可演示? |
|---|---|---|---|---|
| ADR#1 框架选型 | P2 | ✅ 定稿 | docs/aipa/adr/ADR-1-agent-framework.md(Day 62) | learn track |
| ADR memory 选型 | P2 | ✅ 定稿 | docs/aipa/adr/ADR-memory-selection.md(Day 61) | learn track |
| Durable 编排骨架 | P2 | 设计+原型 | orchestratorAgent.ts 原型 + workflow 设计 | 原型可跑 |
| AI gateway 选型 | P2 | 设计 | gateway 对比 + 成本聚合底座 | — |
| 成本 Pareto 前沿 | P2 | 方法+底座 | Pareto 选型法 + addCost 底座 | — |
| MCP server/client | P2 | 设计(07-28) | 无状态核集成切口 | — |
| 红队用例集 | P2 | 设计+用例 | MCPTox 10 类 × AML 场景 | — |
| 风控网关 | P2 | 设计 | 零信任工具权限 + 熔断 + HITL | — |
| 长文#2/#3 | P2 | ✅ 定稿 | docs/aipa/longform/(Day 62 = #3) | learn track |
| 学习笔记(P2 段) | 每日 | ✅ | docs/aipa/day29~63-*.md | learn track |
可链接性结论:作品②的架构决策侧(两份 ADR + 两篇长文)已入仓且可作为作品集展示——证明「架构师怎么做 durable/memory/framework 选型」,而非「试了哪些 SDK」。智能引擎侧(真实 LLM + Temporal 集群 + gateway 实例)按计划留 P3。
数字汇总的口径陷阱(延续 P1 纪律):本阶段涉及的降本数字均为外部 benchmark,非本项目实测——如「语义缓存降推理成本 40-70%、命中延迟<5ms vs 直连 2-5s」(快变口径,getmaxim 2026)、Bifrost「11µs 开销/5000 RPS、比 LiteLLM 快 50x」(truefoundry 2026)。这些是选型参考上界,不是本项目已达成的成本。$/案件实测仍待 P3 接 gateway + LLM 后才有,严禁把「gateway 选型完成」误报成「成本已降 40-70%」——这是 P1 Day 27/28 钉死的同类夸大。
C. P3 开工预备(MCP 07-28 已落地 + 红队对接 + 阻断项)
P2 结项时(2026-08-16),MCP 终版 2026-07-28 已发布(P1 Day 28 预检的硬依赖已兑现)。P3 开工预检:
| 预检项 | 状态(2026-08-16 口径) | 对 P3 的含义 |
|---|---|---|
| MCP 终版 07-28 | 已发布(launch 以来最大改版,无状态核) | P3 按终版集成,RC 期验证结论可转正 |
| 无状态协议核 | 无握手/无 session id,任意请求打任意实例 | AML agent 服务部署在普通轮询 LB 后,无 sticky session |
| Tasks 扩展 | 从核迁为扩展,`tasks/get | update |
| MCP Apps(SEP-1865) | 服务端渲染沙箱 iframe,UI 动作走同一 audit/consent 路径 | AML 工作台屏未来可作 MCP App 暴露,UI 操作同样可审计 |
| 工具投毒风险 | MCPTox:o1-mini ASR 72.8%、平均 36.5%、拒绝率<3% | P3 接真实工具前必须过红队,不可裸接 MCP 工具 |
| NIST CAISI | 2026-02-17 启动,Q4 2026 出互操作 profile | 身份/授权/监控对齐 CAISI workstream,P3 埋点预留 |
P3 阻断项:(1) 裸接 MCP 工具 = 高危——MCPTox 证明 20 个主流 agent 普遍中招、拒绝率<3%,P3 接真实工具前,B 节红队用例必须先跑过,风控网关(零信任权限 + 提交前熔断)必须先上;(2) 成本实测前置依赖 gateway 实例——$/案件须等 P3 接 gateway 才有真实数字,P2 只交付选型与底座;(3) memory 选型终审待金标实测(Day 61)——倾向 Zep 类时间图,但 P3 接 LLM 后用 AML 金标做长期衰减测试才能终审,不预先锁死。
设计要点/决策表
| 要点 | 决策 | 与朴素做法差异 |
|---|---|---|
| 七部件用物证核对 | 按「骨架/设计 vs 已接 LLM」标注 | 口头「架构做完了」无物证 |
| 护栏前置为设计 | 红队/风控网关在接 LLM 前定型 | 先跑 demo 后补安全 = MCPTox 中招根因 |
| 降本数字带限定语 | 40-70% 为外部上界,非本项目实测 | 裸数字 = 阶1 诚信止血对象 |
| ADR 作为交付核心 | 两份 ADR 展示选型推理 | 「试了哪些 SDK」无决策价值 |
| P3 按 MCP 终版集成 | 07-28 已落地,RC 结论转正 | 按 RC 写 → 终版破坏性返工 |
| 裸接 MCP 工具 = 阻断 | 红队 + 风控网关先于真实工具 | 直接接工具 = 投毒高危 |
对本项目的落地
- 进度回写:
docs/daily/AIPA_PROGRESS.mdP2 各周交付列与 SOTA✓ 列按 A/B 节更新;P2 结项标记,P3 开工行预填「MCP 07-28 终版集成 + 红队前置 + gateway 接入」。 - 作品②状态:「三大杀手作品」表中 AML copilot 的架构决策侧填可链接(两份 ADR + 长文#2/#3);引擎侧标「P3 接入」,不虚标已完成;降本数字一律标「外部参考,待 P3 实测」。
- P3 集成切口汇总:(1)
src/aml/orchestration/investigationWorkflow.ts(Temporal macro)+layeringReasoningAgent.ts(Vercel AI SDK 6 micro),把orchestratorAgent.ts的 Budget 搬进 activity;(2) MCP 客户端适配层(无状态核,复用现有 agent 服务部署形态);(3) gateway 适配(统一 provider + 语义缓存,接useTraceStore.addCost出 $/案件);(4) 风控网关:evalChecks.ts代码型检查前移为运行时 guard + 提交前熔断 + HITL signal。 - 红队接续:B 节 MCPTox 10 类 × AML 场景的红队用例,在 P3 接真实 MCP 工具后跑,失败 trace 喂 P1 失败归因面板(Day 26),
failureTaxonomy.ts扩「工具投毒」攻击桶——红队从「用例设计」转「实测攻击成功率」。 - 诚实标注:所有 P2 部件文件头注明确「P2 为参考架构设计/骨架,真实 LLM 推理、gateway 实例、Temporal 集群、红队实测均 P3 落地」;框架/规范版本号(MCP 07-28、Vercel AI SDK 6、Temporal TS SDK、gateway)在 P3 实现当周重新确认。
参考资料
- Model Context Protocol Blog — The 2026-07-28 MCP Specification(2026):终版 07-28 发布;无状态核(无握手/无 session id,任意请求打任意实例);Tasks 扩展(
tasks/get|update|cancel+ task handle);MCP Apps(SEP-1865,沙箱 iframe,UI 动作走同一 audit/consent);ttlMs/cacheScope 缓存;OAuth/OIDC 授权加固;弃用政策 - MCPTox — A Benchmark for Tool Poisoning Attack on Real-World MCP Servers(arXiv 2508.14925, 2025-08):45 live MCP server / 353 工具 / 1312 恶意用例 / 10 类风险;o1-mini ASR 72.8%、Phi-4 70.2%、GPT-4o-mini 61.8%、整体平均 36.5%;最高拒绝率(Claude-3.7-Sonnet)<3%,现有安全对齐对「用合法工具做未授权操作」无效
- NIST CAISI — AI Agent Standards Initiative(2026-02-17 启动):身份/授权、安全/风险、监控/日志三 workstream;互操作 profile 目标 Q4 2026
- getmaxim / truefoundry — AI Gateways for LLM Cost / Bifrost vs LiteLLM(2026):语义缓存按向量匹配意图(非精确字符串);Bifrost 11µs 开销/5000 RPS、比 LiteLLM 快 50x、原生 MCP gateway + 语义缓存;LiteLLM 100+ provider + virtual key 预算
- 本项目笔记:Day 61(memory 批判/ADR)、Day 62(长文#3 框架选型/ADR#1);P1 Day 28(MCP 07-28 预检)
- 本仓物证:
src/agent/orchestrator/orchestratorAgent.ts、src/agent/trace/useTraceStore.ts、src/aml/evalChecks.ts/failureTaxonomy.ts、docs/aipa/adr/(2026-06)
SOTA 检查 (2026-08-16)
注:本笔记日历日为 2026-08-16;事实核查与一手原文检索在 2026-06-11 完成,P3 开工当周需按下方待跟踪项重新确认。
- MCP 07-28 终版已落地,P3 集成基准明确:无状态核 + Tasks 扩展 + MCP Apps 是 launch 以来最大改版(官方博客 2026)。P1 Day 28 预检的硬依赖已兑现——P3 按终版而非 RC 集成,RC 期验证结论可转正。这是本阶段最关键的外部依赖,已解除阻断。
- 工具投毒是 P3 头号安全风险,且尚无被解决:MCPTox(arXiv 2508.14925, 2025-08)证明 20 个主流 agent 普遍中招(平均 ASR 36.5%、o1-mini 72.8%)、拒绝率<3%——「现有安全对齐对合法工具的未授权使用无效」这一结论在 2026 仍 live。裸接 MCP 工具高危的判断未被新方案推翻,红队 + 风控网关前置是必需。
- NIST CAISI 仍在制定中,profile 待 Q4 2026:身份/授权/监控三 workstream(2026-02-17 启动)是 P3 埋点对齐方向,但 profile 未出,P3 先按 workstream 方向预留,不假设已有强制标准。
- 降本数字纪律无松动:语义缓存 40-70% 降本、Bifrost 50x/11µs 等均为外部 benchmark 上界,非本项目实测;$/案件待 P3 接 gateway 实测,禁止提前声明成本已降。
- 过时认知警示:(1) MCP 新集成必须基于 07-28 终版,不可再引 2025-11-25 或 RC;(2) 不可把「gateway/编排/红队 设计就位」等同「功能上线」——七部件多为设计/骨架,真实 LLM 推理在 P3;(3) 框架版本(Vercel AI SDK 6 / Temporal TS SDK)须实现当周复核。
- 待跟踪(P3 开工当周必做):复查 MCP 终版是否有勘误/补丁;重跑 B 节红队用例确认 MCPTox 是否有更新榜或新防御基准;确认 gateway(LiteLLM/Bifrost)与 Vercel AI SDK 6 的当周版本;memory 选型在 P3 金标长期衰减测试后回填终审(Day 61)。