AI 扩展计划 / Playbooks

AML 30 天深化计划

把 10-day starter pack 从 v0.1 的方向确认和初始资产，深化为 portfolio-grade artifact：能证明你如何把金融犯罪合规场景中的模糊业务痛点，转成数据准备、流程改造、需求验收、eval、控制架构、运营模型、采用指标和商业价值。

215 行abpa/capstone-aml/AML_30_DAY_DEEPENING_PLAN.md

AML Copilot ABPA 30天深化计划

定位：在不改写历史学习内容的前提下，把 AML_ABPA_10_DAY_STARTER.md 延展成可展示、可答辩、可面试追问的 AI BA / AI PM / AI Solutions Architect 组合型 capstone。

目标

本计划只新增产物和交叉引用，不删除旧计划、旧笔记、旧 PRD、旧代码或旧 ABPA starter。历史内容如果过时，只在新产物中标注“复用、替代、待验证、生产化前需重检”，不直接覆盖。

边界	做法
历史资产	保留 `AML_ABPA_10_DAY_STARTER.md` 和 `README.md` 原样，作为 v0.1 起点
新增资产	用 v0.2/v0.3 独立文档、表格、截图、demo 脚本追加
代码资产	只引用 `src/aml` 现有 eval、HITL、failure taxonomy、audit trail 证据
面试表达	每个产物都要能回答“为什么这么设计、如何验收、何时停止”
合规假设	区分 synthetic dataset、public/external label、internal reviewed case 三类证据

已有资产引用

资产	路径	在 30 天计划中的用途
10-day starter	`docs/abpa/capstone-aml/AML_ABPA_10_DAY_STARTER.md`	问题定义、stakeholder、AS-IS、requirements-to-eval、control pack 的 v0.1
Capstone README	`docs/abpa/capstone-aml/README.md`	保留 portfolio storyline 和 preservation rule
PRD	`docs/AML_COPILOT_PRD.md`	复用 JTBD、MVP 三屏、成功指标、风险约束
Governance map	`docs/AML_GOVERNANCE_MAP.md`	复用 AI governance、监管基线、控制映射
Longform case	`docs/AIPA_LONGFORM_4_AML_AGENT.md`	复用 FIS-Anthropic 对标、架构五段、eval 体系、成本分解
ABPA templates	`docs/abpa/templates/03-12*.md`	生成 BPMN、requirements-to-eval、control pack、data readiness、ADR、RACI、adoption、business case、portfolio evidence
Eval code	`src/aml/__tests__/aml.test.ts`, `src/aml/__tests__/p1evals.test.ts`, `src/aml/__tests__/p3aml.test.ts`	requirements-to-eval 的技术证据
HITL code	`src/aml/hitl.ts`, `src/components/aml/AmlSarPanel.tsx`	人工复核和禁止 auto-file 的证据
Failure taxonomy	`src/aml/failureTaxonomy.ts`	失败分类、监控、stop rule 的基础

30天节奏总览

阶段	天数	核心问题	主产物
Data readiness and label strategy	Day 1-5	数据能不能支撑可信 eval？	AML Data Readiness Pack v0.1
Workflow/BPMN and exception handling	Day 6-10	流程痛点、例外、人工边界在哪里？	BPMN + exception matrix v0.1
Requirements-to-Eval and failure taxonomy	Day 11-15	每条需求如何被验证和停止？	Requirements-to-Eval v0.2
Architecture ADR and HITL control design	Day 16-20	架构如何把合规控制长进去？	ADR Set + HITL control design v0.1
Operating Model, RACI, adoption dashboard	Day 21-25	谁负责上线后的质量、采用和变更？	Operating model + adoption dashboard v0.1
Business case, executive memo, interview rehearsal	Day 26-30	为什么值得投、何时该停、如何讲？	Business case + executive memo + demo script

Day 1-5：Data Readiness and Label Strategy

目标：把 starter 中“production evidence needed”变成可答辩的数据准备包，说明 AML Copilot 需要哪些数据、哪些是 source of truth、哪些字段敏感、label 如何产生、synthetic eval 与真实 eval 的边界在哪里。

Day	Focus	工作内容	参考资产
1	Data inventory	列出 party、account、transaction、case、KYC、sanctions、prior SAR、review outcome 数据域	`src/aml/types.ts`, `docs/AML_COPILOT_PRD.md`
2	Source of truth	标注每类数据的系统归属、刷新频率、owner、生产可用性	`07-data-readiness-pack.md`
3	PII and access	对字段做 PII、restricted、model-eligible、redaction-needed 分级	`docs/AML_GOVERNANCE_MAP.md`
4	Label strategy	设计 synthetic label、reviewer label、external/public label 三层 label 策略	`src/aml/groundTruthEval.ts`
5	Readiness gate	形成 go/no-go 数据门槛和 remediation backlog	starter baseline metrics

每5天产出物	验收标准	可追问问题
AML Data Readiness Pack v0.1：数据清单、source of truth、质量评分、PII 分级、RAG readiness、pipeline readiness	至少覆盖 case、party、account、transaction、typology、SAR、review outcome	为什么 synthetic golden dataset 不能直接证明生产可用？
Label Strategy Note：label 来源、抽样方法、reviewer rubric、inter-annotator agreement、争议解决	每类关键字段都有 owner、系统、刷新频率、使用限制	如果合规不给历史 SAR label，项目还能继续吗？
Data Gap Backlog：缺字段、缺权限、缺标签、缺刷新机制、缺审计留痕的优先级	synthetic、external、internal reviewed 三类 label 不混用	label 争议如何处理？
Data Go/No-Go Gate：没有真实 label、无法引用证据、PII 不可控时的停止规则	能说明哪些需求可用现有代码 eval，哪些必须等人工 label	哪些数据绝不能直接进模型？

Day 6-10：Workflow/BPMN and Exception Handling

目标：把 starter 的 AS-IS / TO-BE mermaid 流程，深化为 BPMN 级别的业务流程资产，特别补齐异常路径、人工复核、退回重做、系统降级、监管提交边界。

Day	Focus	工作内容	参考资产
6	AS-IS BPMN	将 alert-to-SAR 流程拆成 swimlane：analyst、reviewer、case system、data source	`03-bpmn-pain-metrics.md`
7	Pain metrics	为每个活动绑定时间、返工、错误、等待、系统切换指标	starter pain metrics
8	TO-BE BPMN	加入 Copilot evidence assembly、typology advisory、SAR drafting、review queue	`AmlCopilot.tsx`
9	Exception paths	设计 data missing、conflicting evidence、low confidence、provider outage、review return 路径	`src/aml/hitl.ts`
10	Control points	标出哪些节点必须人工签字，哪些节点只允许 AI advisory	`docs/AML_GOVERNANCE_MAP.md`

每5天产出物	验收标准	可追问问题
AS-IS BPMN v0.1：当前 alert triage、evidence gathering、typology assessment、SAR drafting、review 流程	至少区分 analyst、compliance reviewer、AML ops、data/platform、audit	为什么要做 BPMN，而不是只画产品流程图？
TO-BE BPMN v0.1：Copilot 介入后的流程、人工复核点、audit trail、fallback	低置信、高风险、缺数据、证据冲突、模型失败、退回重做都有路径	低置信结果如何处理？
Exception Handling Matrix：异常类型、触发信号、系统响应、人工 owner、审计字段	没有任何路径允许自动 SAR filing 或绕过 reviewer	如果 reviewer 退回 SAR，系统如何学习？
Pain-to-Metric Map：每个痛点对应的 baseline metric、target metric、采集方式	每个关键痛点都有可采集的时间、质量或风险指标	Copilot 失败时业务是否中断？

Day 11-15：Requirements-to-Eval and Failure Taxonomy

目标：把 starter 的 12 条需求扩展为可验收、可测试、可监控的 requirements-to-eval matrix，并把现有 6 类 failure taxonomy 变成业务、技术、合规三方都能理解的失败归因体系。

Day	Focus	工作内容	参考资产
11	Requirement expansion	从 PRD、workflow、control pack 扩展到 20+ 条 must/should/could 需求	`04-requirements-to-eval-matrix.md`
12	Eval mapping	为每条 must-have 需求定义 eval data、grader、threshold、production signal	`src/aml/evalChecks.ts`
13	Failure taxonomy	把 hallucination、tool failure、context pollution 等映射到业务风险和控制	`src/aml/failureTaxonomy.ts`
14	Eval slices	设计 normal、structuring、layering、mule_network、hard cases、injection、outage eval slices	`src/aml/generator.ts`
15	Stop rules	为 critical/high failure 定义 stop、rollback、review、change freeze 规则	`05-ai-control-pack.md`

每5天产出物	验收标准	可追问问题
Requirements-to-Eval Matrix v0.2：20+ 需求、acceptance criteria、grader、threshold、production signal、owner	每条 must-have 都有 eval data、grader、threshold、owner	需求和 eval 为什么必须绑定？
Failure Taxonomy Business View：技术失败类到业务影响、合规影响、用户影响的翻译表	非技术面试官能听懂每类失败的业务后果	LLM judge 什么时候可用？
Eval Coverage Map：code check、metric eval、human review、LLM judge、red-team eval 的覆盖关系	明确引用 `aml.test.ts`、`p1evals.test.ts`、`p3aml.test.ts` 的证据角色	hallucination 和 context pollution 有什么区别？
Stop Rule Register：critical/high/medium 失败对应的停止、升级、修复、复测规则	invalid citation、critical hallucination、HITL bypass 有明确停止动作	如何证明比 rule baseline 更好？

Day 16-20：Architecture ADR and HITL Control Design

目标：把“合规即架构”落成 ADR：为什么选择 copilot 而不是 fully agentic automation，为什么必须 source-bound，为什么必须 HITL，如何做 observability、audit、provider fallback、security control。

Day	Focus	工作内容	参考资产
16	ADR index	定义 AI pattern、provider、RAG、HITL、eval/observability、security/audit 六个 ADR	`08-ai-architecture-adr-set.md`
17	Pattern decision	比较 workflow-only、copilot、agentic automation、vendor product、hybrid	starter executive memo
18	HITL design	设计 SAR draft 状态机、review action、override reason、auto-file prohibition	`src/aml/hitl.ts`
19	Observability	定义 trace、cost、latency、invalid citation、override、failure class、audit event 指标	`src/aml/observability/attributeMap.ts`
20	Security and audit	设计 least privilege、redaction、prompt isolation、append-only audit、retention	`src/aml/auditTrail.ts`

每5天产出物	验收标准	可追问问题
AML Architecture ADR Set v0.1：6 个 ADR，含 options、decision、trade-off、consequence	每个 ADR 至少比较 3 个选项，并说明为什么不用 fully autonomous	为什么不做全自动 AML agent？
HITL Control Design：状态机、人工签字点、禁止自动提交、override/return/escalate 流程	SAR 只能 draft -> pending_review -> approved -> filed，不能绕过 approval	RAG 在这个场景最大的风险是什么？
Observability Map：技术 trace 到业务 KPI、risk KPI、eval KPI 的映射	citation、redaction、audit、fallback、eval、observability 都有架构位置	HITL 是按钮还是流程？
Architecture Diagram Script：2 分钟讲清 evidence assembly -> typology -> SAR -> review -> audit	每个 critical failure 都能追到 case、trace、prompt/tool、review action	架构如何支持监管审计？

Day 21-25：Operating Model, RACI, Adoption Dashboard

目标：把 prototype 变成可运营的 pilot：谁拥有需求、eval、模型变更、数据、prompt、incident、培训、adoption、ROI；同时定义采用仪表盘，避免“demo 好看但没人用”。

Day	Focus	工作内容	参考资产
21	Operating model	定义 product、compliance、AML ops、model risk、data、security、audit、platform 工作流	`09-operating-model-raci.md`
22	RACI	为 data change、prompt change、threshold change、incident、release、pilot review 做 RACI	starter stakeholder map
23	Governance cadence	设计 weekly pilot review、monthly control review、quarterly model review	`docs/AML_GOVERNANCE_MAP.md`
24	Adoption funnel	定义 invited、activated、used weekly、trusted with override、review approved、retained 指标	`10-adoption-dashboard.md`
25	Feedback loop	设计 analyst feedback、reviewer return reason、override reason、training backlog	`AmlSarPanel.tsx`

每5天产出物	验收标准	可追问问题
AML Operating Model v0.1：workstreams、cadence、change control、incident model、maturity roadmap	每个控制、指标、变更和 incident 都有 accountable owner	如果 adoption 高但质量下降怎么办？
RACI Matrix v0.1：关键决策的 accountable、responsible、consulted、informed	同时看 repeat usage、override quality、review approval、time saved、trust confusion	为什么 RACI 对 AI 项目重要？
Adoption Dashboard v0.1：adoption funnel、usage、trust/quality、business outcomes、behavior change signals	prompt、model、threshold、data source、policy update 都有审批和回归测试	采用仪表盘最关键的信号是什么？
Pilot Feedback Loop：反馈、reviewer edits、override reasons、failure labels 到 backlog 的闭环	退回原因和 override reason 能映射到 failure taxonomy 或 requirement backlog	如何防止过度依赖？

Day 26-30：Business Case, Executive Memo, Interview Rehearsal

目标：把前 25 天资产包装成高管可决策、面试可展示的 capstone：商业价值、成本模型、风险调整 ROI、funding gate、executive memo、demo script、三角色答辩。

Day	Focus	工作内容	参考资产
26	Baseline economics	建立 alerts/month、minutes/case、review cost、model cost、QA cost、false positive burden 假设	`11-business-case.md`
27	Benefit model	计算 time saved、quality lift、audit completeness、review efficiency、training value	`docs/AIPA_LONGFORM_4_AML_AGENT.md`
28	Risk-adjusted case	加入 data readiness、label gap、compliance block、provider risk、incident cost 调整	risk register
29	Executive memo	写 1 页 go/no-go memo：recommendation、funding ask、pilot scope、stop rules	`06-executive-decision-memo.md`
30	Interview rehearsal	准备 5 分钟 demo、10 个追问、AI BA/PM/Architect 三种叙事	本计划 demo narrative

每5天产出物	验收标准	可追问问题
AML Business Case v0.1：baseline、benefit model、cost model、unit economics、scenario analysis、funding gates	至少有 base、conservative、upside 三种场景	这个项目的 ROI 最大假设是什么？
Executive Decision Memo v0.2：建议、选项、为什么现在、pilot 范围、go/no-go、stop rule	ROI 不只算效率，也扣除 label、review、incident、governance、vendor 成本	什么情况下你会建议不做 AI？
Portfolio Demo Script：5 分钟主线、3 个角色叙事、证据路径、截图/表格清单	高管读完能选择 fund discovery、controlled pilot、stop、workflow-only fallback	高管为什么现在要投 30 天？
Interview Rehearsal Pack：追问问题、STAR-T 回答、trade-off 答案、失败案例回答	每个 claim 都能指向 repo asset、template artifact、test file 或 dashboard	如何避免 portfolio 看起来只是 demo？

Capstone Evidence Checklist

Evidence	状态定义	证据路径
Problem framing	能说明 AML investigation 的业务痛点和 AI fit	`AML_ABPA_10_DAY_STARTER.md`, `docs/AML_COPILOT_PRD.md`
Stakeholder evidence	能说明每类角色的 success、concern、evidence need	starter stakeholder map
Data readiness	能说明数据、label、PII、source of truth、gap	待新增 Data Readiness Pack
Workflow/BPMN	能说明 AS-IS、TO-BE、exception、HITL	待新增 BPMN artifact
Requirements-to-eval	能说明需求、grader、threshold、production signal	starter v0.1 + 待新增 v0.2
Eval implementation	能指向已有测试和 eval code	`src/aml/__tests__/*`, `src/aml/evalChecks.ts`
Failure taxonomy	能说明失败类别和业务影响	`src/aml/failureTaxonomy.ts`
HITL control	能证明 SAR 不能绕过人工审批	`src/aml/hitl.ts`, `AmlSarPanel.tsx`
Architecture ADR	能解释 pattern/provider/RAG/HITL/observability/security 决策	待新增 ADR Set
Operating model	能说明谁负责变更、质量、事故、采用	待新增 RACI
Adoption dashboard	能展示使用、信任、质量、业务结果	待新增 dashboard spec
Business case	能展示 baseline、benefit、cost、funding gate	待新增 business case
Executive memo	能给出 go/no-go 建议和 stop rule	starter memo + 待新增 v0.2
Interview pack	能按 BA/PM/Architect 三角色答辩	待新增 demo script

Demo Narrative for AI BA, AI PM, AI Solutions Architect

角色	5分钟叙事主线	必展示证据	关键追问防守点
AI BA	我从 AML 调查流程出发，把模糊痛点拆成 stakeholder evidence、BPMN、pain metrics、requirements-to-eval	stakeholder map、BPMN、requirements-to-eval matrix	为什么这些需求可验收？异常路径如何处理？人工责任在哪里？
AI PM	我不只做 demo，而是定义 adoption、quality guardrail、unit economics、pilot gate 和 rollout/stop 策略	adoption dashboard、business case、executive memo	如何平衡效率和合规风险？ROI 假设如何验证？不用 AI 的 fallback 是什么？
AI Solutions Architect	我把合规控制设计进架构：source-bound evidence、HITL、eval、observability、audit、fallback	ADR set、HITL state machine、failure taxonomy、audit trail	为什么不用全自动 agent？RAG 风险如何控？provider outage 如何降级？

Risk Register

Risk ID	风险	影响	早期信号	缓解措施	Owner
RSK-001	真实 label 不可获得	无法证明生产分类质量	只能拿到 synthetic 或未审阅样本	降级为 workflow/evidence copilot，不替代分类判断	Compliance / Model Risk
RSK-002	证据引用不可靠	SAR narrative 可能 unsupported	invalid citation、unresolved anchor	100% citation existence check，失败即 block	Product / Compliance Ops
RSK-003	PII 或敏感数据外泄	法务、监管、声誉风险	prompt/trace 中出现不必要 PII	redaction、least privilege、provider review、trace retention policy	Data Owner / Security
RSK-004	Analyst 过度依赖 AI	错误被直接接受	blind acceptance、低质量 override reason	UI advisory labeling、training、抽检、override monitoring	AML Ops
RSK-005	Reviewer 工作量上升	backlog 从 analyst 转移到 reviewer	returned draft rate、review time 上升	改进 SAR rubric、分层 review、限制 pilot scope	Compliance Reviewer
RSK-006	模型或工具失败	调查中断或输出不完整	timeout、tool error、missing evidence	fallback to rule baseline/manual workflow	Platform
RSK-007	Prompt injection	生成 unsupported claim 或越权行为	red-team injection 命中	tool isolation、source text untrusted、injection eval	Security
RSK-008	成本失控	ROI 失真	$/case 超预算、token 激增	model routing、budget cap、cache、scope control	Sponsor / Platform
RSK-009	监管解释不足	无法通过审计或 model risk review	缺 audit event、缺 reviewer sign-off	append-only audit、decision log、model/change review	Internal Audit
RSK-010	Portfolio 证据断裂	面试时像概念而非作品	claim 无路径、指标无来源	evidence checklist、demo script、每页附 source path	Candidate

Stop/Go Gates

Gate	Go 条件	Stop / Hold 条件	证据
Data readiness gate	关键数据源、PII 分级、label plan、owner 明确	source of truth 不明、无 label 路径、PII 无法控制	Data Readiness Pack
Eval gate	must-have 需求有 grader、threshold、production signal	critical 需求无法验证，或 threshold 只能拍脑袋	Requirements-to-Eval Matrix
HITL gate	SAR filing 必须 human approval，override/return 可审计	存在 auto-file 或绕过 reviewer 的路径	HITL Control Design
Quality gate	invalid citation = 0，critical hallucination = 0，recall/FPR 不劣化	任一 critical hallucination、证据杜撰、reviewer 无法解释	Eval report / failure taxonomy
Security gate	redaction、access、provider、trace retention 被批准	未授权 PII 进入模型或 trace	Security review
Adoption gate	pilot 用户重复使用，review approval 不下降，override reason 有质量	使用率高但质量下降，或用户误解 AI 为最终裁决	Adoption Dashboard
Business gate	conservative case 仍有正向价值，成本可控	成本超过节省、review 负担抵消收益	Business Case
Executive gate	sponsor、compliance、model risk、platform 都接受 RACI	任一关键 owner 拒绝承担责任	Executive Memo / RACI

30天结束时的组合包

文件/资产	面试中承担的作用
AML Data Readiness Pack	证明你知道 AI 项目不是先选模型，而是先确认数据、label、权限和质量
BPMN + Exception Matrix	证明你能做 BA 流程分析，并把异常和控制点画清楚
Requirements-to-Eval Matrix v0.2	证明你能把需求写成可验证、可监控、可停止的系统契约
Failure Taxonomy Business View	证明你能把技术失败翻译成合规和业务风险
Architecture ADR Set	证明你有架构 trade-off 能力，而不是堆 AI buzzword
HITL Control Design	证明你理解金融合规场景中的人类责任和授权边界
Operating Model + RACI	证明你知道上线后的责任、变更和事故处理
Adoption Dashboard	证明你能管理采用，而不是只交付功能
Business Case	证明你能讲清楚价值、成本、风险调整和 funding gate
Executive Memo + Demo Script	证明你能向高管、面试官和跨职能团队讲清楚同一个项目

最终答辩句式

“这个 capstone 不是一个 AML chatbot demo。它展示的是我如何从金融犯罪合规流程出发，定义 AI 适用边界，建立数据和 label 策略，把需求绑定到 eval 和 failure taxonomy，再用 ADR、HITL、RACI、adoption dashboard 和 business case 把它推进到可试点决策。”