A2A 跟 MCP 有什麼不同?

MCP 連結 agent 與工具/資料(例如資料庫、PDF 產生);A2A 連結 agent 與 agent(對等協作)。兩者互補:這個系統用 A2A 讓外部 AI agent 操作它,內部各 skill 仍可用 MCP 接自己的工具。

為什麼資料驅動的 schema 對接 A2A 有幫助?

外部 agent 要填表,最痛的是不知道要填什麼、什麼格式。資料驅動系統可以直接把同一份 form_schema 轉成機器契約吐給對方 agent(get_requirements skill),本來要額外寫的能力描述變成免費副產品。

開放 AI 上傳檔案,怎麼確定格式?

檢查 magic bytes(檔頭簽名):PNG 是 89504E47、JPEG 是 FFD8FF、PDF 是 25504446。改副檔名騙不了,因為內容開頭騙不了。但 magic bytes 只證明是合法的圖檔容器,不證明內容是真證件——真偽該交給人工核對。

為什麼回歸測試會把使用者的資料洗掉?

因為測試前的 reseed 砍掉重建的,是跟 live demo 同一個資料庫。修法是測試隔離:資料庫路徑與埠號吃環境變數,測試跑在獨立的 DB 與埠,跑前後驗證 live 資料庫修改時間沒變。

跟 AI 寫程式真的需要軟工基礎嗎？

需要，但不是新的軟工，是把舊軟工套到 AI 4 個特性上：訓練資料 cutoff、stateless 無記憶、非 deterministic 輸出、高並發。本文盤點 15 條經典軟工紀律，用一條真實 Opus 4.8 Workflow 實測對話拆解每條的具體用法。

跟 AI 寫程式最重要的 5 條軟工紀律是什麼？

排序：(1) 驗證紀律 — 強制 AI 查資料不要憑記憶；(2) 正交分解 — 拆軸線問不要 bundled question；(3) 文檔作為下個 session 輸入 — 把學到的寫成可被未來 conversation 直接讀的格式；(4) 真實基準 — 用 production codebase 評估，不用 toy example；(5) Focused review — 一次只 review 一條軸線。

什麼是「文檔作為下個 session 輸入」？

傳統軟工的文檔是給未來人類讀者看的（wiki、Notion、ADR）。AI 場景下文檔是給未來 stateless agent 讀的 — 寫成下次 conversation 的 AI 可直接讀懂的格式（例如 brain file、CLAUDE.md、AGENTS.md）。沒這層，每次跟新 conversation 都得從零教一遍。

跟 AI 寫程式的「預算控管」是什麼？

Multi-agent workflow 用 token 是 single-agent 的 3-10×（Anthropic 自己 paper 數據），Research system 是 ~15×。沒設 token budget cap 或 wall-time timeout，AI 寫錯 orchestration script 可能跑出 100 個 agent、$60 cost、20 分鐘 wall-time 不自停。Claude Code admin page 有 hard daily limit 設定，可設預算上限。

AI 預設 fail-silently 是什麼意思？

AI 遇到錯誤的默認行為是「生看起來合理的內容掩蓋失敗」，而不是 raise exception。例如 workflow synthesis agent 算錯總數 83 vs 真實 109，它會「完整交付」一份其實內部有 hole 的報告。對抗方法：在 prompt 裡明寫「如果 X 條件不符，標 INVALID 而不是瞎掰」，並設計獨立 verification step 主動 cross-check。

跟 AI 寫程式為什麼 senior eng 才做得好？

跟 AI 寫程式，code 是 AI 生的，你扮演 reviewer + verifier + spec writer 三個角色 — 傳統上叫 PM / QA / Tech Lead，都是 senior eng 的活。「跟 AI 寫程式比較簡單」完全反了 — 它把 senior eng 的工作 commoditize 到每個用 AI 的人身上。本文 15 條的本質就是把這三層活的紀律寫下來。

AI 除錯時為什麼會被 grep 騙?

因為字串比對沒有語意理解。例如 grep OutOfMemoryError 會抓到 JVM 啟動印出的環境變數 -XX:+ExitOnOutOfMemoryError 字串(後 16 字元剛好是 OutOfMemoryError),產生假陽性。修法是用更精確的 pattern 例如 java.lang.OutOfMemoryError,或檢查 docker container 的 exit code(137 = SIGKILL OOM,1 = 應用 throw exception)。

Spring Boot 排除 HibernateJpaAutoConfiguration 後為什麼還是會載 JPA?

Spring autoconfig 是貪食的 — 只要 classpath 上有 JpaRepository 的 subclass(來自任何 dependency module),JpaRepositoriesAutoConfiguration 還是會 fire 並嘗試建 entityManagerFactory。如果 Hibernate 被排除而 JpaRepositories 沒被排除,context refresh 會 fail。完整的修法是兩個 autoconfig 都加到 @SpringBootApplication 的 exclude 清單。

怎麼判斷 docker container 是真穩定還是 crash loop?

不要看 STATUS 欄的 Up time(會被 restart 假象騙)。要看 RestartCount 是否在持續增加 — 跑 docker inspect --format '{{.RestartCount}}' 過 2 分鐘再看一次,有增加就是 crash loop。Spring Boot 也要確認 log 印出 Started XxxApplication in N seconds 才算 context refresh 成功。

Lombok @Data 對 Boolean 跟 boolean 的 getter 名字差別?

Lombok 看欄位型別決定 getter 命名:primitive boolean active 產生 isActive(),wrapper Boolean active 產生 getActive()。因為 Boolean 可以是 null,Lombok 認為它是普通 object,不用 is 前綴。如果欄位允許 null(資料庫 nullable column、有 default、Optional 情境)就要用 Boolean 而 getter 是 getXxx()。

AI 跟人類除錯哪個比較強?

不對等。AI 強在大量資訊掃描、框架冷知識記憶、自動化 bash 操作;人類強在業務 frame、設計直覺、跨專案累積的品味。AI 容易被表面訊號(log 字串、metric 數字)騙,人類容易跳過 log 細節。最有效的模式是業務 frame 由人類訂,技術挖掘由 AI 做,修法兩邊一起決定。

為什麼要做本地 LLM 的 prompt 分級驗證 harness?

企業導入 LLM 第一個踩到的雷是資料治理:客戶資料不能上雲、員工資料要脫敏才能上雲、純技術問題可以直接上雲。沒有分級機制就只能全本地(成本爆 + 質量差)或全雲端(資料外洩 + 法遵爆)。harness 的目標是每條 prompt 進來自動分 ABC 三級,並驗證分級正確、後續處理也對。

為什麼 judge 必須用本地 LLM,不能用雲端 LLM?

因為 A 級資料連『請判斷這條算什麼級』這個動作都不能上雲——光問就洩了。judge 是 defense in depth 的第一層門禁,必須在本機跑。

本地 LLM 哪個適合做 routing judge?

qwen3-nothink:latest(2.5GB, 12/12, 7.4s)是 PRIMARY,qwen2.5:7b(4.7GB, 12/12, 11.8s)是 fallback。size 不是 axis,prompt-stability 才是。所有 thinking model(qwen3:4b/14b、qwen3.5:4b/9b、gemma4:e4b)都跟 Ollama format=json 架構級不相容,全 0/12。-nothink 後綴只是 tag 不保證關 thinking。

為什麼 routing 12/12 滿分不等於系統可上線?

routing 是 defense in depth 第一層,worker 還要真做事。v3-v6 routing 滿分但 worker 全是 stub('OK 收到'),v7 加 expected_keywords 比對 reasoning 質量才看到 9/12 真實水準。production 要 routing 100% 不漏 A 級 + reasoning 過 SLA。

在 ccbot 內叫 CC 跑驗證,為什麼 PostgreSQL 內容會漏進對話視窗?

父 ccbot session 跟子 claude -p 共用 stdio 鏈,加上 worker output 會被 orchestrator 拼進 final result,父 CC 又把 final result 報告給用戶。tmpfile + start_new_session 只擋 stdio 競爭,沒擋 output 內容被 relay。要加環境偵測(MEMORY_PRESSURE_WATCH 含 ccbot.service)直接 short-circuit 不 fork claude -p 才修得乾淨,需要雙保險(L1 stdio 隔離 + L2 環境偵測)。

新本地 model 要怎麼判斷能不能進候選池?

5 步驟流程:Stage 0 30 秒 smoke(輸出 {ok:true} 才往下)→ 看 model card(要 instruct/chat 標籤,不要 base)→ Stage 2 12-prompt full suite(<7/12 reject、7-11 marginal、12/12 production candidate)→ Stage 3 n=3 一致性 → Stage 4 PII adversarial 100% 抓 A。tools/check_new_model.py 已實作 Stage 0+2+3。

10 步驟可以一週做完嗎?

技術上可以,但體感不會穩。每一步的「習慣養成」需要時間 — Step 3 累積 brain 通常 2 週才反射、Step 5 並行 agent 要 1-2 週才會切任務、Step 7-9 資安改造要 2 週習慣。建議 1-3 個月漸進。一週硬做完每個都浮,沒一個沉澱。

我完全沒寫過 code,可以做嗎?

不適合。本系列前提是會用 terminal、git、markdown。完全沒 code 經驗該先補基礎(git 1 週、shell 1 週、markdown 半天)再回來。否則 Step 3 寫 brain 就卡住,後面更走不下去。

為什麼一定要 sensitivity_level?我都個人用

個人也有 A 級資料 — 家裡 IP / 個人 email / 跟客戶私訊截圖 / 健康紀錄。這些貼進 cloud LLM 就出去了。Step 7 加分級不是企業需求,是個人資安基礎。即使你 A 級 brain 只有 5 條,Gateway 攔下這 5 條的價值就值得了。

Agent Team 7 個並行需要多少 RAM?

估計每個 opus agent ~1 GB,7 個 ~7 GB(本機 process,不是 LLM 模型本身)。實際 LLM 推理在 cloud,本機只跑 CC 跟 sub-agent process。16 GB RAM 機器扛得住但要先 free -h 確認 available 夠。32 GB 完全沒問題。地端 LLM 才是吃 RAM 大戶(14b 模型 ~10 GB)。

Gateway 一定要跟前 9 篇的 v2.3 一樣嗎?

不用。如果你只想 demo,80 行的 v1 就夠驗證 logic。但要真接 CC 工作流(/v1/messages、tool use、SSE),要 v2.3 才完整。從 v1 開始也行,有需要再升級。完整 Gist:gist.github.com/tm731531/c82c51ae2a73bfe640dec5b61e5a542a

為什麼 A 級資料要用地端最強模型,不是最弱?

違反直覺但是對的。直覺是「敏感 = 風險高 = 用小模型」,但 logic 應該倒過來:敏感資料因為更重要,需要更可靠的回答。0.5b 小模型只能當分類器或 fail-safe,不能當 A 級主處理。A 級用地端最強(14b/32b/80B-A3B),C 級走 cloud frontier(更強)。這個原則最容易搞反,前一版實證 demo 就錯成這樣,本文已修正。

為什麼用 Anthropic 原生 /v1/messages,不是 OpenAI /v1/chat/completions?

因為 Claude Code 用 Anthropic Messages API,你 Gateway 必須 expose /v1/messages,不是 OpenAI endpoint。如果用 OpenAI endpoint,CC 接過來會 404。地端 Ollama 是 OpenAI compatible 格式,所以 Gateway 必須做完整翻譯層:request(system 欄位 / tool_use / tool_result)+ response(content blocks / stop_reason)+ SSE 6 種事件(message_start / content_block_start/delta/stop / message_delta/stop)。本文 364 行有完整實作。

Harness 三 agent 為什麼不能搬地端?

Anthropic 三 agent harness(Planner / Generator / Evaluator)是給 cloud 設計的:三 agent 並行 + 每個 200K context + long-running。地端 80B-A3B 跑三 agent 並行 = GPU 排隊根本跑不動。Harness 的價值在 long context + 複雜 reasoning,地端在這兩點本就弱,硬搬就是自虐。正解:Harness 永遠走 cloud,但輸入經 Gateway 強脫敏後 forward。這是搬離後最關鍵的工作流保護。

sensitivity_level frontmatter 怎麼整合到 brain 系統?

三個地方用同一個欄位:(1) Gateway 動態判定:路由時查當前對話 context 用到哪些 brain,自動 escalate sensitivity;(2) build.sh 編譯雙版本:cloud-bound CLAUDE.md(不含 A 級)+ local-bound CLAUDE.md(全部),依目標 model 編譯時過濾;(3) 公開版 brain repo 自動過濾:sensitivity_level: A 條目不外洩,公開版只含 B/C。一個 frontmatter 欄位,三個地方用,不用手動同步多套規則。

為什麼不寫「地端能力 = Opus 4.7 的 X%」這種具體百分比?

因為沒 benchmark。個人 mini PC 沒 GPU 跑不了 32B+ 對比,寫沒驗證的數字會變成「premise drift」— 讀者把它當前提,後續推導全錯。能力比較該跑 SWE-bench Lite 子集 + 真實工作流 case + 多模型對比,本文沒做就誠實寫「方法論可行(實證過),具體能力百分比待後續 benchmark」。如果你跑了完整 benchmark,歡迎告訴我。

為什麼 30 天法律化時程不切實際,要改 90-120 天?

外部會計師 review 點出:工作規則修訂報主管機關核備需 14-30 天、工會協商勞基法 § 70 細則 30 天起跳、董事會通常季度開會。真實時程 90-120 天。Day 1-30 期間若違規發生洩密,法院可能不採信公司主張的「合理保密措施」(營業秘密法 § 2)。需加「過渡期免責條款」:Day 1-90 違規立合規導向處理,不得作為解雇依據。

為什麼預算要寫具體 NTD 4000-6000 萬,不能寫「中等到中高」?

CFO 視角:級距「中等到中高」完全不能拿給審計委員會。萬人集團一個 AI 治理案合理級距 Year 1 全包 NTD 4000-6000 萬:CapEx GPU 3-5x H100 約 1200-2000 萬 + 4090 多台 200 萬;OpEx 雲端 LLM Enterprise 1500-3000 萬 + ISO 稽核 200 萬 + RD x2 + Curator 600 萬 + SIEM 自架 100-150 萬 + 培訓教材 60-100 萬。產創條例 §10-1 智慧機械投抵可抵減營所稅 5%。

為什麼三道防線那麼重要?家族成員掛名 sponsor 不行嗎?

外部會計師 review:即使家族「掛名 sponsor」,Big-4 仍可能列「tone-at-the-top deficiency」— 過去案例某半導體上市公司家族「列席不表決」,KPMG 仍開 control deficiency,因會議紀錄顯示 Working Group 改提案以迎合家族口頭意見。SOX 控制環境看 substance over form。所以加 Steering Committee 議事規則明文「不得對 Working Group 個案決議下指導」+ 會議錄音是必要補丁。

為什麼第四輪 HR / CFO / 會計師 review 才找出 9 個關鍵 gap?

前 3 輪 7 個 domain expert(CISO / AI 治理 / ERP / 法務 / IT / 組織 / BU)是技術 + 治理視角。HR 看的是員工教育、認證制度、PBC 加分、工會、退休錄影同意;CFO 看的是 NTD 級距、CapEx vs OpEx、產創條例稅務、ROI、預算排擠;外部會計師看的是 SOX 控制環境、ITGC 證據鏈、監督委員會獨立性閉環、SOC 2 Type 2 證據時程。這三個視角是「前 7 個 domain 沒看到的」,只有獨立 review 才會被發現。

鄉村包圍要 BU 自願,但實務上沒人會自願?

對。台灣製造業 BU 主管思維「先看別人做、別人成功我再上、別人失敗我沒事」,M1-M3 預期不會有 BU 自願。所以鄉村包圍是「擴散階段」自願,「起爆階段」必須欽點:CIO 指定 1 個營收前三主力 BU,配套政治保險:CIO 公開承諾「示範期 KPI 不列入 BU 排名」+ BU 主管 PBC 加權 5%(年度)+ 失敗時 CIO 公開承擔策略失敗,不向下究責。

腦子系統合不合 ISO 27001 + ISO 42001?

大部分天然合,但有 5 個 gap 需要補強:A.5.7 威脅情報、A.5.30 業務持續性、A.8.28 secure coding(LLM 產 HTML)、ISO 42001 偏見緩解、AI 事故管理 SOP。具體做法:訂閱 OWASP Top 10 for LLM、Gateway HA + 本地 Ollama backup、HTML scanner、定期 bias baseline test、incident playbook 演練。已 27001 認證可快 30-40% 取得 42001。

鄉村包圍策略怎麼穩定踏實做完?

5 個 Phase Gate(每個過渡前要過硬條件):G0 啟動(CIO 簽 Iron Rules + 任命準 CISO)、G1 種子(2 BU 各 5 人在用)、G2 根據地(雙 Repo + 分級表 v0.1)、G3 包圍(集團 CLAUDE.md v1)、G4 進城(Gateway + 北極星 70%)、G5 稽核就緒(內審完成)。沒過 Gate 不要硬上下一階段,每個 Gate 對應 ISO 稽核里程碑。

多場景多用戶多工具怎麼用一套框架統一?

5 個共用元件:LLM Gateway(全公司共用)、分級對應表(Working Group 維護)、Audit Log(中央 SIEM)、Curator 制度(每 BU 一名)、KPI Dashboard(中央 RD)。5 種角色 × 4 類工具的矩陣:RD 主用 Coding Agent + Bridge,銷售/客服/採購主用 Chat-native + Self-service HTML,管理層主用 Self-service HTML 儀表板。不同角色不同工具,但全部走同一個 Gateway。

怎麼確保多方都得到正確、安全、合規、整合的資料?

四個機制:正確 — 資料來自 ERP via MCP/Gateway,LLM 不產生資料只整理渲染。安全 — 三層縱深(SSO + Gateway 規則 + iDempiere AD_Role)。合規 — 每個元件對應 ISO 控制項,稽核證據自動 export。整合 — Single Source of Truth,不同部門看到一致資料(都來自同一 ERP)、不同 AI 工具回應背後是同一 Gateway。

ISO 稽核準備要花多久?

傳統公司 1-2 個月補資料、做文件、開會。腦子系統設計讓 90% 證據自動產出:政策 git log、執行紀錄 Gateway audit log、脫敏實證 pipeline log、變更管理 PR 紀錄、KPI Dashboard、Curator review、訓練紀錄、合約 DPA。RD 投入時間降到 1-2 週,重點變成『整理+解釋』而不是『補資料』。

為什麼是純靜態 HTML 而不是 web app?

三個理由:(1)零安裝零部署,銷售拿到 HTML 雙擊就能開,不需要 IT 部署任何東西;(2)可分享、可離線存證,HTML 檔案本身就是「快照 + 可重新整理」;(3)個人化客製,每個員工每次需求不同,LLM 即時產生比 IT 寫一個固定 web app 彈性大十倍。Web app 適合「跨日重複使用且結構固定」的工具,self-contained HTML 適合「臨時客製、看一下、開會秀」的場景。

HTML 怎麼安全地對接 ERP?直連 iDempiere REST 嗎?

不要直連。HTML 一定要透過公司 Gateway proxy。理由:(1)iDempiere 不該暴露在 internet,Gateway 才是受控邊界;(2)HTML 不能放 token / API key,但 SSO cookies 透過 Gateway 自動帶進去更安全;(3)Gateway 統一管 CORS、rate limit、audit log、OData filter 校驗,避免每個服務重複設定。第二篇文章設計的 LLM Gateway 在這裡只要多開一條 ERP proxy 路徑即可。

LLM 產的 HTML 會不會有 XSS 漏洞?

會,所以 prompt 必須強制規範:(1)用 textContent 不用 innerHTML;(2)不用 eval()、Function();(3)Chart.js / Tailwind 從固定 CDN 載,版本鎖定;(4)資料插入用 DOM API 不字串拼接 HTML。再加一層 server side 校驗:Gateway 收到 HTML 產生請求時可以做 sanitization。但實務上 LLM 跟著規範 prompt 寫,XSS 風險可控,主要威脅是 OData filter injection,在 Gateway 層校驗即可。

員工權限怎麼控?銷售會不會看到 CFO 的資料?

不會。權限完全由 iDempiere AD_Role 處理:Gateway 帶員工 SSO 身份進入,iDempiere 看到請求帶 SalesRep Tom 的 token,自動套 Tom 的角色限制,只回傳 Tom 角色能看的資料。LLM、Gateway、HTML 三端都不需要重新設計權限。這是 iDempiere 30 年累積的角色控制直接拿來用,比自己寫 ABAC 簡單一個量級。

v0 最低成本多久能上線?

1 RD x 1-2 週可做出 v0:Telegram bot 接收 query、一個固定 system prompt、Gateway 開一條 read-only proxy 到 iDempiere C_Order table。先讓 5-10 個業務試用,收回饋。v1(2-4 週)加多 chat app + prompt template 庫 + audit log。v2(4-8 週)加寫入支援 + cache + 分享機制。對中小企業 v0 可能就夠用 80%。

為什麼要把 iDempiere 包成 MCP server?

因為 MCP 是 2026 年 AI 應用連接外部資料的開源標準協議,Anthropic / OpenAI / Microsoft 都採納。一次寫好 MCP server 就能讓 Claude Desktop / Claude Code / Cursor / VS Code / ChatGPT 同時用,不用為每個 AI 工具寫一遍。對 ERP 整合特別關鍵 — 員工從任何 chat 工具都能查訂單、跑 process、生報表,不用自己打開 ERP 點選單。

iDempiere REST 跟 OData 是什麼關係?

iDempiere 透過 bxservice/idempiere-rest 這個 plugin 提供 REST API,其中 api/v1/models/{table} 端點支援 OData filter 語法($filter, $top, $orderby 等)。OData 是 Microsoft 主導的 RESTful 資料查詢標準,iDempiere 的 model API 採用了 OData 過濾語意。注意 iDempiere 用 'neq' 不是 'ne'。

Microsoft 的 Dynamics 365 ERP MCP server 怎麼借鏡?

Microsoft 三分類 Data tools / Form tools / Action tools 剛好對應 iDempiere REST 的 api/v1/models / api/v1/windows / api/v1/processes 三個端點。借鏡的關鍵設計:(1)動態 context 根據 user 角色決定 agent 看到什麼;(2)Allowed MCP Clients 白名單,不是誰都能接;(3)權限不重複設計,直接用 ERP 內建 role-based access control。

iDempiere + MCP 比 Dynamics 365 ERP MCP 好在哪?

對中小規模製造業、要 air-gapped 法規場景、預算有限:iDempiere GPLv2 開源、可 self-host、A 級資料完全本地處理、tool call 沒額外計費。Dynamics 365 是訂閱 + Copilot 點數計費(0.1 Credits per tool call),只能 Cloud,A 級資料受限。但 Dynamics 365 的 MCP 設計成熟度更高,值得借鏡架構。

從 0 到上線需要多久?

漸進式三階段:v0 Read-only Data Tools(2-4 週,1 RD)用本文 Python 範例;v1 加 Action Tools(再 2-4 週)支援 Process call、create/update;v2 Form Tools + Window 互動(4-8 週)支援複雜流程。對中小企業 v0 可能就夠用 80%。對中大型集團 12-16 週完整版可上線。

分類: 📊 iDempiere ERP

把 HR 表單系統接上 A2A:讓 AI 幫新人填表與上傳證件

重點摘要

把一個 Flask 做的 HR 新人入職表單系統,加一層 A2A(Agent2Agent),讓外部 AI agent 能查狀態、填表、上傳證件。
接得起來的關鍵不是協定本身,而是資料驅動的 form_schema:同一份 schema 同時驅動表單、驗證、PDF、指標,也直接當成 A2A 的機器契約吐給對方 agent。
把關留給人:身分證重複「偵測不擋」、上傳檔只檢 magic bytes 不判真偽——系統只負責收得到、開得了,真偽由 HR 人工核對。
一個血淋淋的工程坑:回歸測試在同一個 live 資料庫上 reseed,把使用者正在填的資料反覆洗掉。測試一定要隔離。

前一篇〈A2A 是什麼:用一個 Python 把資料庫變成 AI 外掛技能〉講的是概念。這篇是實戰續篇:我把一個真的在跑的 HR 新人入職表單系統接上 A2A,讓外部 AI agent 可以幫新人「查件、填表、上傳證件」,而且全程把關都還在。過程中最有價值的領悟,跟最痛的坑,都寫在這裡。

背景:一個全假資料的 HR 入職 demo

這個系統是給 HR 看的過渡期工具:新人報到前在線上把入職資料填好(基本資料、聯絡、銀行、學歷、委任函簽回、證件上傳…),取代「郵寄紙本表單、報到日逐張人工核對」。技術上是 Flask + SQLite + vanilla JS,全假資料、不接任何正式系統,但架構為「日後接真」預留。

核心是一份 form_schema.py:16 個欄位群組、34 個必填欄位、4 個 repeater、條件顯示(男性才有兵役欄)。整個系統是資料驅動的——加一個欄位群組,前端表單、即時驗證、預填 PDF、HR 指標統計全部自動跟著生。這個設計後來成了接 A2A 時最大的本錢。

為什麼這個系統「天生」適合 A2A?

A2A 的三個核心原語,剛好對上這個系統本來就有的三個特性:

A2A 原語	系統本來就有的東西
機器可讀的能力契約	資料驅動的 `form_schema`——直接就是「要填什麼、什麼格式、什麼規則」的契約
`input-required` 任務狀態	流程本來就 human-in-the-loop:委任函要人簽、HR 要審、重複證號要人工核對
非同步、長命任務	入職流程本來就跨天(委任函三個工作天內簽回)

換句話說,A2A 不是要硬塞進來的東西;它只是在同一套核心邏輯上,再加一個「給 agent 用」的介面。原本給人用的 Web UI 一行都不用動。

四個 skill:查、填、傳檔

實作上就是兩個端點:GET /.well-known/agent.json(Agent Card,宣告能力)和 POST /a2a(JSON-RPC 2.0,method 一律 message/send)。對方 agent 要呼叫哪個 skill,就把 skill 名放進訊息裡。四個 skill:

get_requirements(唯讀、公開)→ 把 form_schema 當機器契約吐出
get_status(唯讀、帶 token)→ 回案件狀態與完成度,不含任何個資
submit_data(寫入)→ 填/更新欄位,可半填累積,回逐欄錯誤;final=true 才正式送出
upload_document(寫入)→ 上傳證件/照片(PNG/JPEG/PDF,≤5MB)

填表的呼叫長這樣——agent 先半填,系統回逐欄錯誤,agent 照著補,直到 ok:true 再帶 final=true 送出:

POST /a2a
{"jsonrpc":"2.0","id":1,"method":"message/send",
 "params":{"message":{"parts":[
   {"kind":"data","data":{"skill":"submit_data","token":"<TOKEN>",
     "data":{"name":"王小美","mobile":"0912000333"},"final":false}}
 ]}}}

// 回傳: {"ok":false, "errors":[{"field":"birthday","label":"出生年月日","message":"此欄為必填"}, ...],
//        "progress":{"pct":15,"done":5,"total":34}}

關鍵資產:把 schema 當契約吐出去

外部 agent 要幫人填表,最痛的是「不知道要填哪些欄、什麼格式、什麼規則」。一般系統得另外寫一份文件或 OpenAPI;而這個系統因為是資料驅動的,get_requirements 直接把 form_schema 轉成乾淨的 JSON 契約丟過去——欄位 key、型別、是否必填、選項、條件顯示、repeater 子欄位,全都在。

這就是「資料驅動設計」在接 A2A 時直接變現的地方:本來要額外做的「能力描述」,變成免費的副產品。同一份 schema,人看到的是表單,agent 看到的是契約。

把關留給人:偵測不擋、不判真偽

開放給 AI 寫入,最該想清楚的是「哪些要擋、哪些只標記」。兩個實際決定,都選擇偵測但不阻擋,把判斷交給人:

身分證重複:直覺上身分證唯一,該擋重複。但台灣確實有不同人合法持相同身分證字號的歷史案例(戶政歷史錯誤)。硬擋會把真人擋在門外。所以改成偵測到就在 HR 送件頁標記「請人工核對」,仍允許送出。
上傳檔的真偽:系統只檢 magic bytes(檔頭簽名)——把 virus.txt 改名 id.png 騙不了,因為內容開頭騙不了。但 magic bytes 只能證明「這是一張合法的 PNG」,不能證明「這是真的身分證」。一張 1×1 的空白 PNG 也過。所以系統明確不宣稱判真偽,那是 HR 的事。

這條原則救了一次:demo 時對方 agent 把照片用 submit_data 塞成 base64 字串,系統「來者不拒」收進了資料欄,但 HR 頁面讀的是上傳表,顯示「未上傳」。看起來像 bug,其實是「值照存、把關在顯示/驗證層」。修法不是讓它更寬鬆,而是讓 submit_data 遇到檔案欄就回 error、明確指引去用 upload_document——把錯誤導向正確的通道,而不是默默吞下。

最痛的坑:測試別在 live 環境上 reseed

這是整個過程最值得記的教訓。我有個習慣:每改一次 code,就自動跑全套回歸測試,而每個測試前都會 seed.py 把資料庫砍掉重建,確保乾淨狀態。問題是——那個資料庫,就是對外 demo 正在用的同一個。

於是使用者在做 live A2A demo、外部 agent 正在填表的同時,我在旁邊「自己驗證自己的 code」,每跑一輪就把對方填的資料洗掉一次。使用者連問三次「為什麼資料一直不見」我才意識到:我把「我的開發測試」當成看不見的背景工作,但它跟使用者的正式環境是同一台 server、同一個 DB。

正解是測試隔離:資料庫路徑、埠號、debug 模式全部吃環境變數,測試跑在獨立的 data/test/ + 另一個埠,跑前後驗證 live 資料庫的修改時間沒變,來證明真的沒碰到。一個小插曲:第一次選的測試埠被機器上別的服務佔了,回的是英文 HTML,害測試的 .json() 解析爆掉——所以測試埠要挑冷門的、並先確認是空的。

更廣的一條:不要在使用者正在用的共用 live 系統上,未經告知就跑會破壞狀態的操作。而且使用者說「我的資料怎麼不見」時,要用證據查清楚再回答——我一開始斷定「是我的 reseed」,查 server log 才發現那個時間點其實是 agent 自己的寫入(檔案修改時間任何寫入都會更新,分不出來源)。先看 log,承認不確定,別急著講一個乾淨的故事。

結語:協定是介面,schema 是資產

把一個系統接上 A2A,真正的工作量不在協定信封(那很薄),而在你有沒有一份機器讀得懂的能力描述、以及想清楚哪些把關不能交給機器。資料驅動的 schema 讓前者幾乎免費;human-in-the-loop 的紀律讓後者不出事。協定只是讓 agent 進得來的那扇門,門後該有的東西,還是得自己先蓋好。

2026 年 6 月 24 日

跟 AI 寫程式的 15 條軟工紀律 — 用一條真實對話從頭拆解

重點摘要

常聽到「跟 AI 寫程式需要軟工基礎」,但具體是哪些?本文用前一篇 Opus 4.8 Workflow 實測那條真實對話從頭拆,對照 15 條經典軟工紀律。
盤點結果:做到 9 條 / 部分做到 1 條 / 沒做 5 條。每條都有對話證據引用,沒做的給可執行 action。
15 條按高 leverage 排序前 5 名:驗證紀律、正交分解、真實基準、focused review、文檔作為下個 session 輸入。這 5 條沒守,其他都白搭。
結論:跟 AI 寫程式需要的不是「新的軟工」,而是把舊軟工套到 stateless / non-deterministic / 訓練截止 / 高並發 4 個 AI 特性上的對應方法。

為什麼問這題

「跟 AI 寫程式需要軟工基礎」這句話傳得很廣,但講細節的人少。多數人講出來的不是軟工,是 prompt engineering tricks(怎麼下 prompt、怎麼用 chain-of-thought)— 那叫 LLM 使用技巧,不叫軟工。

真正的軟工基礎是從 1970 年代 SWEBOK 累積到今天的工程紀律:specification、verification、separation of concerns、observability 那些。問題是這些紀律最初是針對「人寫 code、人 review、人交接」設計的,套到「AI 寫 code、人 review」會不會失效?哪些反而更重要?

本文不假設,用一條真實對話實證:5/29 我跟 Claude Opus 4.8 跑 Home123 backend 的 109 個 GraphQL resolver authz pattern audit 對照實驗,從頭到尾大約 8 輪對話、~50 分鐘。把這條對話拆解,對照 15 條經典軟工紀律,看真實場景下到底用到了哪些、漏了哪些。

15 條紀律的分類框架

從經典軟工教材(《Code Complete》、《Pragmatic Programmer》、SWEBOK Guide)抽出 15 條跟 AI 協作最相關的紀律,分 4 群:

類別	條目	經典 reference
核心驗證	#1 驗證紀律、#13 根因分析、#7 回顧	TDD / Postmortem culture / Code Complete §22
設計分解	#2 正交分解、#8 規格先於實作、#9 權衡分析、#14 錯誤處理哲學	Dijkstra SoC / Spec-first / Pragmatic Programmer Ch.4
過程紀律	#3 真實基準、#5 focused review、#6 並行執行、#10 預設驗收標準、#12 預算控管	Performance Engineering / Code Review SOP / Agile
知識持久化	#4 文檔作為輸入、#11 可重跑、#15 版本控制	ADR / Reproducible Research / Git workflow

下面逐條拆。每條格式統一:定義 → 經典出處 → 你做了沒 → 證據或補救 → 對 AI 協作的特別意義。

#1 驗證紀律 (Verification Discipline)

定義:任何宣稱(claim)都要靠可重現的證據才能信。
經典出處:Steve McConnell《Code Complete》§22 The Twelve-Step Programming Process、TDD 的 Red-Green-Refactor 第一步、Cynefin framework 的 probe-sense-respond。

本次對話做了沒:✅ 做了,多次。

對話證據:

「幫我讀書 https://www.anthropic.com/news/claude-opus-4-8」
→ 不接受 AI 憑記憶,要 AI 去 web 抓。

「今天已經是5/29了你的日期有問題」
→ 即時校正環境假設,不讓我繼續用錯日期。

「我正在運作你看一下」
→ 不接受我講的文字總結,要看 ps / pstree / jsonl 真實 OS 訊號。

對 AI 協作的特別意義:AI 的訓練資料有 cutoff(我的是 2026 年 1 月)。你問跟 cutoff 之後的事(Opus 4.8 是 5/28 發佈),我用「記憶」回答就是瞎掰 — 而且會用流暢的口氣瞎掰,不像人類會猶豫。強制 AI 查資料這個動作,等於把 AI 從「自信的 LLM」拉回「會用工具的執行者」。這條 baseline 沒守,後面 14 條全變空談,因為起手第一個 claim 就錯了。

#2 正交分解 (Separation of Concerns)

定義:一個議題只談一個軸線,軸線之間不混。
經典出處:Dijkstra 1974《On the role of scientific thought》、Parnas 1972 information hiding、UNIX philosophy 的 “do one thing well”。

本次對話做了沒:✅ 做了,而且是教科書級。

對話證據:

「首先看起來除了MODEL 還有 EFFORT
同樣是SONNET 還可以有HIGH XHIGH?
WORKFLOW 我要怎麼去用?」

三個正交軸線(Model / Effort / Workflow)分開問。對照組是新手會問「給我最好的設定」— 等於要 AI 替你在多維空間做加總決策,你拿到答案也不知道為什麼。

對 AI 協作的特別意義:AI 處理 bundled question 會發生兩種失敗:(1) 只回最顯眼那條,其他偷偷漏掉;(2) 強行給一個整合答案,但每個軸線都妥協。你下意識把 3 軸拆開,等於逼 AI 逐個 expose,你才能照自己的 context 做選擇。這對應的軟工原則是「不讓抽象漏掉」(don’t leak the abstraction)的反向應用:你拒絕 AI 把抽象漏掉。

#3 真實基準 (Representative Benchmarks)

定義:評估新工具用真實場景,不用 toy example。
經典出處:John Hennessy / David Patterson《Computer Architecture》§1.8 Fallacies and Pitfalls(benchmark 永遠騙人)、SPEC CPU 為什麼要 update、ML 領域 distribution shift 一整條研究線。

本次對話做了沒:✅ 做了,而且是本次對話最關鍵的一個動作。

對話證據:

「好你現在用HOME123 專案做一個測試循環然後用你的WORKFLOW試試看記錄下來差異」

不要 toy 不要 hello-world,直接拿 Home123 的 109 個 production resolver。這個動作直接決定了實驗結論的可信度。

對 AI 協作的特別意義:80% 的「新 AI 工具評測」文章用合成 case(leetcode-style problems),結論毫無遷移性。Anthropic 自家 4.8 release notes 用的也是 SWE-bench、Terminal-Bench 這種「合成的真實」 — 不是任何一家公司的 production codebase。你直接拿 109 個 real resolver 來測,workflow 暴露出來的問題(主 orchestrator 抓到 synthesis agent 算錯 83 vs 109)在合成 case 上看不到,因為合成 case 沒那麼大、catch 不到 emergent behavior。這個動作的工程價值比你的 prompt 內容更高。

#4 文檔作為下個 Session 輸入 (Documentation as Next-Session Input)

定義:寫文件不是給未來的人看,是給未來的 stateless agent 看,作為下次 conversation 的可讀輸入。
經典出處:Architecture Decision Records (ADR, Michael Nygard 2011)、SREbook 的 runbook 文化、Reproducible Research 運動(Donald Knuth literate programming 的延伸)。

本次對話做了沒:✅ 做了,而且是主動做。

對話證據:

「Ab然後我想請你發一篇文章到wordpress上詳細比對這一次的經驗跟數據還有該怎麼啟用的prompt」

同時要求三份產出:(A) brain/dynamic-workflows.md(下個 conversation 我會自動讀)、(B) 更新 brain/adaptive-agent-team-staffing.md(舊文件補新知識)、(WordPress 文章 —對人類讀者跟搜尋引擎)。

對 AI 協作的特別意義:你跟人類同事的會議結論寫成 wiki/Notion,下次他翻過。跟 AI 寫 code 的對話結論寫成 brain file,下次 conversation 的 AI 把它當 first-class context 讀 — 等於把這次 conversation 的腦容量無損傳給下次。一般軟工人甚至沒聽過這個用法(「文件是給 AI 讀的?」),但它是 LLM 時代的 ADR + retrospective 文化合體。沒這層,你每次跟新 conversation 都得從零教一遍,等於每次都 onboarding。

#5 Focused Review (一次只 review 一條軸線)

定義:給 code review 的 feedback 一次只挑一條軸線改,不混雜其他要求。
經典出處:Google Engineering Practices《Code Review Developer Guide》、《The Art of Readable Code》Ch.15、Andy Hunt《Pragmatic Thinking and Learning》Ch.9。

本次對話做了沒:✅ 做了,而且 6 個字精準命中。

對話證據:

「注意好讀性跟比較方式」

6 個字,2 條軸線,沒夾雜其他要求(沒同時挑錯字、補內容、改標題)。我回去重做的時候不需要 disambiguate「我到底該優先處理哪一條」。新手 reviewer 會給 30 條 mixed feedback,作者改完反而亂七八糟。

對 AI 協作的特別意義:AI 在 mixed feedback 下會做兩件事:(1) 試圖一次解決所有,結果每條都打折;(2) 自選優先序,但你看不到它怎麼選的。你的 focused feedback 等於把「review reviewer」這層 meta-loop 去掉。對 token 成本也直接有差 — AI 不用先花 token 解析「Tom 到底想我先處理哪條」,直接動工。

#6 並行/異步執行 (Async Parallel Execution)

定義:能並行的工作不要序列化等待,結果到再收。
經典出處:Concurrent programming 整個學門、Amdahl’s law、async/await 在現代語言的普及、Toyota production system 的並行工序設計。

本次對話做了沒:✅ 做了。

對話證據:

「我正在運作你看一下」

你開另一個 terminal 跑 workflow,沒等我講完就行動。我這邊主 session 同時讀你的 process tree + session jsonl 做即時觀察。兩條軌道平行,中間用 jsonl 落地通訊。

對 AI 協作的特別意義:跟 AI 對話有個隱形成本叫 cache miss penalty。Claude 的 prompt cache 5 分鐘 TTL,超過就要從零重讀整個 conversation。如果你序列化等(我講完→你看→你跑→等結果→回我),很容易 5 分鐘外。並行化 + 中間用 file system / jsonl 落地通訊,等於把 cache 維持在熱狀態。傳統軟工這條對應的是「不要 block 在 IO 等待」,AI 場景下是「不要 block 在對話等待」。

#7 回顧 (Retrospective)

定義:任務完成後不直接進下一個,先回看「what went well / what didn’t」。
經典出處:Agile retrospective(Scrum 每個 sprint 末必做)、Norm Kerth《Project Retrospectives》、Etsy/Google 的 blameless postmortem 文化。

本次對話做了沒:✅ 做了,而且是 meta 級 — 你問本篇這題就是 retrospective。

對話證據:

「還有很多人說跟ai寫作需要很多的軟工基礎，不像請你評估一下所謂的軟工基礎在我們所有的循環裡面，我無形中有用到哪一些…因為有一些是我打中很關鍵的點，而你不知道那些是不是軟工基礎」

這句話本身是回顧:你不滿足於「拿到結果就走」,還要拆解過程、識別 pattern、產生可遷移知識。

對 AI 協作的特別意義:AI 不會主動 retrospect — 我跑完就等下一個 prompt,沒人觸發我不會自己回頭看「剛剛這條對話我做對了什麼」。retrospective 必須由你發起。但 retrospective 的產出對 AI 特別有價值:它是 #4 文檔作為輸入的最佳 raw material — 直接把回顧結論寫成 brain file,下次 conversation 直接用。傳統 retrospective 是「同個團隊下個 sprint 用」,AI 場景是「同個你下個 conversation 用」。

#8 規格先於實作 (Spec-First / Specification before Implementation)

定義:動手寫 code 之前先把「要做什麼」「驗收標準」寫死。
經典出處:Leslie Lamport《Specifying Systems》、TDD「先寫測試」也是這條的變形、Design by Contract (Bertrand Meyer)、SDD(Spec-Driven Development)的學派。

本次對話做了沒:✅ 做了,而且是顯式的 4 維度規格。

對話證據:

「記錄下來差異怎麼啟動有優化那些地方要做什麼東西必要是什麼」

4 個維度寫死:(1) 啟動方式、(2) 優化點、(3) 要做的東西、(4) 必要條件。我後續的 brain file 跟 WordPress 文章兩份產出,結構直接照這 4 維度生。

對 AI 協作的特別意義:沒給 spec 的 AI 會「自由發揮」,結果是形式上看起來有結構,實際結構是 AI 替你做的選擇,你不一定買單。你給 4 維度等於把結構決定權拿回來,AI 只負責填內容。這條對應的傳統軟工是 PRD/RFC,AI 場景是「在 prompt 裡內嵌驗收 schema」。

#9 權衡分析 (Trade-off Analysis)

定義:任何方案都有 cost 跟 benefit,要顯式列出再比較。
經典出處:Software Architecture 教材必有的 ATAM (Architecture Tradeoff Analysis Method)、Jeff Bezos 的「two-way door / one-way door decisions」、《Pragmatic Programmer》Ch.4「Be a Catalyst for Change」的反向。

本次對話做了沒:✅ 做了,而且是顯式追問。

對話證據:本系列你連續問了三個 trade-off 問題:

「差異你可以跑跑看」(empirical 比較 cost)

「我想知道Workflow那一個，他現在到底對我的意義是什麼？我看不太出來」(質疑單一方向的 benefit)

「注意好讀性跟比較方式」(cost = 讀者認知負擔 vs benefit = 完整性)

對 AI 協作的特別意義:AI 對「該不該做某件事」的默認是 yes — 因為訓練資料裡的「Yes, you should」遠多於「No, don’t」。你「我看不太出來意義」這句逼我從 advocacy 模式切到 honest assessment 模式,實際結論變成「不存它,寫 reference 進 brain 就好」。這條對應的傳統軟工是 design review 裡「這個複雜度真的需要嗎?」的提問。

#10 預設驗收標準 (Acceptance Criteria Upfront)

定義:任務開始前先寫死「做到什麼程度算 done」。
經典出處:Agile user story 的 INVEST criteria、Behavior-Driven Development (BDD) 的 Given-When-Then、Definition of Done 是 Scrum 必備產物。

本次對話做了沒:🟡 部分做到。

分析:你 #8 給了 4 維度規格,算是 partial acceptance criteria。但缺了「品質門檻」:

workflow 跑出來的 report 要達到什麼分類正確率才算可信?
baseline 跟 workflow 的差異要大到多少才算「值得換 workflow」?
對話拆解後若 15 條都做到,實質工程效率提升多少才算夠?

結果就是 — workflow 抓到 12 個 hand-roll,我們默認接受這個數字,沒去 sample 5 個函式人工驗證。如果 workflow 系統性把某類 hybrid 全錯標,我們不會發現。

該怎麼補:任務開始前加一句「驗收標準」段落。例如本次該寫:

驗收標準:
1. 兩邊跑完後,我會手動 sample 5 個 USES_PRELUDE 跟 3 個 HAND_ROLLED 對證據
2. 如果 baseline 跟 workflow 在這 8 個樣本上有 2 個以上分歧,需逐個澄清
3. 完整 109 函式都要有 row,缺一個視為失敗

對 AI 協作的特別意義:AI 沒驗收標準會「看起來完成」(plausible-looking output),但內部可能 systematically 錯。傳統軟工裡 acceptance test 是另一個人寫的,AI 場景下你得自己寫,因為 AI 不會主動跟自己對抗。本次沒守這條的代價:我們得花一篇文章解釋「為什麼信任 workflow 的結果」,而本來只需要 sample-test。

#11 可重跑 / Idempotency (Reproducible Execution)

定義:任何過程要可從頭重來,輸入相同則輸出相同(在合理隨機範圍內)。
經典出處:Make / build system 整個學門、Donald Knuth literate programming、Reproducible Research 運動、Docker / IaC 的根本動機。

本次對話做了沒:❌ 沒做。最具體的證據是你沒按 s 把 workflow script 存下來。

分析:本次跑了 11 個 Haiku 4.5 平行 audit,產生 146 行 JavaScript orchestration script,結果只存在 session 暫存目錄。如果這次的審計結論被人質疑(例如「12 個 hand_roll 是真的還是 AI 瞎標」),你要重跑驗證沒辦法保證跑出同一份結果 — 因為:

下次跑 Claude 會重新生 script,chunk 切法可能不同
Haiku 4.5 即使 temperature 0 也有非 deterministic 因素(MoE routing 隨機)
Cache hit 率不同 → 提示空間不同 → 細節結論不同

該怎麼補:三層防護(從便宜到昂貴):

最低: 把 script 從 session 暫存目錄 cp 出來歸檔到 brain 或 repo
中等: 把 script 真的存成 ~/.claude/workflows/<name>.js slash command,雖然本案大概不重跑,但其他 audit 可以 fork
高保證: 把 audit 結論 + 109 函式分類存成 JSON / CSV,用 schema 驗證,以後重跑只需 diff JSON 不需要重看 markdown

對 AI 協作的特別意義:AI 的輸出有內建非 determinism(temperature、MoE、context order),這跟傳統 reproducibility 假設(同 input → 同 output)直接衝突。AI 場景的可重跑不能依賴「程式邏輯一樣」,要依賴「中間結果落地」 + 「結果用結構化格式儲存」 + 「下游 verifier 用同 schema 驗」。傳統軟工這條是「build 可重現」,AI 場景是「結論可驗證」。

#12 預算控管 (Cost / Budget Cap)

定義:任何運算工作開始前先設天花板,超過自動停。
經典出處:Cloud computing 的 budget alerts、Kubernetes resource limits、Hadoop / Spark 的 timeout、Stripe 的「circuit breaker」pattern、SREbook §12 effective troubleshooting 的 budget 章節。

本次對話做了沒:❌ 沒做。

分析:我們跑 workflow 的時候沒設 token budget 或 wall-time cap。實際跑了 11 個 agent、~$6.10 estimated cost、132 秒 wall-time。如果 Claude 寫的 script bug 了 — 例如把 chunk 切成 100 個,可能跑出 100 個 agent、$60 cost、20 分鐘 wall-time。沒任何機制自動阻擋。

該怎麼補:

prompt 裡明寫上限 — 例如「最多派 12 個 agent,單一 agent 最多跑 60 秒」
用 --effort medium 而不是 high 開始,確認 quality 夠才升 effort
跑前先讓 Claude 估算 token cost 跟 agent 數,你 approve 才放跑(workflow 內建這層 approval prompt,但你按 [3] View raw script 之前沒人問你 budget)
對自己設「單條對話 spend 上限」(例如 $10),透過 Claude Code admin page 或 API budget API 強制

對 AI 協作的特別意義:傳統軟工 budget 是「機器跑爛要錢」,AI 場景下 budget 還包含「AI 寫錯 script 跑很久才發現」的 fail-loud delay。Anthropic 自己在他們 multi-agent research system 的 paper 也警告:multi-agent 用 token 是 single-agent 的 3-10×,Research system 是 ~15×。沒 budget cap 等於放任這個倍率,3am 一覺起來收到 $200 帳單是真實風險。

#13 根因分析 (Root Cause Analysis)

定義:遇到問題不停在表象,挖到「為什麼會發生」的最底層。
經典出處:Toyota 的「Five Whys」、Apollo 13 事故報告、Etsy / Google 的 blameless postmortem template、《The Field Guide to Understanding Human Error》。

本次對話做了沒:🟡 部分做到,但是 AI 替你做的。

分析:本次 audit 最有價值的發現是「guard role 被 AuthzDecision.IsCommunityWide 排除,迫使 5 個 resolver 各自重 probe 一段相同 SQL」。這是根因分析的成果 — 不停在「這幾個 resolver 沒用 prelude」,而是挖到「為什麼它們不能用」。

但這是 workflow 的 synthesis agent 替你做的,不是你做的。Baseline 模式下 1 個 agent 沒做出這層,你也沒主動追問「為什麼會有 5 個重複」。如果這次跑 baseline 你會 miss 這個 root cause。

該怎麼補:不能只靠 AI 替你做。可以加紀律 — 拿到分類結果後,主動問:

看到 12 個 HAND_ROLLED,我們 ladder 5 個 why:
- 為什麼這 12 個沒用 prelude? → 各自原因
- 為什麼它們有共同原因? → 找 pattern
- 為什麼這個 pattern 沒被早發現? → 流程 gap
- 為什麼流程沒抓到? → tooling gap
- 為什麼 tooling 沒設計這層? → 設計時的假設

對 AI 協作的特別意義:AI 默認停在第一層觀察(「這幾個沒用 prelude」)。要挖根因得明確要求(「列出 root cause」)或結構性逼它(workflow 的獨立 synthesis pass 就是設計來做這個)。傳統軟工這條是 debug 工具,AI 場景是「prompt design」工具 — 在 prompt 裡內嵌 root cause analysis instruction,或設計獨立 verification agent。

#14 錯誤處理哲學 (Error Handling Philosophy)

定義:對「事情會出錯」這件事有明確設計姿態 — fail-fast vs fail-silently、retry policy、circuit breaker、graceful degradation。
經典出處:Erlang 的「let it crash」哲學、《Release It!》Michael Nygard 整本書、Google SREbook §22 addressing cascading failures。

本次對話做了沒:❌ 沒做。

分析:我們沒任何「workflow 跑到一半失敗了怎麼辦」的計畫:

如果某個 chunk 的 Haiku agent 超時了 → 我們沒設 retry 也沒設 fallback
如果 synthesis agent 算術錯了(這次真的發生了:83 vs 109)→ 我們沒設 verification 步驟,純靠主 orchestrator 主動懷疑
如果 JSON schema 驗證 fail → 不知道會發生什麼,沒測過
如果 workflow runtime 自己 crash → 沒 graceful resume 流程

該怎麼補:在 prompt 裡加 error handling instruction:

如果跑到一半發現:
- 某 chunk 的 agent fail → 標記 SKIPPED,繼續其他,最後 report 哪些 skip
- synthesis 結果跟 row count 對不上 → 不要直接出 report,先 escalate 給主 orchestrator 重算
- JSON schema 違反 → 該 row 標 INVALID,繼續其他
- 整體執行超過 5 分鐘 → 自動 abort,出階段性 report

最後 final report 要明確標示哪些 chunk 是「完整跑完」、哪些是「skipped」、哪些是「fail-and-retried」。

對 AI 協作的特別意義:AI 預設 fail-silently — 它會生「看起來合理」的內容掩蓋失敗。傳統軟工 fail-fast 是「raise exception 停下來」,AI 場景的 fail-fast 是「標註 INVALID / SKIPPED 而不是瞎掰」。沒設計這條,AI 會「完整交付」一份其實內部有 hole 的報告,你看不出來。本次 workflow synthesis 算 83 是僥倖被主 orchestrator 抓到,如果主 orchestrator 也沒抓,我們就拿錯誤數字寫文章了。

#15 版本控制紀律 (Version Control Discipline)

定義:任何重要 artifact 進 git,commit message 寫清楚 why,branch 策略對應 workflow。
經典出處:Git 整個工具、Conventional Commits 規範、Trunk-based / GitFlow / GitHub Flow 各家 branch 策略、Linus 的 git 設計初衷。

本次對話做了沒:❌ 沒做。本次產出全部沒進 git。

分析:這次產出了 4 件 artifact:

~/.claude/projects/-home-tom/memory/brain/dynamic-workflows.md(新建)
~/.claude/projects/-home-tom/memory/brain/adaptive-agent-team-staffing.md(編輯)
~/.claude/projects/-home-tom/memory/MEMORY.md(編輯)
WordPress 文章兩篇

前三個位置實際是 ~/.claude/projects/-home-tom/ — 你有可能沒把它放在 git 控管下,意思是:

brain 編輯沒 commit history,半年後想知道「dynamic-workflows.md 是什麼時候加的、為什麼加」沒記錄
如果 brain 不小心被改錯了(例如未來某個 conversation AI 寫壞了),無法 rollback
跨機器同步只能靠 rsync / cloud sync,沒 conflict resolution

該怎麼補:

cd ~/.claude/projects/-home-tom && git init(如果還沒)
新 brain 或重大編輯後 commit:git add brain/ MEMORY.md && git commit -m "feat(brain): dynamic-workflows from 2026-05-29 Opus 4.8 test"
WordPress 文章 export markdown 進專屬 repo,或用 wp-cli 串自動 backup
workflow script 改 #11 補救時順便 commit 進 dotfiles repo

對 AI 協作的特別意義:AI 跨 conversation 是 stateless,brain file 是它的「外部記憶」。外部記憶的版本控管比 code 的還重要,因為你不會看到自己過去 conversation 改了哪些 brain,只有 git diff 告訴你。本次對話我改了 3 個 brain 檔,如果你沒 git 控管,3 個月後你不會記得這幾條條目是 5/29 對話加的還是更早。傳統 git 是 code 的時間機,AI 場景是「我跟 AI 集體記憶的時間機」。

15 條全表:做了沒 × leverage

#	紀律	類別	本次	Leverage(高→低)
1	驗證紀律	核心驗證	✅	★★★★★ 沒守等於沒救
2	正交分解	設計分解	✅	★★★★★ AI 回答品質直接相關
3	真實基準	過程紀律	✅	★★★★★ 結論可信度核心
4	文檔作為輸入	知識持久化	✅	★★★★★ AI 時代特有的紀律
5	Focused review	過程紀律	✅	★★★★ AI 對 mixed feedback 表現差
6	並行執行	過程紀律	✅	★★★ 規模大才顯效
7	回顧	核心驗證	✅	★★★★ 跟 #4 配對 leverage 最大
8	規格先於實作	設計分解	✅	★★★★ 直接決定 AI 輸出結構
9	權衡分析	設計分解	✅	★★★★ 抗 AI 默認 yes 傾向
10	預設驗收標準	過程紀律	🟡	★★★★ 該補,沒守會默認 plausible-looking
11	可重跑	知識持久化	❌	★★★ 任務一次性可省,系統性任務必須
12	預算控管	過程紀律	❌	★★★ 小任務可省,長 background 任務必須
13	根因分析	核心驗證	🟡	★★★★ 主要靠 prompt 設計
14	錯誤處理哲學	設計分解	❌	★★★★ AI 預設 fail-silently 必補
15	版本控制	知識持久化	❌	★★★ brain 控管比 code 控管更重要

結論:跟 AI 寫程式需要哪些軟工?

不是新的軟工,是舊軟工套到 AI 4 個特性上

15 條全部都不是「AI 時代發明的」 — 每條都能在 1990 年代的軟工教材找到根。差別在 4 個 AI 特性對這些紀律的需求強度不同:

AI 特性	被放大需求的紀律
訓練資料 cutoff	#1 驗證紀律(逼 AI 查資料,不要憑記憶)
Stateless / 無 conversation 記憶	#4 文檔作為輸入、#15 版本控制(外部記憶持久化)
非 deterministic 輸出	#11 可重跑、#10 預設驗收標準、#14 錯誤處理(處理隨機性)
高並發 + 高速	#6 並行、#12 預算控管(token 倍率風險)

個人 leverage 排序(5 強)

如果你是這條光譜中段的人(寫過 5 年以上 code,剛開始系統性用 AI 寫 code),最該優先吸收這 5 條:

#1 驗證紀律 — 沒守這條,後面 14 條都白學。AI 講什麼都不能信,grep / curl / test 重驗
#2 正交分解 — 拆軸線問,不要 bundled question。直接決定 AI 回答品質
#4 文檔作為輸入 — 把學到的寫成下個 conversation 可讀的格式。沒這條,每次 onboarding
#3 真實基準 — Toy example 騙人。用 production codebase 評估工具
#5 Focused review — 給 AI feedback 一次只挑一條軸線

沒做的 5 條,該怎麼補

本次對話沒做的紀律對應 5 條 action(從便宜到貴):

#15 版本控制(5 分鐘):cd ~/.claude/projects/-home-tom && git init && git add . && git commit -m "snapshot" 一次性處理
#11 可重跑(2 分鐘):把 workflow script 從 session 暫存 cp 到 brain 或 dotfiles repo 歸檔
#10 驗收標準(每任務多寫 3 行 prompt):任務 prompt 開頭加「驗收標準:N 個項目,M% 正確率,通不過要告訴我」
#14 錯誤處理(每 workflow 多寫 5 行):script 內加 fail-fast / skip / retry 分支
#12 預算控管(系統性設定):Claude Code admin page 設 hard daily limit 或寫個 hook 跑前先估

真正的 meta-insight

本文 15 條展開後最反直覺的觀察:跟 AI 寫程式需要的軟工基礎,大部分不是 code-level 的,是 process-level + protocol-level 的。傳統軟工新人學的順序是「先學語言 → 再學 design pattern → 最後學 process」,跟 AI 寫程式得反過來:先學 process discipline(怎麼下指令、怎麼驗證、怎麼回顧),最後才是 code-level technique。

因為跟 AI 寫程式,code 是 AI 生的,你扮演的是 reviewer + verifier + spec writer 三個角色。這三個角色傳統上叫 PM / QA / Tech Lead — 都是 senior eng 的活。所以「跟 AI 寫程式比較簡單」這句話完全反了 — 它把senior eng 的工作 commoditize 到每個用 AI 的人身上,reviewer 的紀律從「資深工程師的特權」變成「每個 prompt 作者的基本技能」。

這就是為什麼那麼多人「用 AI 寫了一堆 code 但跑不起來」 — 不是 AI 不行,是沒人替他們做 reviewer / verifier / spec writer 那三層活。本文 15 條的本質就是把這三層活的紀律寫下來。

跟我之前文章的關聯

Claude Code Dynamic Workflows 實測:Opus 4.8 + 11 Haiku 平行 audit 109 個 resolver — 本文的 raw material 對話那條
AI 不該替我打 🟢🟡🔴:從 decision-server 看跟 LLM 協作決策的介面方法論 — 本文 #9 權衡分析的延伸實作
跟 AI 寫程式的紀律:6 條規矩讓 AI 從 21 輪修不完到自走嚴格測試 — 本文 #10 驗收標準的歷史版本
從 4 條原則到動態大腦:兩種 Claude Code 知識系統的差異 — 本文 #4 文檔作為輸入的設計哲學討論
「未驗即不可信」AI 協作開發走出 21 輪修不完:SDD/TDD/腦子整合 — 本文 #1 驗證紀律的更早期實踐

2026 年 5 月 29 日

AI 跟人類聯手 debug:從 OOM 假象到 Spring DI 真相

重點摘要

表面看是 OOM crash loop,真因是 Spring DI 失敗 — 16 個 Java 容器每 3 分鐘 die 一次,累積 ~180 次重啟。
AI 一連 4 次「以為修好其實沒」,被自己的 grep 騙了:OutOfMemoryError 抓到的是 JVM 啟動印出的 -XX:+ExitOnOutOfMemoryError env var 字串,不是真的 OOM exception。
真正解開的轉折是「人類的業務直覺糾正方向」 — 我問 AI 「retry-job 不就是把訊息丟回去嗎,為什麼要查 DB?」,AI 才回去看代碼發現是別的 service 設計錯了。
人機協作的甜蜜點:AI 挖技術細節,人類提業務 frame,兩個能力反過來會卡住。

這篇是一次真實的除錯紀錄。起點是「CCBOT 沒回應」這種小事,沿途碰上 simpleec 電商系統的 channel-job crash loop、Spring DI 失敗偽裝成 OOM、retry-job 反覆修不對,中間 AI 跟我來回交鋒 7 次才把問題真正解開。寫下來主要是想討論一件事:AI 除錯到底比人快在哪裡、人類業務直覺又補了什麼,以及這個 GAP 怎麼填。

一切從 CCBOT 沒回應開始

那天我在 Telegram 對 ccbot(我自己寫的 Claude Code Telegram bridge)發訊息,沒回應。問 AI:「幫我看看你的 CCBOT 有沒有問題,怎麼現在好像沒有回應了?」

AI 第一步 systemctl --user status ccbot,結果發現 service 是 inactive (dead) since 2026-05-14 22:34:09。已經死掉兩天。AI 接著推理出原因:那個時間點正好是我在 tmux session 開始搭一個 Kiro 版的 telegram bot,當時為了避免兩個 bot 搶同一個 chat,我手動 stop 了 ccbot — 然後忘了開回來。

順手讓 AI 重啟 ccbot,順帶查一下系統健康度。然後就看到:

load average: 85.25, 81.85, 80.28

8 個 CPU core 的機器跑到 load 85+ 是失控。docker ps 一看,我的 simpleec 電商 OMS 系統 50 個容器裡,有十幾個 channel-job container 的狀態是 Up 21 seconds / Up About a minute / Up 3 minutes。container 一直在重啟,沒一個穩定。

第一次以為修好:Kafka 調參(其實沒)

AI 翻了 channel-job 的 application.yml,發現一個經典坑:Spring Kafka consumer 完全沒設 max-poll-records 跟 fetch-max-bytes。預設值是 500 records / 52 MB,意思是一個 poll() 就可能塞 52 MB 訊息進 heap。channel-job 容器配 -Xmx256m,扣掉 Spring Boot + Hibernate + otel-agent 的基底,剩餘 heap 根本撐不住單次 poll 的爆衝。

這是真實問題,我也讓 AI 一次修了 6 個 *-job 的 yml,把 max-poll-records 壓到 5-10,fetch-max-bytes 砍到 1 MB,順便把 16 個 channel-* 容器的 -Xmx256m 升到 -Xmx384m 給點 buffer。AI 還順手抓到一個 Lombok bug:SeedTestOrdersHandler 寫 fakeChannel.isActived(),但欄位是 Boolean(包裝類),Lombok @Data 對包裝類產生的 getter 是 getActived() 不是 isActived(),從 4/9 起 build 就壞了,但用 quick-redeploy 單服務 build 從沒抓到。

build 過了,docker compose 重啟,5 分鐘觀察 — channel-* 都 Up 2 minutes,RestartCount=0,heap 用量 122-190 MB / 384 MB,看起來健康。AI 報告「OOM crash loop 修好了 ✅」,我也信了。

一小時穩定觀察揭穿假象

我說「先觀察 1 小時穩定再 commit」,AI 開一個 background watch 每 15 分鐘檢查。1 小時後通知回來,結果震驚:

時間點	不穩定的 channel-* 數
T+15min	8 個「Up About a minute」(剛重啟)
T+30min	1 個「Up 2 seconds」(剛 crash)
T+45min	10 個「Up About a minute」
T+60min	2 個 (crash)

每 3 分鐘 die 一次,docker 一直在 restart。AI 重新看 log,grep OutOfMemoryError 抓到 16 個容器全部有「OutOfMemoryError」字串,結論「真的是 OOM,我之前 Xmx 升 384 還不夠」。我點頭準備繼續升 heap。

但 AI 接著做了一件對的事:再 grep 一次,這次用更精確的 pattern java\.lang\.OutOfMemoryError。結果 — 0 個 match。前面抓到的「OutOfMemoryError」全是這一行:

Picked up JAVA_TOOL_OPTIONS: -Xmx384m -XX:+ExitOnOutOfMemoryError
                                                  ↑ 這 16 個字元被 grep 抓到

JVM 啟動時印出的 JAVA_TOOL_OPTIONS 環境變數,字串裡的 ExitOnOutOfMemoryError 最後 16 字元剛好是 OutOfMemoryError。AI 自己被自己的 grep 騙了兩次。換用 UnsatisfiedDependencyException 重 grep,16 個容器全 match。真兇現身。

真兇:半成品的 Excel 上傳功能

真實死因是 Spring DI 失敗:

UnsatisfiedDependencyException: Error creating bean 'channelJobConsumer'
  → parameter 5: 'processExcelBatchHandler'
  → parameter 0: No qualifying bean of type
    'com.simpleec.core.repository.ExcelUploadBatchRepository' available

追下去:有人(可能是另一個 AI session,或我自己忘了)在 channel-job 模組加了一個 ProcessExcelBatchHandler,但它依賴的 ExcelUploadBatchRepository 放在 simpleec-core 模組。問題是 ChannelJobApplication 的 @EnableJpaRepositories 只 scan com.simpleec.channeljob.repository,看不到 core 模組。Spring 啟動找不到 bean → exit 1 → docker restart → 又找不到 → 永久 crash loop。35 天沒人發現,因為 quick-redeploy.sh 每次只 build 單個 service,從沒做過整體 build,所以這個 DI 問題只在 docker container 啟動時才暴露。

AI 提議「補 Spring 的 scan path」修。我看了一眼設計直覺說「不對 — 這個 Excel 功能根本不該在 channel-job 做,channel-job 是『跟外部 API 對接』,Excel 上傳是內部資料源,該丟到 backend-job 走 task.backend topic」。AI 同意,把 4 個 Excel 檔案 park 到 /tmp/excel-feature-parked/,留 README 跟 3 個 revert patch 等原開發者後續按正確架構重做。

但這還沒完。修好 channel-* 後,我順手問「順帶看一下 retry-job」,因為它 RestartCount=1146,意思是 12 小時內重啟超過 1000 次。

第二場拉鋸:retry-job 的反覆修不對

AI 看 log,發現 retry-job 的 DltConsumer(處理 dead letter queue)也是 DI 失敗:依賴 core 模組的 FailedTaskLogRepository,但 retry-job 設計上排除了 DataSource。AI 提議「補 scan + 把 retry-job 也升 384m heap」。

我打斷:「retry-job 不就是把訊息丟回 queue 嗎,為什麼要查 DB?」

這句業務直覺問題改變了 AI 的方向。AI 回去看 RetryJobConsumer.java 跟 DltConsumer.java 對比,發現:

RetryJobConsumer 處理 task.failed — 純 Redis ZSet 存延遲排程,到時間丟回原 topic,完全沒 DB。設計正確。
DltConsumer 處理 task.dlt — 把死信寫到 failed_task_logs 表供「人工檢查」(註解明說),只 write 沒 read。

所以「retry-job 不該重」這個設計直覺是對的,但 DltConsumer 確實有合理需求要寫一筆 audit log。修法收斂成:用 JdbcTemplate 寫一行 INSERT,不載 Hibernate(可以省 50-80 MB heap),DltConsumer 改 5 行,RetryJobApplication 移除 DataSourceAutoConfiguration exclude。AI rebuild,等 90 秒,RestartCount=0,Status=running。報告「修好了」。

17 小時後我回來檢查,retry-job RestartCount=1159。又開始 crash 了。

原因:AI 第一次修法不完整。Spring Boot autoconfig 是「貪食」的 — 我們移除了 DataSourceAutoConfiguration exclude 讓 DataSource 能建,但 classpath 上 simpleec-core 還有一堆 JpaRepository class(ChannelRepository、OrderRepository…),Spring 看到就觸發 JpaRepositoriesAutoConfiguration,試圖建 entityManagerFactory 來支撐這些 Repository,但 Hibernate 還是 excluded → bean 不存在 → context refresh 失敗 → 啟動 exit。

關鍵教訓:看 docker 的「Up X seconds」不代表健康。Spring Boot 啟動要 ~6-10 秒,如果在 context refresh 時 crash,container exit 後 docker 立刻 restart,新 instance 的 uptime 立刻變 Up About a minute — 但它正在「啟動 → 失敗 → 再啟動」的循環。AI 之前 90 秒驗證看 Up time 沒看 RestartCount 趨勢,被騙了。

真正的修法是再加一個 exclude:JpaRepositoriesAutoConfiguration.class。告訴 Spring「即使 classpath 有 JpaRepository class,也不要 scan」。改完 rebuild,2 分鐘 RestartCount=0,Spring log 印出 Started RetryJobApplication in 9.585 seconds 跟 RETRY JOB Started (Layer A - Foundation) banner — 這次是真的啟動完成,不是「啟動失敗 + 立刻 restart」的假象。

AI 的角度 vs 我的角度

退一步看,這場 7 個小時的除錯,我跟 AI 各自看到的「問題」完全不同:

面向	AI 看到的	我看到的
問題本質	系統訊號(load 85、container die、error log)	業務職責(channel-job 該做什麼、retry-job 該做什麼)
調查工具	grep、docker stats、jstack 思路、Spring autoconfig 知識	「這個 service 設計上應該長什麼樣」的直覺
修法第一反應	「補 scan path / 加 exclude / 升 heap」(技術 patch)	「這個東西放錯位置了」(架構糾錯)
驗證標準	RestartCount、Status=running、log 是否有 ERROR	「跑起來行為符合我預期嗎?」
盲點	被 grep 假陽性騙、被 docker Up time 假象騙、技術細節驅動忘了業務 frame	不會自己去看 log/code、需要 AI 幫我把抽象設計直覺落地成具體修法

關鍵時刻有兩個。第一個是「AI 自己抓到自己的 grep 假象」 — 這需要 AI 對自己之前的結論保持懷疑,願意重新驗證。第二個是「我問了一句業務問題」 — retry-job 不該重,channel-job 該不該碰 DB。這兩種角度互補,缺一個都會卡。

我們的 GAP 在哪

AI 跟人類的 GAP 不對等 — 不是「誰比較強」的問題,是「擅長的層級不同」:

AI 的擅長:在大量資訊裡找 pattern、寫 bash one-liner、記得框架的暗角配置(JpaRepositoriesAutoConfiguration 這種冷門 class 名)。每秒可以掃 100 個檔案、grep 一萬行 log。但 AI 容易過度信任「表面訊號」 — log 裡有 OOM 字樣就以為是 OOM、container Up 1 minute 就以為穩定。AI 也容易跳到「技術修法」,缺少業務 frame 時會給出 over-engineered 答案(channel-job 不能查 DB? 補 scan 就好啦)。

人類的擅長:對「事情該怎樣」有直覺。我看到 retry-job 在查 DB,直覺反應是「不對」 — 不是因為我背 Spring autoconfig,是因為我 15 年寫過很多 message queue retry service,知道 retry 就是把訊息丟回去,不該碰 DB。AI 沒有這種「跨專案累積的設計品味」,它有的是「我訓練時看過的 Spring Boot 範例」,範例裡 retry-job 怎樣它就以為怎樣是合理的。

但人類的弱點也明顯:我不會主動去 grep log、不會耐心讀 100 行 Spring 啟動 trace 找 root cause、也記不住 HibernateJpaAutoConfiguration 跟 JpaRepositoriesAutoConfiguration 的差別。我需要 AI 把我的直覺翻譯成具體修法。

真正的 GAP 不在能力,而在溝通的精準度。當我說「retry-job 不該重」,如果 AI 沒抓到我意思是「不該載 Hibernate」,可能就會修錯方向。當 AI 報告「OOM crash 修好了」,如果我沒追問「真的 1 小時都穩定嗎?」,可能就會在 commit 後 production 出包。

怎麼一起工作得更好

這次經驗給我幾個具體做法:

業務 frame 永遠先說 — 啟動 debug 任務前,先告訴 AI「這個 service 設計上是幹嘛的,該做什麼不該做什麼」。AI 才不會跳進「補 scan / 升 heap」的局部修。
驗證標準要明確 — 不要說「跑 90 秒看穩不穩」(會被 Up time 假象騙),要說「看 RestartCount 趨勢、看 Spring 啟動 log 有沒有 Started XxxApplication in N seconds」。
AI 給結論時人要追問「真的嗎」 — 第一次說「OOM 修好了」,我點頭就會直接 commit。改成「我們先觀察 1 小時」這個本能,救了這次 deploy。
「以為修好其實沒」要記成 brain — 我有一套 brain file 系統累積各種坑(訓馬筆記裡有詳細介紹)。這次 Spring autoconfig 的雜食陷阱、Lombok Boolean wrapper getter、grep 假陽性、docker Up time 假象,全部寫進 brain,下次任何 Java 專案都會 trigger 警示。
技術細節 AI 挖、業務 frame 人類訂、修法兩個一起決 — 不要讓 AI 完全自主,也不要把 AI 當 stack overflow 查工具。最大產出來自「兩個視角持續對話」。

總結

這次除錯從 ccbot 沒回應開始,連鎖挖到 channel-job + retry-job 兩個 Spring DI 真因,過程中 AI 被自己的 grep 騙、被 docker Up time 假象騙、被「修一個 service 就 OK」的局部視角騙。最後修對的關鍵是兩件事 — AI 對自己之前的結論保持懷疑願意重 grep,跟我用業務直覺把方向拉回來。

我也越來越相信:AI 除錯不會取代人類,只會讓「業務直覺好的人」更強。如果你只是想找個工具按 enter 就把 production 修好,AI 會給你看似合理但實質繞遠路的修法。如果你能用業務直覺糾正方向,AI 就是你身邊那個記憶力極好、bash 寫得飛快、能同時跑 8 個 background task 的隊友。

關於 simpleec OMS 系統本身的設計,可以看多通路電商 OMS 系統實戰系列。前一次我跟 AI 一起做 code review 找到 20 個 bug 的紀錄在這篇。這次的 7 小時除錯,跟前面那次 review 的差別是 — 那次是「靜態看 code」,這次是「跑起來才發現的動態問題」。兩種 AI 協作模式都有用,搭配起來才完整。

2026 年 5 月 18 日

腦子系統 7-prompt 驗證篇:routing 跟 sanitize 真的會做事嗎

這篇要解決一個很具體的問題:企業要把 LLM 接進工作流,但客戶資料不能上雲、員工資料要脫敏後才能上雲、純技術問題可以直接上雲——誰來判斷哪條 prompt 屬於哪一級,以及這套判斷可不可信。本文記錄了從 v1 到 v8 兩天 8 個 commit 的完整驗證過程:做一個本地 LLM 驗證 harness,12 條 prompt 跑 routing + sanitize + worker 三階段,驗到 routing 12/12、worker reasoning 9/12,順手抓到兩個沒人警告過的漏洞——ccbot 反客為主、以及本地 LLM 在 response 裡 verbatim 複述原 PII / API key 的二次洩漏。

重點摘要

做什麼:本地 LLM 驗證 harness,把 prompt 分 ABC 三級(A 客戶/PII → 本地、B 內部代號 → 脫敏後上雲、C 純技術 → 直接上雲),12 條 prompt 跑完整 pipeline 驗證
怎麼做:三階段 pipeline——judge 用本地 LLM 分級 → sanitize regex 替換敏感詞 → worker 真做事;每條 prompt 加 expected_keywords,response 比對 ≥30% hit 算過關
為什麼:routing 是 defense in depth 第一層門禁,沒人擋的話客戶名直接被當技術問題上雲;本地 judge 必要,因為 A 級資料連「分類」這個動作都不能上雲
Prompt vs 本地 model:15 顆 model × 12 prompt 跑出來——size 不是 axis,prompt-stability 才是;thinking model + Ollama JSON 架構級不相容,全 0/12;-nothink 後綴騙人;qwen3-nothink + qwen2.5:7b 兩顆滿分
ccbot 意外:在 ccbot Telegram session 內叫 CC 跑驗證,子 claude -p 寫的 PostgreSQL 健檢稿漏進父 ccbot 視窗,反客為主蓋掉用戶的方法論討論。修法是雙保險:stdio 隔離 + 環境偵測 short-circuit
v8 補洞 + 新發現:4 個 hole 全修(routing 11/12 → 12/12、cross_team CLI baseline 建立、judge 改 qwen2.5:7b 跟 worker 交叉、forbidden_keywords 抓反向洩漏);新發現「routing 對 ≠ worker 不洩漏」——qwen3-nothink 本地 worker 會在 response 裡 verbatim 寫回原 PII / API key,留 v9 用「output 也跑 sanitize」對稱性原則修

一、在做什麼:給 LLM 工作流加一道「資料分級」前門

企業導入 LLM 第一個踩到的雷是資料治理。同樣是「請幫忙處理一下」,客戶投訴不能跟 OpenAI 講、員工 review 可以脫敏後問,但純技術問題(Kafka rebalance 怎麼解)直接打雲端 API 最快。沒有分級機制,要嘛全本地(成本爆炸 + 質量差)、要嘛全雲端(資料外洩 + 法遵爆炸)。

所以這套 harness 的工作目標只有一個:每條 prompt 進來自動分級,並驗證這個分級正確、後續處理也對。三層定義:

級別	特徵	處理方式	範例
A	真實客戶名 / PII / credentials	本地 LLM 處理,連分類都不上雲	「客戶 A123456789 反映…」
B	內部代號 / 員工名	sanitize 替換成 placeholder 再上雲	「[employee_alice] 寫的 5 個模組…」
C	純技術 / 公開知識	直接上雲,可派 Kiro / Claude Code 並行	「Kafka consumer rebalance 怎麼解?」

驗證集 12 條 prompt(prompts.py:PROMPTS_V7_ABC):7 條 happy path 覆蓋 A/B/C × team/cross 笛卡兒角落,5 條 adversarial 壓邊界(PII override、ambiguous team、camouflage api key、隱式 cross_tool、嵌套客戶名)。

二、怎麼做:三階段 pipeline + keyword eval

2.1 三階段 pipeline

prompt → [Stage 1: Judge]    分 ABC 級 + need_team + cross_tool
       → [Stage 2: Sanitize] B 級替換內部代號為 placeholder
       → [Stage 3: Worker]   按級別分派
                              A → worker_local_real (Ollama 本地推理)
                              B → kiro CLI (sanitize 後)
                              C → kiro CLI 直接打
                              C+team → ThreadPoolExecutor 並行
                              C+team+cross → Kiro × N + Claude × M 混編

2.2 Judge 用本地 LLM(Ollama)

Judge 是整個 harness 最關鍵的一層——它判斷一條 prompt 屬於哪一級,只要它判錯,defense 整個垮。所以 judge 必須:

本地跑:不能把 prompt 送雲端去問「這條 prompt 含 PII 嗎」——因為光送過去就洩了
強制 JSON 輸出:Ollama format=json,規範回傳 {"level": "A", "need_team": false, "cross_tool": false}
System prompt 含 few-shot:純規則對小模型沒用,要附 4 個 input/output 對偶範例(覆蓋 A/B/C × team/cross 角落),模型才會把規則當回事

2.3 Sanitize 用 regex(6 類 pattern)

# sanitize.py 簡化示意
PATTERNS = [
    (r'\[client_\w+\]',     '[CLIENT_REDACTED]'),    # 客戶代號
    (r'\[employee_\w+\]',   '[EMPLOYEE_REDACTED]'),  # 員工名
    (r'\[internal_\w+\]',   '[INTERNAL_REDACTED]'),  # 內部代號
    (r'sk-[A-Za-z0-9_-]+',  '[api_key]'),            # API key
    (r'\b\d{3}-\d{3,4}-\d{4}\b', '[phone]'),         # 台灣手機
    (r'\b[A-Z]\d{9}\b',     '[tw_id]'),              # 台灣身分證
]

sanitize 是 B 級的本分,但也是 A 級的補強——judge 萬一漏判 A 級成 C 級,sanitize 還能擋一刀(token 不會流出去)。defense in depth 兩層獨立。

2.4 Worker 真做事 + keyword eval

v3-v6 的 worker 全是 stub:worker_local_skip() 回字面字串「[A 級本地處理] 會 spawn…」、worker_kiro() 回「OK 收到」。意思是滿分等於通過 routing 考卷,不等於這個系統會幹活。v7 把 worker 改真:

worker_local_real:HTTP 打 http://localhost:11434/api/chat,用 qwen3-nothink 真推理
worker_kiro:subprocess kiro-cli chat,抓最後 3000 字當 response
worker_cross_team:ThreadPoolExecutor 真並行,3 facet 派 Kiro + 1 facet 派 Claude,結果合併

每條 prompt 加 expected_keywords 列表,response 比對 ≥30% hit 才算 reasoning_passed。all_correct = routing_correct AND reasoning_passed——兩條軸都對才算這條 prompt 真的成功。

三、為什麼用這個方法

四個設計選擇,每個都有對應的失敗情境:

設計	替代方案	為什麼選這個
本地 LLM 當 judge	雲端 LLM 判定 + 留 audit log	A 級資料連「請判斷這條算什麼級」這個動作都不能傳出去——光問就洩
judge + sanitize 兩層	只用 LLM judge,信任它分對	defense in depth:judge 失誤時 sanitize 兜底,兩層獨立失誤率相乘
expected_keywords ≥30% hit	人工標 ground-truth + 拿 LLM 評分	v3-v6 沒有自動評分,worker 全是 stub 也驗不出來;30% 拍腦袋,但有比沒有強
12 條 prompt(7 + 5 adv)	100 條 ground-truth 大集	驗證集大不一定強——關鍵是覆蓋角落 case + 30% adversarial。沒 adversarial 的 benchmark 會給你錯覺,gemma2:2b 看 happy path 5/5 完美,加 adversarial 立刻崩到 0/7

四、Prompt 跟本地模型的測試情況

這節是整篇技術重點——15 顆本地 model × 12 prompt 跑出來的對照,直接決定 production 配置。

4.1 完整對照表

Tier	Model	Size	All correct	Avg latency	用途
1 滿分	`qwen3-nothink:latest`	2.5GB	12/12	7.4s	PRIMARY
1 滿分	`qwen2.5:7b`	4.7GB	12/12	11.8s	FALLBACK
2	`qwen2.5:3b`	1.9GB	9/12	7.4s	LATENCY
3	`qwen2.5:0.5b`	397MB	7/12	4.9s ⚡	EXTREME
4 跨家族	phi3.5、llama3.2:3b、gemma2:2b	1.6-3.8GB	6/12	5.7-9.6s	marginal
5 全死	qwen3:4b/14b、qwen3.5:4b/9b、qwen35-9b-nothink、gemma4:e4b	2.5-9.6GB	0/12	14-104s	REJECT
5 OOM	llama3.3:latest	42GB	0/12	HTTP 500	REJECT

4.2 四條歸納

Size 不是 axis,prompt-stability 才是。0.5b → 3b → 7b 一條乾淨單調曲線(7→9→12),但 7b vs 14b thinking 完全反向(12 vs 0)。size 跟 accuracy 沒有單調關係,真正分水嶺是「對 prompt 變動穩不穩」。
Thinking model + Ollama JSON 架構級不相容。6 顆 thinking model 加 few-shot 仍然 0/12 → 不是調 prompt 能救,是模型走 reasoning chain 時把 num_predict budget 燒在 <think> tag,還沒輸出 JSON 就被截斷。
-nothink 後綴騙人。qwen35-9b-nothink:latest 仍然 0/12,跟其他 thinking model 同表現,後綴只是 Ollama tag 名稱不是真正關了 thinking。新 model 必須跑 30 秒 smoke test 才知道。
VRAM 跌出 → 災難。size > ~7GB 在 16GB RAM 機器上會丟出 GPU,qwen3:14b 41s/call、gemma4:e4b 104s/call。可用上限約等於「VRAM – 1.5GB」。

4.3 Few-shot 是怎麼救活跨家族 small instruct 的

v3 一開始觀察到 phi3.5 / llama3.2:3b / gemma2:2b 全死在 level——3 個不同家族同時死在同一個地方,本能歸因到「small instruct safety bias」。後來重新驗,把 system prompt 從純規則改成「規則 + 4 個範例」(few-shot in system prompt),結果:

Model	純規則	+ few-shot	Δ
qwen3-nothink:latest	10/12	12/12	+2
qwen2.5:7b	5/12	12/12	+7
phi3.5:latest	1/12	6/12	+5
llama3.2:3b	2/12	6/12	+4
gemma2:2b	5/12	6/12	+1

真實結論:純規則對小模型是可忽略的 boilerplate;規則 + 範例才會被當成必須對齊的 anchor。所以 size 不是 axis 這件事的另一半是:prompt 工程裡「有沒有 grounding example」才是真 axis。

4.4 新模型來時怎麼判斷能不能用

不要每顆都跑全套 30 分鐘。把 trait 抽出來變 5 步驟 checklist(tools/check_new_model.py):

Stage 0 30 秒 smoke:輸出 {"ok":true} → 失敗直接淘汰,不跑下去
Stage 1 看 model card:base/pretrained 跳過,要 instruct/chat 標籤
Stage 2 12-prompt full suite:< 7/12 reject、7-11 marginal、12/12 production candidate
Stage 3 n=3 一致性:同一條 prompt 跑三次 level 都一致才算穩
Stage 4 PII adversarial:5 條藏 PII 進技術句,要 100% 抓 A 級

五、結論被推翻三次:差異在哪

整個工作從 v1 到 v8 兩天 8 commits 推翻三次結論又補了一輪洞。差異:

版本	當時主張	後來被翻成
v3(overnight benchmark)	「只有 qwen3-nothink 唯一可用,7B+ qwen2.5 危險會洩客戶資料,size 不是 axis」	v4 翻盤:7B+ qwen 都行,危險是 prompt 沒範例造成,fallback 三層全有
v4(few-shot breakthrough)	「qwen3-nothink 12/12 滿分,prompt-stability 是真 axis」	v5 戳破:12/12 是 routing 滿分,worker 一次都沒真做事
v7(end-to-end + ccbot fix)	「routing 對不等於 worker 對等,worker reasoning 9/12 才是真實水準」	v8 部分修正:routing 12/12 完成,但又翻出新軸——worker output 自己會 echo PII
v8(holes fixed + PII echo)	「sanitize 前置 + judge 交叉 + forbidden_keywords + cross_team baseline 4 個 hole 補完」	新發現:routing 對不等於不洩漏——本地 LLM 自己會 verbatim 複述 PII,留 v9 補 worker output sanitize

四次推翻的共同 pattern:結論被翻不是因為跑得不夠,是因為跑的東西不夠多軸。v3 只看 routing,v4 只看 routing+prompt 變動,v7 把 worker reasoning 拉進來,v8 加 forbidden_keywords 才看到 worker 自己會洩漏。每多一個軸就翻一次,翻到沒得翻為止。

六、ccbot 反客為主意外

6.1 症狀

用戶在 ccbot Telegram session 跟 CC(Claude Code)討論 v7 方法論,中途叫 CC 跑驗證。下一秒 ccbot 視窗開始印一篇完整的 PostgreSQL 健檢文:pg_dump --schema-only、SchemaSpy、postgres_autodoc、obj_description(attrelid, attnum)、pg_settings WHERE source <> 'default'、pgbackrest info + patronictl list、SchemaSpy + dbdocs.io + Atlas…

用戶看了打字框問:「明明在討論方法論,結果你突然 PRINT 一篇 PGSQL,反客為主?」

6.2 追根因

對照前一次 v7 跑(run_v7_20260504_123811)的 02_pipeline_v7.json,prompt 07 cross_team 的 documentation facet 輸出**字面跟用戶 ccbot 看到的內容一字不差**。所以那段 PGSQL 不是父 CC 自己生成,是子 claude -p 為驗證集 prompt 07 documentation facet 寫的稿——但它怎麼漏到父 ccbot TG 訊息流?

v7 既有 workers.py 的 tmpfile + start_new_session + stdin=DEVNULL fix 註解寫:「avoids deadlocking parent session’s stdin/stdout」。但這只擋了「子進程跟父 CC 之間的 stdio 競爭」(deadlock 來源),沒擋住:

子 claude -p 寫的 PG 稿 → tmpfile
父 orchestrator 讀 tmpfile,塞進 worker_cross_team result 的 response 欄位
父 orchestrator 把整個 result 印到 stdout / 回給呼叫端
父 CC 看到 stdout,覺得「我跑完了,把結果報告給用戶」→ 印到 ccbot TG
用戶眼睛裡:剛剛還在討論方法論,下一秒視窗變成 PG 健檢手冊

L1 防線(stdio 隔離)解的是 stdio 競爭,沒解 output 內容被 relay。要加 L2 防線。

6.3 修法雙保險

先找 ccbot session 的可靠 marker:

$ env | grep -i ccbot
MEMORY_PRESSURE_WATCH=/sys/fs/cgroup/user.slice/user-1000.slice/
  [email protected]/app.slice/ccbot.service/memory.pressure

ccbot.service systemd cgroup 會 set MEMORY_PRESSURE_WATCH,任何子進程都繼承——包括 ccbot fork 出來的 CC、CC fork 出來的 orchestrator、orchestrator fork 出來的 claude -p。完美 marker。修法:

def _running_inside_ccbot() -> bool:
    """Override:
      WALSIN_FORCE_CC_WORKER=1  -> force enable
      WALSIN_FORCE_CC_WORKER=0  -> force disable
    """
    override = os.environ.get("WALSIN_FORCE_CC_WORKER")
    if override == "1": return False
    if override == "0": return True
    return "ccbot" in os.environ.get("MEMORY_PRESSURE_WATCH", "")


def worker_claude(prompt, timeout=120):
    if _running_inside_ccbot():
        return {"tool": "claude",
                "response": "[SKIPPED: running inside ccbot — "
                            "`claude -p` output would leak into parent TG. "
                            "Set WALSIN_FORCE_CC_WORKER=1 to override.]",
                "latency_ms": 0, "exit_code": 0, "skipped": True}
    # ... 原本的 Popen + tmpfile 邏輯

6.4 驗證:fix 有用且沒破壞 cross_team 可驗證性

修完跑 prompt 07 cross_team 的 4 個 facet:

facet	tool	skipped	latency	證據
security	kiro	False	12911ms	真 PG security 答案
testing	kiro	False	8466ms	真 PG testing 答案
performance	claude	True	0ms	`[SKIPPED: ...]`
documentation	claude	True	0ms	`[SKIPPED: ...]`

沒漏 PG 內容。reasoning_passed=True(62.5% hit)——kiro 兩個 facet 已經自然涵蓋足夠 PostgreSQL 關鍵字(pg_stat、replica、backup、WAL、index),L2 防線 short-circuit 沒破壞 cross_team 可驗證性。

注意這個 trade-off:L2 防線只在 ccbot 內生效。獨立 CLI 跑 WALSIN_FORCE_CC_WORKER=1 python3 orchestrator_v7.py 會放行 claude -p,完整 4 facet 都實跑——這才是「真要驗 cross_team 跨工具質量」的 baseline。本次跑因為在 ccbot 內,只算「ccbot 安全模式驗證」,完整 cross_team 留 v8 在獨立環境補。

七、v8 補洞 + 抓到 v7 看不到的新漏洞

v7 結尾留了 5 個洞,本輪一次解 4 個,順手抓到一個 v7 完全看不到的新類別漏洞。

7.1 4 個 hole 修法

#	Hole	修法	驗證
1 🔴	#12 API key routing fail	`sanitize.has_a_level_pii()` 前置 gate,regex 命中強制 level=A	routing 11/12 → 12/12 ✅
2 🔴	cross_team CLI baseline 沒驗	`WALSIN_FORCE_CC_WORKER=1` 讓 claude facet 真 fork(L1 stdio fix 還在兜底)	#07 reasoning 62% → 88% ✅
3 🟡	judge / PRIMARY 同一顆 qwen3-nothink	`JUDGE_MODEL = "qwen2.5:7b"`,跟 worker 兩個世代交叉	獨立性建立 ✅
4 🟡	30% 閾值沒抓反向洩漏	每條 prompt 加 `forbidden_keywords` + per-prompt `pass_threshold`	立刻紅了 #11 + #12 ⚠️

7.2 v7 vs v8 跑分對比

指標	v7	v8
Routing correct	11/12	12/12 ✅
Reasoning passed	9/12	9/12
ALL correct	9/12	9/12

ALL 沒變的原因:routing 多修對 1 條(#12)、reasoning 多失敗 1 條(#11 被 forbidden_keywords 抓到 PII leak)→ 互相抵消。但這個抵消是好事:v8 多抓的那個 fail 是真實 production 問題,v7 的「pass」是因為沒檢查所以沒看到。

7.3 新發現:worker PII echo(routing 對 ≠ 不洩漏)

加 forbidden_keywords 後,#11 + #12 立刻紅:

[11_adv_tw_pii] level=A -> local_real (111691ms) reasoning=0.375
  hits=['log', 'session', '排查']
  LEAK=['A123456789', '0912-345-678'] x

[12_adv_api_key] level=A -> local_real (115094ms) reasoning=0.125
  hits=['401']
  LEAK=['sk-test-abc123def456ghi789jkl'] x

兩條都是 routing 對(level=A,本地處理),worker 也走對,但 worker 寫的 200 字 response 整段把原 PII / API key verbatim 重複出來。qwen3-nothink 在排查方向裡寫了類似「客戶 A123456789 反映…」「token sk-test-… 看起來像…」這種句子。

意義:routing 的 A 級保護是「prompt 不上雲」,但 worker 寫出來的 response 還是會被印 log、塞 ccbot relay、走 webhook 給下游 → 從第二條路洩出去。Defense in depth 的第三層(worker 自我審查)還沒做。

v7 為什麼看不到:v7 reasoning eval 只看正向 expected_keywords(該寫什麼),沒有反向 forbidden_keywords(絕對不能寫什麼)。回應只要寫對技術方向就 pass,模型有沒有複述 PII 完全不檢查。

修法路徑(留 v9):defense in depth 第三層——對稱性原則,input 過 sanitize,output 也要過 sanitize。實作:worker_local_real() 在 return 前把 response 也送進 sanitize(),有 PII pattern 命中就替換成 placeholder。即使 LLM 複述 PII,輸出層也會擋。

7.4 v9 還沒補完的 5 個洞(誠實清單)

🔴 worker PII echo(本輪新發現,留 v9 用「output sanitize」對稱性原則修)
🟡 #04 5 模組 review reasoning fail(kiro 沒程式碼可看就拒答,是 prompt 設計問題不是 worker)
🟡 30% threshold 仍未個別 calibrate(per-prompt 機制已支援,但實際每條的 threshold 沒個別調過)
🟢 跨家族 12/12 樣本不足(mistral-7b / yi-1.5 沒下載)
🟢 judge p99 latency(qwen2.5:7b 平均 8s,#01 偶發 56s,看是不是 cold start)

給跟著做的人三條提醒

Routing 滿分不要爽到忘了驗 worker。v3-v6 routing 滿分但 worker 全是 stub,直到 v7 加 expected_keywords 才看到 9/12 真實水準。reasoning eval 不必很完美(30% 閾值就有用),但有比沒有強得多。
在 LLM agent 內 fork 同類 LLM,環境隔離不能只靠 stdio。要 env-marker double-gate(L1 stdio + L2 環境偵測 short-circuit),否則子寫的稿會回流到父的對話視窗。任何「Claude Code fork Claude Code」「ChatGPT plugin call ChatGPT」這種設計都要警惕。
-nothink 後綴騙人,size 不是 axis。qwen35-9b-nothink:latest 跟其他 thinking model 同樣 0/12。新 model 來請跑 tools/check_new_model.py 30 秒 smoke + 12-prompt full,不要看 model card 標籤就決定收進候選池。
對稱性原則:input 過 sanitize,output 也要過 sanitize。即使 routing 100% 對、prompt 沒上雲,本地 LLM 自己會 verbatim 複述 PII / API key 在 response 裡——response 一旦被印 log、寄 ticket、走 webhook 就二次洩漏。Reasoning eval 必須加 forbidden_keywords 反向檢查,worker return 前也要再過一次 sanitize。

原始素材

Repo:tm731531/walsin-teams-validation
v3 overnight benchmark:docs/v3_overnight_benchmark.md
v4 few-shot breakthrough:docs/v4_few_shot_breakthrough.md
v5 五視角整合:docs/v5_external_review.md
v6 model trait checklist:docs/v6_model_trait_checklist.md
v7 全程回顧 + 自考卷:docs/v7_endtoend_and_summary.md

更新時間:2026-05-04 14:30(整合 v1 → v7 兩天 7 commits 重新編排)

2026 年 5 月 3 日

腦子系統小白指南:10 步驟從零做到完整 AI 工作流

重點摘要(TL;DR)

前 9 篇是給做過的人看的設計 / 實作 / 修補。本篇是給「沒做過、想做到那樣」的人 — 10 步驟從零到 v2.3 完整工作流。
10 步驟:裝 CC → 寫 CLAUDE.md → 開始 brain → spawn 1 agent → Agent Team 並行 → 行動端 → 加分級 → Gateway → Ollama → 完整 v2.3。每一步都能單獨用,合起來變成完整體系。
不需要一次做完。每一步停下來都能用,不會卡死。Step 1-3 是 1 週體感巨變,Step 4-6 是 Agent Team 開花,Step 7-10 是資安升級。
不是寫程式 tutorial,是工作流改造指南。每一步都跟你怎麼做事的方式有關 — brain 改你「怎麼累積知識」、Agent Team 改你「怎麼處理複雜任務」、Gateway 改你「怎麼處理敏感資料」。
本文是腦子系統第 10 篇 / 入門篇。前 9 篇連結在文末。

誰該讀這篇

有寫 code / 用 terminal 經驗,但沒系統性用過 AI 工作流
看過前面 9 篇覺得有道理,但不知道從哪開始
想做出完整 AI 工作流(腦子 + Agent Team + 跨平台 + 資安),不只是聊天用 ChatGPT
願意花 1-3 個月漸進改造,不追求一週搞定

不該讀這篇:完全沒寫過 code、沒用過 terminal — 那需要先補基礎(git / shell / markdown)。

終點長什麼樣(預覽)

10 步驟全部做完後,你的日常工作流會變成:

你 (Claude Code) — 設了 ANTHROPIC_BASE_URL → Gateway
   ├─ 普通 prompt → Gateway 看分級 → cloud / 地端 自動路由
   ├─ Spawn Agent Team(7 個 opus 並行)→ 每個 agent 走 Gateway,獨立分級
   ├─ 寫到敏感字 → 自動切地端,cloud 流量歸零
   └─ 行動端透過 ccbot / Telegram → 同樣經 Gateway

旁邊 brain 系統(~/.claude/projects/.../memory/)
   ├─ 全域規則 CLAUDE.md(自動載)
   ├─ 領域 brain markdown(LLM 看了知道踩過什麼坑)
   └─ 每個 brain 有 sensitivity_level: A/B/C
       └─ Gateway 自動同步字典做路由

實際感受:

寫 code 比以前快 3-5 倍(LLM 看過你 brain 不會犯重複錯)
複雜任務不用親自跑,7 個 agent 平行做,你 review 結果
不再擔心客戶資料貼進 ChatGPT(地端自動接管)
離開電腦也能繼續(手機 LINE / Telegram → ccbot → 你的工作流)

10 步驟總覽

Step	做什麼	時間	階段體感
1	裝 Claude Code(或 Cursor / Continue)	30 分鐘	能跟 LLM 對話寫 code
2	寫第一份 CLAUDE.md(規則層)	30 分鐘	LLM 開始遵守你的習慣
3	建立 brain markdown(知識層)	1 週累積	不再講同樣的話兩次
4	Spawn 1 個 agent(Agent Team 入門)	1 小時	學會把工作 delegate
5	多 agent 並行(Agent Team 進階)	1 小時	同時跑 7 個任務
6	行動端通訊(ccbot / 官方 channel)	1 小時	手機也能繼續工作流
7	加 sensitivity_level 分級(資安 1)	30 分鐘	brain 開始分敏感度
8	裝 Gateway(資安 2)	30 分鐘	prompt 自動分流
9	加 Ollama 地端(資安 3)	1 小時	A 級資料永不上雲
10	完整 v2.3(B 級脫敏 + tests)	半天	production-ready

關鍵:不要連續做完。Step 1-3 做完跑 1-2 週,習慣後再做 4-6,習慣後再做 7-10。跳級會崩潰。

Step 1:裝 Claude Code

Claude Code(以下簡稱 CC)是 Anthropic 官方的 terminal AI coding 工具。也可選 Cursor、Continue、OpenCode 等替代品 — 概念一樣,本文以 CC 示範。

# macOS / Linux,需要 Node 18+
npm install -g @anthropic-ai/claude-code

# 登入(用 Anthropic 帳號 OAuth 或 API key)
claude

# 在某個專案資料夾跑
cd ~/your-project
claude

其他工具的安裝請查官方 docs:Claude Code Quickstart / Cursor / Continue / OpenCode。

第一個 prompt 試試:

$ claude
> 看一下這個專案的 README,告訴我是做什麼的

能讀檔、回應 — 你已經在 step 1。跑幾天感受 LLM 怎麼讀你的 codebase。

Step 2:寫第一份 CLAUDE.md(規則層)

CC 會自動讀你 home 目錄下的 ~/.claude/CLAUDE.md(全域規則)+ 專案根目錄的 ./CLAUDE.md(專案特定)。這就是「腦子」第一層。

# 寫第一份(全域)
mkdir -p ~/.claude
cat > ~/.claude/CLAUDE.md << 'EOF'
# 全域規則

## 我的習慣
- 一律用繁體中文回應
- code 不寫超過必要的註解
- commit message 用 feat: / fix: / docs: prefix

## 我的環境
- macOS / Linux mini PC
- Python 3.12 / Node 20

## 不要做的事
- 不要主動 git commit(等我說才 commit)
- 不要安裝 dev dependency 沒問過
EOF

馬上感受差別:重啟 CC,再問同樣問題,LLM 已經會用中文回 + 不會自作主張 commit。這就是規則層的價值 — 你不用每次重複講。

原則:條目少而精,3-10 條最好。寫 30 條沒人記得住(包括 LLM)。

Step 3:開始寫 brain markdown(知識層)

規則是「你想要什麼」。Brain 是「你踩過什麼坑」。

mkdir -p ~/.claude/projects/your-project/memory/brain

第一份 brain 範例(假設你寫過 Kafka 踩過坑):

cat > ~/.claude/projects/your-project/memory/brain/kafka.md << 'EOF'
---
name: kafka
type: technical
---
# Kafka 我踩過的坑

## consumer rebalance 一直跑
- 症狀:consumer group 每隔幾分鐘 rebalance,訊息處理停頓 30 秒
- 原因:max.poll.interval.ms 預設 5 分鐘,業務邏輯處理超過會觸發
- 解法:max.poll.interval.ms 拉到 15 分鐘 + 業務邏輯拆 batch

## 訊息順序錯亂
- 同一個 partition 才保證順序
- 多 partition 一定要設 partition key(預設 hash key)
EOF

更新 CLAUDE.md 引用 brain:

echo "
## Domain Brain
- [Kafka](projects/your-project/memory/brain/kafka.md)
" >> ~/.claude/CLAUDE.md

累積策略(關鍵):每次踩坑後 5 分鐘寫進對應 brain。不要等月底整理一次 — 那永遠不會發生。

1 週後感受:LLM 開始知道「Kafka 你不會犯哪些錯」「OSGi 你踩過哪些雷」。同樣 prompt 一個月前要解釋 5 分鐘,現在 LLM 直接 hit brain 給對的答案。

Step 4:Spawn 一個 agent(Agent Team 入門)

到這步你已經會用 LLM 寫 code + 累積 brain。下一個跨越:讓 LLM 派出小弟做事。

CC 內建 Agent tool。在 CC 裡:

> 派一個 agent 看 ~/myproject/src/ 底下所有 .py 檔,
  找出沒寫 type hint 的函式,列清單給我

CC 會 spawn 一個 sub-agent,sub-agent 自己跑 grep / read,跑完回報。你不用看那 100 個檔。

啟發點:任何「我想做但要花 1-2 小時看資料的事」都可以 delegate。你變成 manager,不是 doer。

Step 5:多 agent 並行(Agent Team 進階)

真正威力:並行 spawn 多個 agent。

> 同時派 7 個 agent:
   1. agent A: review 我新寫的 OAuth 模組安全
   2. agent B: 看 .github/workflows 有沒有 CI 改進空間
   3. agent C: 找 README 跟實際 code 不一致的地方
   4. agent D: 算這個 codebase 的 test coverage
   5. agent E: 看 dependencies 有沒有過期
   6. agent F: 列所有 TODO 註解
   7. agent G: 找硬編碼的密碼 / token

7 個並行,2 分鐘後給我一份 dashboard

CC 會用 Agent tool 並行 spawn 7 個,各自獨立 context、各自查資料、回報。這是傳統工作流不可能做到的。

記憶體規則:LLM 推理在 cloud,本機跑的是 CC sub-agent process 本身。粗估每個 opus agent ~1 GB / sonnet ~600 MB / haiku ~400 MB,7 個 opus 並行 ~7 GB,先 free -h 確認 available 夠 +2 GB buffer。16 GB 機器跑得動但要關掉其他大耗 RAM 程式,32 GB 比較舒服。
真正吃 RAM 的是本地 LLM:Step 9 的 Ollama 跑 14b 模型要 ~10 GB,跟 sub-agent process 加起來才是負載 — 16 GB 機器若同時跑 7 個 opus agent + Ollama 14b 會 swap 重災,建議改 7b 級模型或升級到 32 GB+。

Step 6:行動端通訊(ccbot / 官方 channel)

到這步你已經是 desktop power user。下一步:離開電腦也能繼續工作流。

兩個選項:

官方 channel(2026/3 Anthropic 推出):MCP server 接 Telegram / Discord / iMessage,設定簡單。官方文件
ccbot(six-ddc/ccbot):Telegram 接 tmux,decouple from SDK,1 個 Telegram topic = 1 個 tmux window = 1 個 CC session

ccbot 安裝:依官方 README(因為安裝方式可能更新)— https://github.com/six-ddc/ccbot。流程大致是:

去 Telegram @BotFather 申請 bot token + 開 Threaded Mode
依 README 用 uv tool install 或 pipx install 裝 ccbot
設 TELEGRAM_BOT_TOKEN + ALLOWED_USERS 環境變數
裝 hook 讓 CC tmux session 自動連 Telegram

官方 channel 安裝(2026/3 Anthropic 推出):依 Claude Code Channels 官方文件,設定更簡單,但只支援 Anthropic 官方 endpoint。

感受:通勤路上想到 bug,Telegram 一句話 → ccbot → 桌機 CC 開始跑 → 你下車回家結果已在。
(ccbot 限 Telegram;若用 LINE,需自己寫 LINE bot bridge,或改用官方 channel 接 iMessage / Discord)

Step 7:加 sensitivity_level 分級(資安第 1 道)

到這步你 brain 累積了不少。但有些 brain 含敏感資訊(客戶名、家裡網路、內部專案代號)。一旦 LLM 走 cloud,這些就送出去了。

第一道防線:brain frontmatter 標 sensitivity_level。

# brain/kafka.md(技術知識,公開可用)
---
name: kafka
type: technical
sensitivity_level: C   # 純技術,可上 cloud
---

# brain/client_alpha_oncall.md(客戶資料)
---
name: client_alpha_oncall
type: business_incident
sensitivity_level: A   # A 級,絕對不上 cloud
---

分級原則:

A 級:洩漏會出事(客戶名 / 家裡 IP / 個資 / 合約 / 配方)
B 級:能脫敏後送 cloud(內部 process 名 / 員工名)
C 級:純技術 / 開源 / 公開知識

這步看起來只是改 frontmatter,但 讓你開始用「分級」眼光看資訊,為下一步 Gateway 鋪路。

(Step 8 後回來做)從 brain 自動同步到 Gateway 字典

等 Step 8 把 Gateway clone 下來後,回頭做這個同步,讓 brain 跟 Gateway 用一份字典:

# 從所有 A 級 brain 抽 placeholder(例 [client_xxx] / [project_xxx])
grep -h "sensitivity_level: A" -A 100 ~/.claude/projects/*/memory/brain/*.md \
  | grep -oP '\[client_\w+\]|\[project_\w+\]|\[employee_\w+\]' \
  | sort -u > ~/walsin-gateway/A_keywords.txt

# 改 gateway_v2_cc.py 的 A_KEYWORDS list 從檔案 load:
#   A_KEYWORDS = open(os.path.expanduser("~/walsin-gateway/A_keywords.txt")).read().splitlines()
# 取代原本 hardcoded 的 ["[client_alpha]", ...]

核心想法:一個 sensitivity_level 欄位,brain 跟 Gateway 兩邊都用 — 不用手動維護兩套字典。

Step 8:裝 Gateway(資安第 2 道)

分級標好了,但 LLM 不會自動知道。需要 Gateway 在「prompt 命中 A 級字典」時把 LLM 流量切到地端。

用我寫的 v2.3 版(674 行 FastAPI):

# clone Gist
gh gist clone c82c51ae2a73bfe640dec5b61e5a542a walsin-gateway
cd walsin-gateway

# 裝套件
pip install --user fastapi uvicorn httpx tiktoken

# (若已做 Step 7 字典同步)Gateway 自動讀 ~/walsin-gateway/A_keywords.txt
# (還沒做)先用 gateway_v2_cc.py 預設的字典,跑通後再回頭做 Step 7 同步

# 啟動(必設 MASTER_KEY,用 export 不能用 inline env)
export MASTER_KEY=sk-$(openssl rand -hex 16)
echo "記下這把 key,別 commit、別寫進 tracked .env: $MASTER_KEY"

# 啟動 Gateway 背景跑
python3 gateway_v2_cc.py &

# CC 切過去
export ANTHROPIC_BASE_URL=http://localhost:4000
export ANTHROPIC_AUTH_TOKEN=$MASTER_KEY

從此你 prompt 命中字典 → 自動切地端。但這時還沒裝 Ollama,只是 Gateway 就位。完整體驗看 Step 9。

⚠️ 安全提醒(必看):Gateway 預設 bind 0.0.0.0(所有網卡),若你跑在筆電或公共 wifi,別人掃到 port 4000 就能試你的 master key,把 Gateway 當公網 proxy 借走你的 Anthropic API 額度。本機開發必須鎖回 127.0.0.1:編 gateway_v2_cc.py 末段的 uvicorn.run(...),把 host="0.0.0.0" 改成 host="127.0.0.1"。公網部署需 reverse proxy + TLS + 第二層 auth,不在本指南範圍。

Step 9:加 Ollama 地端(資安第 3 道)

# 裝 Ollama
curl -fsSL https://ollama.com/install.sh | sh

# 拉模型(看你硬體)
ollama pull qwen3:14b      # 14B,中等強度,16GB RAM 跑得動
ollama pull qwen3:1.7b     # 輕量,當 fail-safe

到這步,完整路由生效:

你寫「客戶 X 的訂單問題」→ Gateway 命中 A 級 → Ollama 14b 處理 → 不出本機
你寫「Kafka rebalance 怎麼解」→ Gateway 沒命中 → cloud Claude → 全速 Opus 4.7

實際感受:95% 工作跟原本一樣爽,只有 5% 命中字典的會慢一點 — 但那些任務本來就不該上雲。

Step 10:完整 v2.3(B 級脫敏 + tests)

v2.3 額外有:

B 級脫敏 fallback:中等敏感資料,地端壞了能脫敏後送 cloud(B 級走 cloud 時 response 帶 X-Gateway-Sanitized: 1 header)
Auth 防 substring 攻擊:secrets.compare_digest 精確比對
SSE byte-stream 直通:streaming 不變形
24 個 pytest:跑 pytest test_gateway.py -v 全綠才上線
benchmark_runner.py:多模型對比 runner
demo_record.sh:asciinema 60 秒 demo 自動化

跑 pytest 的前提:

pip install --user pytest pytest-asyncio
cd ~/walsin-gateway
# sk-test-secret 是 test fixture 預設值;真實使用換成 openssl rand -hex 16 產生的 key
MASTER_KEY=sk-test-secret python3 -m pytest test_gateway.py -v
# 應看到 24 passed

到這步你的工作流是 production-ready 的。能拿給公司 IT 看,有立場提內部 PoC。

不同階段你會得到什麼(別跳級)

完成 Step	你的 superpower	建議停留
1-3	LLM 認得你的習慣 + 不再重複講同樣的話	2 週
4-5	manager 模式 — delegate 而不是 do	2 週
6	脫離桌機,工作流跟著你走	1 週
7-9	敏感資料 + AI 生產力可同時擁有	2 週
10	production-ready,可推給公司	穩定使用

最常見的失敗模式:跳級。沒寫過 brain 就裝 Gateway → 字典空的,Gateway 沒用;沒玩過 Agent Team 就跑 7 個 agent → 機器 OOM 崩潰。每階段穩了再下一階段。

跟前 9 篇對應

本篇 Step	對應九部曲深入閱讀
1-3 規則 + brain	第 1 篇 (Why) + 第 2 篇 (How)
4-5 Agent Team	第 4 篇 (Tools) Harness 段
6 行動端	第 4 篇 (Tools) 的 ccbot / 官方 channel 段
7 分級	第 7 篇 (ISO) A/B/C 分級
8-9 Gateway + 地端	第 9 篇 (Proof) 完整 v2.3
10 完整 production	所有篇章 + Gist 完整 code

踩坑警告(過來人提醒)

❌ 不要先看 9 篇藍圖再開始 — 會被嚇到動彈不得。先做 Step 1-3,有感再看藍圖
❌ 不要追求完美 brain — 寫得醜但有資訊比寫得漂亮但沒人看好
❌ 不要 spawn 太多 agent — 機器 RAM 16GB 跑 7 個 opus 會 OOM,先 free -h 確認
❌ 不要把 Iron Rules 寫 30 條 — 沒人記得住,3-10 條最好
❌ 不要 Step 8 Gateway 上線就斷網 — 沒設 ANTHROPIC_API_KEY 時 fallback 地端,但本來工作流可能有依賴 cloud 的習慣,慢慢適應
❌ 不要假裝 Agent Team 取代 review — agent 出的東西還是要看,他們是 fast doer 不是 quality gate

結語:不要追求一週搞定

10 步驟看似可以一週做完,但每一步的「習慣養成」需要時間。

Step 3 累積 brain 你會經歷「寫了 5 個又懶了」「再撿起來」「逐漸變成反射」。沒這 3 週適應期,Step 4 派 agent 你會不知道讓他做什麼。

Step 5 並行 agent 你會經歷「派 7 個但 review 不過來」,然後學會「派 3 個但每個任務切清楚」。這也是要時間。

這篇文章是地圖,不是腳本。照走 1 個月,你會擁有跟前 9 篇文章作者一樣的工作流。再走 3 個月,你會發展出自己的版本,可能比這個更好。

這就是「我可以怎麼做到現在這樣」的答案。10 步驟,1-3 個月,從零到 v2.3。

腦子系統實證篇:本地 Gateway 完整實作版(v2.3,674 行真能接 CC)

重點摘要(TL;DR)

前 8 篇是藍圖。本篇是實作真實版:在 Mini PC(無 GPU、32GB RAM、Ryzen 7)用 364 行 FastAPI 跑通搬離方法論,真能接 Claude Code。
核心邏輯:Gateway 看 prompt 內容,命中 A 級字典 → 地端最強模型(14b);其他 → cloud Claude(若有 API key)或 fallback 地端。
關鍵設計原則(別搞錯):A 級資料用地端最強模型,不是最弱。敏感資料因為更重要,需要更可靠的回答。小模型只能當分類器或 fail-safe。
真接 CC 的關鍵:用 Anthropic 原生 /v1/messages endpoint,不是 OpenAI 的 /v1/chat/completions,並做完整翻譯層(request / response / tool use / SSE)。
Harness 三 agent 永遠走 cloud(地端跑不動三 agent 並行 + long context),只是輸入經 Gateway 強脫敏 — 這是搬離後最關鍵的工作流保護。
本文是腦子系統九部曲實證篇。前八篇:Why / How / Scale / Tools / ERP / Self-Service / ISO / Execution。

一、為什麼寫這篇 — 從藍圖到實作真實版

前 8 篇腦子系統累積了大量「應該怎樣」的論述:Why / How / Scale / Tools / ERP / Self-Service / ISO / Execution。對真正要動手的人,這些都還是紙上的東西。

本篇是分水嶺 — 用一台 Mini PC(沒 GPU,32GB RAM,Ryzen 7 4700U,2020 年款)跑通可以真的接 Claude Code 的搬離 Gateway,證明:

不需要 GPU,純 CPU 也能 host gateway logic
不需要 LiteLLM / Portkey 等大框架,純 Python 364 行搞定
不需要 ANTHROPIC_API_KEY 也能跑(有 fallback 模式)
CC + Agent Team + Harness 工作流不變,只改 BASE_URL

二、5 條設計原則(別搞錯)

原則 1:A 級資料地端,不可協商

A 級的定義是「送出去會出事」 — 客戶機密、財報、製程 know-how。這個層級不能因為 cloud 模型強就送出。地端是底線。

原則 2:A 級用地端最強模型,不是最弱

這條最容易搞錯。直覺是「敏感資料 = 風險高 = 用小模型」,但 logic 應該倒過來:敏感資料因為更重要,需要更可靠的回答。

情境	地端模型選擇	理由
A 級主處理	地端最強(14b / 32b / 80B-A3B)	資料越敏感,回答越要可靠
分級判斷器	小模型(0.5b / 1.7b)or regex	分類本身不需要強能力
Fail-safe 容錯	小模型保守路由	寧可路由保守不要錯放

原則 3:路由邏輯走字典 + regex,不靠 LLM

分級判斷不該交給 LLM(慢、不確定、可被 prompt injection 騙)。改用字典 + regex,毫秒級完成,可審計。

原則 4:Anthropic 原生 endpoint(/v1/messages),不是 OpenAI 的 /v1/chat/completions

CC 用 Anthropic Messages API,你 Gateway 必須 expose /v1/messages,不是 OpenAI 的 endpoint。並且做完整 Anthropic ↔ OpenAI 翻譯(因為地端 Ollama 用 OpenAI compatible 格式)。

原則 5:沒 API key 也能跑(fallback 地端)

Gateway 設計成:有 ANTHROPIC_API_KEY 就 C 級走真 cloud Claude;沒有就 fallback 走地端。讓你能純地端先驗證 logic,再加 cloud。

2.1 雙維度決策表(敏感度 × 可用性)— 別搞混

fallback 不只看「cloud 有沒有 key」,還要看「資料能不能上 cloud」。雙維度決策才完整:

分級	主路由	Fallback	關鍵保護
A 級	地端最強(14b/32b/80B)	沒 fallback — 地端跑不動 = 等 / 改題目	即使有 cloud key 也不走 cloud
B 級	地端優先	地端不可用 → 脫敏後 cloud	能脫敏才 fallback,不能脫敏寧願報錯
C 級	cloud 優先	沒 key → 地端	純技術問題,無敏感度

常見誤解:有 cloud key 就什麼都走 cloud。錯。A 級即使有 key 也不該走 cloud — 因為「資料外洩風險 > 模型能力差異」。Gateway 的職責就是替你擋住這個誘惑:你 prompt 命中 A 級字典,Gateway 不問你「要不要送 cloud」,直接路由到地端。

本版實作狀態:A 級 + C 級已實作完整;B 級的「地端優先 + cloud fallback + 脫敏」是 TODO,本版 B 級 keyword 命中時邏輯等同 A 級(全地端)。完整 B 級實作見最末「待補的東西」章節。

三、364 行 Gateway 完整實作

結構:

gateway.py(364 行)
├─ Classifier              (~30 行)— 抽 messages 文字 + 字典命中
├─ Anthropic→OpenAI Req    (~80 行)— system / messages / tool_use / tool_result 翻譯
├─ OpenAI→Anthropic Resp   (~40 行)— content blocks / stop_reason / usage
├─ SSE Streaming           (~40 行)— 6 種 Anthropic 事件 from OpenAI delta
├─ Backend Forwarders      (~80 行)— Ollama / Anthropic 雙路 forward + fallback
└─ Main Endpoint           (~30 行)— /v1/messages,分類後派到對應 forward

3.1 核心邏輯(主要 dispatcher)

@app.post("/v1/messages")
async def messages(request: Request):
    auth = request.headers.get("authorization", "")
    if MASTER_KEY not in auth and not ANTHROPIC_API_KEY:
        raise HTTPException(401, "bad master key")

    body = await request.json()
    original_model = body.get("model", "claude-opus-4-7")
    decision, keyword = classify(body.get("messages", []), body.get("system"))

    if decision == "A":
        log.warning(f"[A-LEVEL] 命中 '{keyword}' → 地端 {MODEL_A_LEVEL}")
        return await forward_to_ollama(body, MODEL_A_LEVEL, original_model)
    else:
        log.info(f"[C-LEVEL] → cloud {original_model}" if ANTHROPIC_API_KEY else f"[C-LEVEL] no key → local fallback")
        return await forward_to_anthropic(body, request, original_model)

3.2 Anthropic ↔ OpenAI 翻譯的 4 個關鍵點

# 1. Anthropic system 是 top-level → OpenAI 是 system message
sys = body.get("system")
if isinstance(sys, str):
    openai_messages.append({"role": "system", "content": sys})

# 2. Anthropic tool_use 是 content block → OpenAI 是 message 上的 tool_calls
if btype == "tool_use":
    tool_calls.append({
        "id": block["id"],
        "type": "function",
        "function": {"name": block["name"],
                     "arguments": json.dumps(block["input"])}
    })

# 3. Anthropic tool_result 在 user message 內 → OpenAI 是 role:tool 獨立 message
if btype == "tool_result":
    openai_messages.append({
        "role": "tool",
        "tool_call_id": block["tool_use_id"],
        "content": str(result_content)
    })

# 4. SSE 翻譯:OpenAI delta 累積 → Anthropic 6 種事件
#    message_start → content_block_start → content_block_delta(每個 token)
#    → content_block_stop → message_delta(stop_reason)→ message_stop

3.3 Forwarder(雙路 + fallback)

async def forward_to_ollama(body, target_model, original_model):
    """A 級 → 翻譯成 OpenAI format,forward to Ollama 地端強模型。"""
    openai_body = anthropic_to_openai_request(body, target_model)
    is_stream = openai_body.get("stream", False)
    if is_stream:
        return StreamingResponse(stream_anthropic_from_openai(...))
    async with httpx.AsyncClient(timeout=600) as client:
        r = await client.post(f"{OLLAMA_URL}/v1/chat/completions", json=openai_body)
    return JSONResponse(openai_to_anthropic_response(r.json(), original_model))


async def forward_to_anthropic(body, request, original_model):
    """C 級 → 直接 proxy 到 api.anthropic.com,沒 key 就 fallback 地端。"""
    if not ANTHROPIC_API_KEY:
        return await forward_to_ollama(body, ANTHROPIC_FALLBACK_MODEL, original_model)
    headers = {"x-api-key": ANTHROPIC_API_KEY, "anthropic-version": "2023-06-01"}
    if body.get("stream"):
        # SSE 直接透傳(Anthropic format,不用翻譯)
        return StreamingResponse(...)
    async with httpx.AsyncClient(timeout=600) as client:
        r = await client.post("https://api.anthropic.com/v1/messages", json=body, headers=headers)
    return JSONResponse(r.json())

v2.3 完整 Gist(674 行 gateway + 24 個 pytest + benchmark + demo + README,5 個檔案):
👉 https://gist.github.com/tm731531/c82c51ae2a73bfe640dec5b61e5a542a

Gist 含 README + 5 步驟啟動 + 測試 curl 範例 + 已知限制。clone 下來改字典即可用。

3.1 v2 → v2.1 changelog(review 後修)

v2 上 Gist 後又收到 review,點出 3 個有實際影響的 bug,其中 1 個是安全問題。**全修了**:

🔴 Bug 1(安全):Auth 邏輯反了 — 原本「沒設 cloud key 才檢查 master_key」意思是「接了 cloud 反而不檢查」,任何人能燒你 quota。修法:無條件檢查 master_key,並兼容 x-api-key + Authorization: Bearer 兩種 header。實測 no-key/wrong-key 都回 401
🔴 Bug 2(功能):Streaming 模式 tool use 完全不工作 — 原本 stream_anthropic_from_openai 只翻譯 text delta,沒處理 delta.tool_calls。CC 的 Read/Edit/Bash 都是 tool use → A 級 + streaming 時 CC 卡住。修法:加 tool_calls delta 累積邏輯,追蹤 tool_call_index → our_block_index mapping,送 content_block_start (tool_use) + input_json_delta 事件序列。約 +60 行
🟡 Bug 3:streaming 模式 stop_reason 寫死成 end_turn,即使 OpenAI 端因 max_tokens 截斷或 tool_calls 收尾也誤標。修法:streaming 過程累積最後 finish_reason,結束時用真實值映射(stop→end_turn / length→max_tokens / tool_calls→tool_use)
+ 結構改進:content blocks 改 lazy open(只在真有內容時送 content_block_start),text 跟 tool 可正確交錯;dead import 清掉;docstring 改寫(原版誤稱用 sse-starlette)

從 v1(80 行,描述跟 code 矛盾) → v2(364 行,文字宣稱) → v2 Gist(394 行,實際存在但 3 bug) → v2.1(502 行,bug 修完)。三天四個版本,每一輪 review 都點出真實問題。這個迭代過程本身就是 brain 系統「review-driven development」的最佳示範。

四、CC + Agent Team + Harness 三件事的協作

4.1 CC 接 Gateway(0 行 code 改動)

# Terminal 設環境變數
export ANTHROPIC_BASE_URL=http://localhost:4000
export ANTHROPIC_AUTH_TOKEN=sk-walsin-test

# 跑 CC 跟原本一樣
claude

CC 完全不知道後面接的是 Gateway。所有 prompt 自動經分類 → 路由。

4.2 Agent Team 走 Gateway(子進程繼承 BASE_URL)

你在 CC 裡 spawn 7 個 opus agent 並行 — 每個 sub-agent 共用同一個 BASE_URL(從父 process 繼承)。Gateway 對每個 agent 的 prompt 獨立分類:

你 (CC main)
├─ Agent 1 (opus): "review 這份 SAP API 設計"  → C 級 → cloud Claude
├─ Agent 2 (opus): "找 [client_alpha] 客訴 case" → A 級 → 地端 14b
├─ Agent 3 (opus): "寫 Kafka consumer"          → C 級 → cloud Claude
├─ Agent 4 (opus): "看 [project_xxx] 的合約"    → A 級 → 地端 14b
├─ Agent 5-7 (opus): 其他 C 級任務              → cloud Claude

大多數 Agent Team 任務不命中 A 級字典,99% 體感跟原本一樣。少數命中的會走地端,慢一點但隔離。

4.3 Harness 三 agent — 永遠走 cloud(關鍵保護)

Anthropic 2026/3 發布的三 agent harness(Planner / Generator / Evaluator)是給 cloud 設計的。地端 80B-A3B 跑三 agent 並行 = GPU 排隊,根本跑不動。

正解:Harness 永遠走 cloud,但輸入經 Gateway 強脫敏。

用戶: "幫我 refactor [project_xxx] 的支付模組"
    ↓
Gateway 偵測 [project_xxx](A 級字典)
    ↓
若強脫敏成功 → "幫我 refactor [PROJECT] 的支付模組" → cloud Claude(三 agent)
若無法脫敏 → 整個任務改地端 14b sequential 跑(慢但安全)
    ↓
Planner: 拆 task → Generator: 寫 code → Evaluator: 檢查
    ↓
結果經 Gateway 回到用戶

Harness 的價值在 long context + 複雜 reasoning,地端在這兩點本就弱。硬搬就是自虐。脫敏走 cloud 才是對的策略。

4.4 三件事的協作全景

你 (CC main session, ANTHROPIC_BASE_URL=gateway)
    │
    ├─ 普通 prompt → Gateway → 路由 → 對應 backend
    │
    ├─ Spawn Agent Team(7 個 opus 並行)
    │   ├─ 每個 sub-agent 繼承 BASE_URL
    │   ├─ Gateway 對每個 prompt 獨立分類
    │   └─ A 級走地端 14b,C 級走 cloud Claude
    │
    └─ Spawn Harness(Planner / Generator / Evaluator)
        ├─ 三 agent 共用 BASE_URL
        ├─ Gateway 強制路由全 cloud(脫敏後)
        └─ 因為地端跑不動三 agent 並行

五、Brain 系統整合(sensitivity_level frontmatter)

你的 brain markdown 系統(~/.claude/projects/.../memory/)是搬離的核心資產。整合方式:

5.1 brain frontmatter 加分級欄位

# 一般 brain(C 級,可上 cloud)
---
name: kafka_consumer_pattern
type: technical
sensitivity_level: C
---
Kafka consumer 群組 rebalance 機制...

# 敏感 brain(A 級,只地端 + 強模型)
---
name: client_alpha_oncall_pattern
type: business_incident
sensitivity_level: A
applies_to: [bu_xxx]
---
[client_alpha] 客訴流程,聯絡窗口...

5.2 build.sh 編譯時依分級過濾

#!/bin/bash
# 編譯雙版本 CLAUDE.md

# Cloud-bound CLAUDE.md(沒 A 級)
find brain/ -name "*.md" \
  | xargs grep -L "sensitivity_level: A" \
  | xargs cat > .claude/CLAUDE.md.cloud

# Local-bound CLAUDE.md(全部,A 級也進)
cat brain/**/*.md > .claude/CLAUDE.md.local

# Gateway 看員工任務目標選對應 CLAUDE.md

5.3 brain 的 A 級關鍵字自動同步到 Gateway 字典

# 從所有 A 級 brain 抽出 client name / project code 等
grep -h "sensitivity_level: A" -A 20 brain/**/*.md \
  | grep -oP '\[client_\w+\]|\[project_\w+\]' \
  | sort -u > /tmp/A_keywords.txt

# Gateway 啟動時 load
A_KEYWORDS = open("/tmp/A_keywords.txt").read().splitlines() + DEFAULT_A_KEYWORDS

5.4 公開版 brain repo 自動過濾

如果你的 brain 有公開版(教學分享 / 開源),build script 自動排除 sensitivity_level: A 條目,只發 B / C。不用手動審 brain 是否能公開。

這是brain 系統跟 Gateway 的接合點:你寫 brain 時標分級,Gateway 自動知道哪些字串該擋,公開版自動過濾。一個 frontmatter 欄位,三個地方用。

六、放大邏輯 — 個人 → 80 人 → 萬人

面向	個人(本文實證)	80 人公司	萬人集團
Gateway 實作	364 行 FastAPI	LiteLLM Docker	K8s HPA + Portkey
A 級字典	3-10 個關鍵字	100 個	1000+ 自動同步 brain
A 級 backend	Ollama Qwen3:14b(CPU)	Ollama Qwen3:32b(1x 4090)	中央 GPU H100 跑 80B-A3B + 區域副本
C 級 backend	cloud Claude(個人 API key)or fallback 地端	Anthropic Enterprise	Anthropic Enterprise + Azure / Bedrock 多家
脫敏	無	字典 + regex	Microsoft Presidio + LLM 兜底
認證	master key	員工 SSO	SSO + Token Impersonation
Audit log	stdout	SQLite / OpenSearch	三軌制 + WORM + HSM mapping
治理	0	Working Group	三道防線
時程	30-60 分鐘	2-3 個月	12 個月
預算	0	~30 萬 NTD	4000-6000 萬 NTD

核心邏輯一模一樣(看 prompt → 字典分類 → 路由)。差的只是:

規模(字典條數、並發、儲存)
治理(Working Group、三道防線、ISO 認證)
合規(SOX / J-SOX / 個資法 / GDPR)
能力 backend(14b vs 80B-A3B)

七、能力降級補償策略

實際擔心:地端模型比 Claude Opus 4.7 弱,搬完會不會生產力崩?

實話:會降,看你會不會用補償工具。具體 benchmark 沒跑(個人 mini PC 沒 GPU 跑不了 32B+ 對比),但業界經驗的補償清單:

地端弱的地方	補償工具	效果
Long context 弱	RAG (Chroma / Qdrant) + chunking	context 不全進 LLM,只進 top-K
Reasoning 弱	Chain-of-thought structured prompt	強制分步,單步難度降
Tool use 不穩	function calling 限縮 5-10 個 tools	減少選擇,提升正確率
並行 Agent 跑不動	改 sequential workflow	一個跑完再下一個
跨檔 refactor 弱	限定 working set(≤ 5 檔)	降低 context
Memory 弱	brain markdown 強制 inject	永遠帶 context

而且這只用在 5% A 級任務,其他 95% 還是 cloud。整體生產力下降可控,具體百分比待 SWE-bench Lite 子集 + 真實工作流 case 量化。

八、5 步驟讓你今晚就跑起來

裝 Ollama + 拉模型:

ollama pull qwen3:14b      # A 級主處理(地端最強)
ollama pull qwen3:1.7b     # 可選,當分類器 fail-safe

裝 Python 套件:

pip install --user fastapi uvicorn httpx

存 364 行 gateway.py(本文第三章 + 完整版見 GitHub Gist)

跑起來:

# 沒 API key 也能跑(fallback 地端)
python3 gateway.py &
curl -s http://localhost:4000/health   # 確認 OK

# 有 API key 完整版
ANTHROPIC_API_KEY=sk-ant-... python3 gateway.py &

CC 切過去:

export ANTHROPIC_BASE_URL=http://localhost:4000
export ANTHROPIC_AUTH_TOKEN=sk-walsin-test
claude   # 跟原本一樣寫 code

30-60 分鐘搞定。設定完後 99% 工作跟原本一樣,只有 prompt 命中 A 級字典時自動切地端。

九、跑不起來時會看到什麼(失敗模式排查)

Gist 證明能跑,失敗模式證明跑過。下面是實作過程實際踩過的 7 個錯誤:

錯誤訊息 / 症狀	根本原因	排查指令
`connection reset by peer` + log 完全空	Container 還在 init(LiteLLM 啟動慢 30s-1min),或 Python stdout buffering	`docker exec <container> ps auxf` 看 PID 1 是否還在跑;加 `PYTHONUNBUFFERED=1`
`404 Not Found` from CC	Gateway 用 OpenAI `/v1/chat/completions`,CC 打 Anthropic `/v1/messages`	看 Gateway log 有沒有「POST /v1/messages」;改用本文 Anthropic 原生 endpoint
`httpx.ReadTimeout` 在 forward_to_ollama	Ollama 模型在 CPU 第一次 load 太慢(超過 timeout)	`ollama run <model> "warm"` 先暖機;timeout 從 300 改 600
`OCI runtime exec failed: "curl" not found`	LiteLLM image 沒裝 curl,內部 health check 工具有限	用 host 端 curl 測 `http://localhost:4000/health` 不要 docker exec
`{"detail": "bad master key"}`	CC 設了 ANTHROPIC_AUTH_TOKEN 但 Gateway 沒 match	`echo $ANTHROPIC_AUTH_TOKEN` 跟 Gateway 的 MASTER_KEY 對
CC 卡住沒回應(streaming 不出來)	SSE 翻譯漏了 `message_stop` 事件,client 等不到結束	Gateway log 看最後送出的 event;確認 6 種事件全送(`message_start` → `content_block_start/delta/stop` → `message_delta` → `message_stop`)
A 級 prompt 沒命中字典(看到走 C 級)	字典 keyword 是 case-sensitive 漏了 `re.IGNORECASE`,或字典裡沒這條	`curl -s gateway.../health` 看 keywords_count;`echo $PROMPT \| grep -i <keyword>`

十、Gist 上線前檢查清單(13 條)

從文章第一版到本版踩過的所有雷,清單化:

Authorization header 兩種格式都要兼容:CC 可能送 x-api-key: xxx 或 Authorization: Bearer xxx,Gateway 都要認
anthropic-version header 別漏:Anthropic API 要求 anthropic-version: 2023-06-01(或更新),proxy 過去要保留
system 欄位三種型別都要處理:Anthropic 的 system 可以是 string、list of {type:text,text:…},或 unset
tool_use ID 不能掉:翻譯後對應的 tool_calls 要保留同一個 ID,不然 client 對不上 tool_result
tool_result 在 user message 內,翻譯後要拆成獨立 role:tool message
SSE 6 個事件全送:message_start → content_block_start → content_block_delta(每個 token)→ content_block_stop → message_delta → message_stop,漏一個 client 卡死
SSE event 名稱要寫 event:,data: 兩行:不是只送 data,Anthropic SSE 格式有 event 名
Ollama 連線斷掉時 fallback 邏輯不能 race:用 try/except 包 forward_to_ollama,失敗才 fallback,不要兩個 task 同時跑
timeout 要設 600 秒以上:CPU 跑 14b 慢,300 秒會 timeout
master_key 預設值不要外洩:Gist 上的 sk-walsin-test 是 placeholder,部署前換掉
A 級字典不能放 secret:keyword 本身會出現在 log,別放真實 client name(用 placeholder 例如 [client_alpha])
health endpoint 不檢查 master_key:不然 monitoring 工具會 401
關 Gateway 用 SIGTERM 不要 SIGKILL:kill 不加 -9 讓 uvicorn 優雅關閉,避免 streaming response 中斷

十一、TODO 全部 close(v2.2 update)

原本標的 4 個 TODO 全做完了,本版升 v2.2(620 行)。逐項說:

原 TODO	v2.2 處理	行數
B 級「地端優先 + cloud fallback + 脫敏」	✅ 完整實作:`ollama_alive()` 健康檢查 → 失敗 `sanitize_anthropic_body()` → fallback cloud;sanitize 沒命中拒絕(503)	+90 行
Benchmark	✅ `benchmark_runner.py` 獨立檔(258 行):跑 SWE-bench Lite 子集 + 自家 prompts × 多 model,輸出 markdown 報表。不打分,只跑數據(讓人類自己判斷,避免 premise drift)	258 行新檔
Asciinema 60 秒 demo	✅ `demo_record.sh`:health → C 級 → A 級 → auth fail 4 個 step,可直接跑或 `asciinema rec -c` 包起來錄影	110 行新檔
Token usage 真實計算	✅ 用 tiktoken 估算累積 text + tool args,取代原本的 chunk count(嚴重低估)	+20 行

11.1 v2.1 → v2.2 主要新邏輯

elif decision == "B":
    # v2.2 完整 B 級實作
    if await ollama_alive():
        return await forward_to_ollama(body, MODEL_B_LEVEL, original_model)

    # 地端死了,看能不能 fallback cloud
    if not (ANTHROPIC_API_KEY and B_LEVEL_CLOUD_FALLBACK):
        raise HTTPException(503, "B-level: local unavailable, cloud fallback disabled")

    sanitized_body, hit = sanitize_anthropic_body(body)
    if not hit:
        # 地端死 + 脫敏沒命中 = B 字典跟脫敏字典不一致,寧願報錯
        raise HTTPException(500, "B-level: local down + sanitization mismatch")

    return await forward_to_anthropic(sanitized_body, request, original_model)

11.2 Sanitization 字典(v2.2 新增)

SANITIZE_MAP = {
    r"\[internal_process\]": "[PROCESS]",
    r"\[vendor_quote\]": "[QUOTE]",
    r"\[employee_name\]": "[PERSON]",
    # 通用 PII patterns
    r"\b[\w.+-]+@[\w-]+\.[\w.-]+\b": "[EMAIL]",
    r"\b(?:\d{1,3}\.){3}\d{1,3}\b": "[IP]",
    r"\b\d{4}-\d{4}-\d{4}-\d{4}\b": "[CARD]",
}

實作策略:regex-based 簡單脫敏(快、可審計);生產環境建議升 Microsoft Presidio(NER + checksum + 多語言)。

11.3 Benchmark Runner 跑法

# 跑全部 prompts × 你已 pull 的 ollama 模型
python3 benchmark_runner.py

# 加 cloud Claude 對比(有 ANTHROPIC_API_KEY 才能)
ANTHROPIC_API_KEY=sk-ant-... python3 benchmark_runner.py \
  --models qwen3:14b,qwen3:4b \
  --anthropic-models claude-opus-4-7

# 只跑 SWE-bench Lite 子集
python3 benchmark_runner.py --suite swe --output report.md

跑出來是 markdown 報表,每 model × 每 prompt 的 latency / tokens / 截斷回應。故意不打分 — 因為「能力 = X%」這種宣稱本身就是 review 點過的 premise drift 風險。**跑數據給人看,人類自己判斷**,比 AI 講百分比有 integrity。

11.4 Demo 錄影

# 純跑(看 terminal output)
bash demo_record.sh

# 用 asciinema 錄影
asciinema rec -c "bash demo_record.sh" walsin-demo.cast
asciinema upload walsin-demo.cast   # (可選)上傳分享

4 個 step:health check → C 級 prompt → A 級 prompt(命中字典)→ 沒帶 key 401。每一步都看到 x-gateway-decision + x-gateway-model headers。

11.5 v2.2 → v2.3 self-review 後再清 7 個漏洞

「考試不能邊改邊考」 — 我自己當最嚴格 reviewer 把 v2.2 從頭審一次,找到 7 個應修的(不是別人指出),全清:

優先	問題	v2.3 修法
🔴 P0	Auth substring match 漏洞 — `MASTER_KEY not in auth` 太寬,`sk-test-extra` 也通過	`secrets.compare_digest` 精確比對 + Bearer 解析
🔴 P0	SSE 透傳格式錯 — `aiter_lines + "\n"` 會剝掉 `\n\n` event 結尾	改 `aiter_bytes` 直通,SSE 格式 byte-for-byte 完整
🔴 P0	Sanitize 漏 tool_use input + tool_result content — 只處理 text block	改遞迴 `_sanitize_value` 處理任意巢狀 dict / list / str
🟡 P1	MASTER_KEY 預設 hardcoded,生產環境壞習慣	沒設環境變數時 log warning,提示部署前必設
🟡 P1	`demo_record.sh` 缺 pre-flight,gateway 沒啟動 script crash	開頭加 `curl /health`,失敗給友善提示 + 啟動指令
🟡 P1	`/health` 沒回報 ollama 狀態,monitoring 不夠	加 `ollama: alive/down` + b_level_model + b_cloud_fallback 配置
🟡 P1	B 級走 cloud(脫敏後)client 不知道	回應加 `X-Gateway-Sanitized: 1` header,透明度

11.6 24 個 pytest 全綠(v2.3 新)

$ pip install --user pytest pytest-asyncio
$ MASTER_KEY=sk-test-secret python3 -m pytest test_gateway.py -v

test_gateway.py::TestClassify::test_C_level_default              PASSED
test_gateway.py::TestClassify::test_A_level_keyword_match        PASSED
test_gateway.py::TestClassify::test_A_level_in_system            PASSED
test_gateway.py::TestClassify::test_A_level_in_list_content      PASSED
test_gateway.py::TestClassify::test_B_level_match                PASSED
test_gateway.py::TestClassify::test_A_takes_precedence_over_B    PASSED
test_gateway.py::TestMasterKey::test_correct_bearer              PASSED
test_gateway.py::TestMasterKey::test_correct_bare                PASSED
test_gateway.py::TestMasterKey::test_empty                       PASSED
test_gateway.py::TestMasterKey::test_wrong                       PASSED
test_gateway.py::TestMasterKey::test_substring_extra_suffix_blocked  PASSED  ← v2.3 修
test_gateway.py::TestMasterKey::test_substring_prefix_blocked    PASSED  ← v2.3 修
test_gateway.py::TestMasterKey::test_lower_case_bearer           PASSED
test_gateway.py::TestSanitization::test_string_email             PASSED
test_gateway.py::TestSanitization::test_string_ip                PASSED
test_gateway.py::TestSanitization::test_string_no_hit            PASSED
test_gateway.py::TestSanitization::test_recursive_dict           PASSED
test_gateway.py::TestSanitization::test_recursive_list           PASSED
test_gateway.py::TestSanitization::test_anthropic_body_text_block            PASSED
test_gateway.py::TestSanitization::test_anthropic_body_tool_use_input_v23    PASSED  ← v2.3 修
test_gateway.py::TestSanitization::test_anthropic_body_tool_result_v23       PASSED  ← v2.3 修
test_gateway.py::TestRequestTranslation::test_system_string_to_message       PASSED
test_gateway.py::TestRequestTranslation::test_tool_use_to_tool_calls         PASSED
test_gateway.py::TestRequestTranslation::test_tool_result_becomes_separate_message PASSED

============================== 24 passed in 0.61s ==============================

4 個 v2.3 安全修正關鍵 test 全綠 — 證明 substring 攻擊擋下、tool_use input 真的會被 sanitize。

11.7 真的還剩什麼不會做(誠實)

SWE-bench 完整跑數據:需要 GPU 跑 32B+,我這台 mini PC 不行。Runner 寫好了,你有 GPU 自己跑
真錄 asciinema 公開連結:script 寫好(含 v2.3 pre-flight check),你自己 run + upload
Microsoft Presidio 升級:regex 已夠 demo,生產時換成 NER + checksum
httpx async mock 整合測試:現在的 24 個 unit test 涵蓋純函式,async stream 整合測試還沒寫

策略:能在我環境做的全做,不能做的寫好工具讓你自己做。每一輪迭代都比上一輪誠實。

十二、5 個學到的事(實作後)

Gateway 路由邏輯不複雜(364 行 Python 含完整翻譯層 + SSE),別被 LiteLLM / Portkey / Kong 這些大框架嚇到
CC 工作流不用改(只改 BASE_URL),搬離成本低於想像。但要真接 CC 必須做 Anthropic 原生 endpoint + 完整翻譯層
A 級資料用地端最強,不是最弱。敏感資料因為更重要,需要更可靠回答 — 這條最容易搞反
Mini PC 雖弱但能跑(CPU 跑 14b 約 1-3 tok/s,慢但能用),證明搬離方法論不需要先投資 GPU
Harness 不該硬搬地端(三 agent 並行 + 長 context 是 cloud 的價值,脫敏走 cloud 才是對的)

結語:從藍圖到可執行的搬離

前 8 篇腦子系統告訴你「應該怎樣」。本篇告訴你「實際怎樣」。

364 行 Python + Mini PC + Ollama + Claude Code = 搬離方法論的可執行實作。

這不是教你「怎麼蓋萬人企業 AI 治理」 — 那是另外 8 篇的事。

這是教你「怎麼今晚就在自己電腦上跑通搬離 logic」 — 證明你的方法論不只是紙上的。

有了這個實作,你才有立場跟集團 IT 提 PoC,跟 CFO 提預算,跟法遵提合規。

下一步:你的 mini PC 有沒有變慢?Agent Team 還能 spawn 嗎?Brain 還在嗎?都沒事 — 因為 Gateway 是個獨立 process,不影響任何沒設 BASE_URL 的工作流。你想停掉就 kill 一個 process,連配置都不用改。

這就是搬離方法論的真實樣子:低風險、可逆、漸進、實作在前、規模在後。

腦子系統壓軸:萬人製造集團 AI 治理 1 年實戰藍圖

重點摘要(TL;DR)

腦子系統前 7 篇是理論藍圖。本篇是萬人跨國製造集團 1 年實戰執行版:Day 1 到 M12 的 5 個 Phase Gate、三層治理、預算 NTD 4,000-6,000 萬具體 breakdown、22 個關鍵 gap、5 場真人會議。
骨架不是憑空寫的 — 經過 4 輪 AI agent review × 10 個 domain × 28 份 expert opinion:CISO / AI 治理 / ERP / 法務 / IT 架構 / 組織變革 / 製造業 BU senior / HR / CFO / 外部會計師。
核心心法 5 條:鄉村包圍欽點啟動、三條紅線下放、90 天法律化(非 30 天)、三道防線(內稽必須第三線獨立)、預算具體到 NTD 級距(非「中等到中高」)。
給 CIO 的訊息:這份藍圖的價值不是告訴你答案,是告訴你接下來要問哪 5 群真人哪些問題。
本文是腦子系統八部曲的壓軸實戰篇。前七篇:Why / How / Scale / Tools / ERP / Self-Service / ISO。

一、為什麼寫這篇

腦子系統前 7 篇講的是理論:為什麼這樣設計、怎麼蓋、怎麼擴展。但理論到實戰之間,有一條鴻溝 — 萬人跨國集團的真實政治、文化、預算、合規。

這個鴻溝不是 1 篇文章 + 1 個 IT 主管腦袋能跨過。我為一家萬人製造集團寫了完整的 1 年實戰藍圖,經過4 輪 AI agent review × 10 個 domain expert(總共 28 份 expert opinion)後,把所有 cross-confirmed 的議題壓縮成這一篇。

10 個 domain 包括:

CISO 資安(ISO 27001 + OWASP Top 10 LLM 紅隊)
AI 治理(ISO 42001 + 倫理 + 偏見)
ERP 架構(SAP / Oracle / iDempiere / Dynamics)
法務合規(個資法 / 營業秘密法 / GDPR / 勞基法)
IT 架構(K8s / Gateway / SRE / vLLM)
組織變革(萬人台灣集團 + 家族企業文化)
製造業 BU senior 主管(20 年資歷)
HR / 員工關係(第四輪新增)
CFO / 財務(第四輪新增)
外部會計師 / 內控(第四輪新增)

每一個 domain 都找出了前面 9 個 domain 沒看到的盲點。這是本文跟一般 AI 治理藍圖的根本差異:不是某個 IT 主管的個人見解,是 28 份不同視角壓縮的最大公約數。

二、戰略骨架(一句話)

鄉村包圍城市:三條集團紅線下放 → 各 BU 自然生長 → 根據地正規化 → Working Group 整理已發生事實 → 集團 Gateway 上線。

不從總部開始,從願意動的 BU 開始。起爆階段必須欽點(不能等自願)、擴散階段才靠拉力。

為什麼不用傳統由上而下:啟動成本太高、規範是空白紙上畫的(法務全判 A 級系統失效)、員工沒採用動機。

三、三條 Iron Rules + 90 天法律化(不是 30 天)

1. BOM 配方 / 製程參數 / 合金成分 / 熔煉 know-how
   → 禁止送任何雲端 LLM
   → 「送出」涵蓋: completion / embedding / vector / fine-tune /
     batch / log retention / 第三方 RAG
   → 違反視同營業秘密外洩

2. 未公告財報數字(月報 / 季預估 / 年度計畫 / 財務假設)
   → 禁止送任何 AI 工具(含本地)
   → 違反視同內線交易風險

3. 客戶合約 / 訂單金額 / 供應商報價 / 客戶聯絡資料
   → 禁止送雲端 LLM
   → 須脫敏後才可使用 AI 協助分析

第一個重大修正(來自會計師 review):CIO 一人簽 Iron Rules 在台灣上市公司治理上有重大瑕疵 — 涉及營業秘密 + 重大資訊管控屬資安政策層級,需經審計委員會或董事會核備。CIO 單簽日後查核會被會計師列 deficiency。

真實時程 90-120 天(原藍圖寫 30 天嚴重低估):

階段	動作	時間
Day 1	CIO 緊急發布(行政命令位階)+ 全員 email	1 天
Day 1-30	CISO 簽核 + 法遵核可	30 天
Day 30-60	工會協商(勞基法 § 70 細則,30 天起)	30 天
Day 60-90	工作規則修正報主管機關核備	14-30 天
Day 90-120	審計委員會核准 + 董事會決議	30 天

過渡期免責條款(會計師建議):Day 1-90 期間若違規,公司立合規導向處理(培訓 + 警告),不得作為解雇 / 賠償依據。否則「合理保密措施」舉證會被法院質疑。

工會協商失敗 fallback(HR review):Iron Rule 1(BOM)走營業秘密法 § 13-1 強制,不需工會同意;Rule 2/3 走員工自願同意 + 工具權限分流(不簽就限制 AI 工具,不解雇)。

四、五個 Phase Gate

Gate	月	通過硬條件
G0 啟動	M1	CIO 簽 Iron Rules + 任命準 CISO + 法遵 / 內稽通知
G1 種子	M3	至少 2 個 BU 各 5 人在用、無 Iron Rules 違反
G2 根據地	M4-M5	至少 2 BU 完成雙 Repo + 分級表 v0.1 + 脫敏字典
G3 包圍	M8	Working Group 4 場核心會議完成 + 集團 v1 + AIIA SOP + Iron Rules 走完董事會核准(若 M8 未完,fallback「議程已排定 + 審計委員會初審通過」)
G4 進城	M9-M10	Gateway + 雙引擎接入 + 北極星 70% + ERP MCP 1 BU 跑(用 Token Impersonation,不是 service account)
G5 稽核就緒	M12	內審完 + Gap 補完 + ISO 27001 + 42001 stage 1 audit 通過

五、三層治理結構(三道防線正確版)

第二輪 AI review 點出 v0.2 違反三道防線(內稽應第三線獨立),v0.3 大幅修正:

[第二線:管理]
├─ Steering Committee(每季 sponsor)
│  └─ 家族成員 / 總經理室掛名,不參與每月運作
│  ⚠️ 議事規則明文「不得對 Working Group 個案決議下指導」+ 會議錄音
│
└─ Working Group(7-8 人,雙週例會,治理者)
   ├─ 準 CISO(主席)
   ├─ 法務 / 法遵代表
   ├─ IT/RD 代表
   └─ 3-4 BU senior 代表

[第三線:獨立監督]
└─ AI 治理監督委員會(每季,獨立)
   ├─ 內稽處長(召集人,雙線報告:行政→CIO,職能→審計委員會)
   ├─ 1 名獨立董事
   └─ 外部顧問(由審計委員會選聘 + 預算獨立 + 3 年輪換)

   季度 audit Working Group 自身 + Gateway log + bias probe
   直接向審計委員會報告(不經 CIO)

[第一線:執行]
└─ BU 內部
   ├─ BU Curator(技術骨幹,每週 45 分跑 PR)
   ├─ BU Senior 把關人(每週 15-30 分簽字)
   └─ BU 種子員工

家族干預仍是 SOX 疑點(會計師 review):即使家族「掛名 sponsor」,Big-4 仍可能列「tone-at-the-top deficiency」。所以加 Steering Committee 議事規則 + 會議錄音是必要補丁。

外部顧問獨立性閉環:必須由審計委員會選 + 預算獨立 + 3 年輪換 + 不得轉任公司任何職位,否則 Big-4 視為 management’s specialist 形同虛設。

六、AI Agent Team 編制 + Curator HR 認證

v0.1 寫「BU senior 兼任 Curator 每週 1 小時」,但 HR review 點出實務上 100% 推給課長 / 工程師 — senior 行事曆已被「客訴會、月結、業務檢討、產能調度」塞滿。v0.3 拆角色:

BU Curator(技術骨幹):>8 年資歷工程師,每週 45 分跑 PR review
BU Senior 把關人:senior 主管,每週 15-30 分簽字 + A 級判斷 + 口述補充業務知識

HR 認證制度(避免空文化)

完成 6 個月任期 + brain 達標 → HR 核發「AI 治理認證」
0.5 P-band 加分(等同跨部門輪調)— 但需走集團人才發展委員會核可,IT 處單獨發會被 HR 退件
PBC 5%-10% 權重(集團強制下限 7%,避免 BU 主管壓到 5%)
senior 連 2 週缺席 → 自動升級 CIO,1 個月失能撤銷認證
分初級 / 資深 Curator:資深需 2 年 + 跨 BU 貢獻才核發,避免認證貶值(1-2 年後人人有獎=沒獎)

培訓教材決策(M2 必須定)

8 小時 OWASP Top 10 LLM + ISO 42001 + 公司 brain 規範。中文教材沒現成 — 外購(BSI / SGS 客製課 35-60 萬/梯)vs 內製?M2 前必定。HR LMS(Cornerstone / SuccessFactors / 自建)需要排版上架、考題設計、合格標準 ≥ 80%、補考機制。

七、預算 NTD 4,000-6,000 萬具體 breakdown(CFO 視角)

v0.3「中等到中高」級距完全不能進審計委員會。CFO 真實要的數字:

項目	級距 NTD	備註
CapEx GPU 3-5x H100	1,200-2,000 萬	DGX 整機約 $300K USD/台,5 年攤提 ≈ 250 萬/年
CapEx 多台 4090	200 萬	本地推理 + Layer 2 分類器
OpEx 雲端 LLM Enterprise	1,500-3,000 萬/年	萬人 seat × $40-80/月(Anthropic / Azure / Bedrock)
OpEx ISO 雙標稽核 + 內審準備	200 萬	Schellman / TÜV SÜD / BSI / DNV 任選
OpEx RD x 2 + Curator 折算	600 萬
OpEx SIEM 自架 stack	100-150 萬	OpenSearch + S3 + Glacier vs Splunk 商業版 3,000-8,000 萬,自架降一個量級
OpEx 培訓教材外購	60-100 萬	BSI / SGS 客製課
Year 1 全包	4,000-6,000 萬	這是 CFO 要的具體數字

稅務套利(產創條例 §10-1)

GPU CapEx 認列「智慧機械」可申請 5% 投資抵減營所稅
萬人集團單年 H100 採購 1,500 萬 → 抵減 75 萬
5 年攤提下,財報「壓力」比一次性 OpEx 燒掉小

ROI / Risk-Adjusted Savings(對審計委員會講)

避免 GDPR 罰鍰:營收 4% 上限(萬人製造集團風險:數十億)
避免 ISO 失效訂單損失:B2B 客戶常要求 ISO 認證,失效 = 失客戶
員工生產力:保守 5% × 萬人 × 平均薪資 = 數億效益
對審計委員會用「保險費比喻」,不要堆生產力數字

預算占比 / 排擠效應

萬人製造集團年 IT 預算約營收 0.8-1.5%
AI 治理 4-6 千萬 ≈ IT budget 8-12%
會排擠 ERP 升級 / MES / 製造 IoT — 必須在董事會列「AI 治理 vs 其他 IT 投資」優先序

隱性成本(v0.3 漏)

Layer 2 GPU HPA 4x baseline → 雲端 burst 月結尖峰可能單月燒 30% 預算 → 加 monthly cap
廠商封鎖演練(每年 1 次)→ 計入 BCP 成本
WORM 7 年 audit log 取出費(egress)→ incident 時單次可能數十萬,需準備金

八、Audit Log 三軌制(法庭採信 + 個資合規)

Track	內容	保留	儲存 / 解密
A. Metadata	員工 hash、tool、decision_code、bu_context、token jti	7 年 WORM	OpenSearch 30天 → S3 1年 → Glacier 7年;HSM mapping CISO+法務雙簽
B. 全文 prompt/response	完整對話內容	90 天	OpenSearch 加密分離,90 天自動刪
C. Incident 凍結全文	觸發事件相關全文	7 年 WORM	S3 Object Lock;CISO+法務+內稽三方簽

HSM mapping 雙簽 break-glass 必須留書面審批單(會計師補丁):申請書 + 核准單 + 時戳服務(TWCA)。否則 SOX 404(d) ITGC 證據能力不足。

勞動事件法 § 35(法務補丁):員工有舉證請求權調閱自身 audit log → 加員工查閱 SLA 14 天 + HR 介接窗口。

九、4 輪 AI review 找出的 22 個 cross-confirmed gap

從 28 份 expert opinion 提煉的最重要議題,按 review 階段:

第一輪(v0.1 → v0.2,7 個 expert):結構性問題

Iron Rules 加 embedding / vector / fine-tune 涵蓋(防 OpenAI embedding 破口)
Curator 拆角色(senior + 技術骨幹)
Multi-ERP 不做統一 schema
SAP S/4HANA 工程量 6-9 個月(原估 3-4 嚴重低估)
Token Impersonation 強制(禁用 service account)
三條 Iron Rules 治理路徑(CIO 簽不夠)
Brain PR Scanner + 雙審 + 簽章 commit

第二輪(v0.2 → v0.3):重大治理結構

三道防線正確化(內稽從 Working Group 退出第三線獨立)
家族介入降溫(Steering Committee 季度 sponsor,不掛主席)
WORM 三軌制(metadata 7年 / 全文 90 天 / incident 7 年)
MCP tool schema 欄位級遮罩
iDempiere MSession + cache 分級 + 月結 SLO 例外
Gateway K8s HPA 5-15 pods(不寫死 3)
GPU 容量 3-5x H100 + 區域副本
同意書脫鉤雇用條件
per-BU view scope(不全集團統一最高 A 級)
跨境 geo-routing by 工作地 BU(不 by 國籍)

第四輪(HR + CFO + 會計師)— 進階 gap(只在新 domain 加入後才被發現)

§16 重寫具體 NTD 級距 + 產創條例 §10-1 + ROI(CFO P0)
30 天法律化時程改 90-120 天 + 過渡期免責(會計師 P0)
監督委員會獨立性閉環(內稽行政線雙線報告 + 外部顧問獨立預算 + 3 年輪換)(會計師 P0)
HSM break-glass 留書面審批單 + 時戳(會計師 P0)
bias probe 獨立 validator(自選 = 自評違反 A.6.2.4)(會計師 P0)
工會協商 fallback(HR P0)
HR LMS + 培訓教材外購 / 內製決策(M2 必定)(HR P0)
退休 / 離職 brain 智財 + 錄影同意 SOP(HR P0)
勞動事件法 § 35 員工查閱 SLA 14 天(法務 P0)

關鍵 insight:第四輪 9 個 gap 是前 3 輪沒有任何 expert 點到的 — 這證明 HR / CFO / 外部會計師三個 domain 是真正的盲點。任何 AI 治理藍圖如果沒有這 3 個 domain 獨立 review,等於沒做完。

十、真人 review 接手 — 5 場會議

會議	時長	對象
法律 / 合規 review	2-3 hr	法遵處長 + 外部勞動法律師 + 個資律師 + 工會代表
組織治理 review	2 hr	CIO + 法遵 + 內稽 + 獨立董事 + 審計委員會
財務 review	2 hr	CFO + 財務副總 + 集團 IT 預算負責人
HR review	1.5 hr	HR 處長 + LMS 負責人 + 工會代表
IT / 工程 review	2-3 hr	IT 主管 + RD lead + ERP 顧問
BU 實戰 review	各 1.5 hr	BU senior + 種子員工(各 BU 一場)
ISO 機構 mock audit	半天	Schellman / TÜV SÜD / BSI / DNV 任選

第一次 mock audit 應在 M9(不是 M11),時間夠改正。SOC 2 Type 2 需 6 個月運行證據,M12 才 Stage 1 → SOC 2 Type 2 報告最快 M18+。

十一、Day 1 待確認的 6 件事

三條 Iron Rules 法務 review — BOM 配方、未公告財報、客戶合約合不合法務認知
ERP 現況 — SAP / iDempiere / Oracle / Dynamics / 混合?(影響 30% 工程量)
準 CISO 人選 — IT 主管?資安代表?
種子 BU 候選 — 欽點 1 個營收前三主力 BU(不要等自願)
預算核給 — Year 1 NTD 4-6 千萬具體編列
ISO 稽核機構意向 — Schellman / TÜV SÜD / BSI / DNV 任選一家

十二、給 CIO 的最後三句話

三條 Iron Rules + 90 天法律化 + 鄉村包圍欽點啟動 = Day 1 全部要做的事。

4 輪 AI review + 28 份 expert opinion 找到的 22 個 gap 是骨架。真正的肉、血、溫度,在你接下來那 5 場真人會議。

這份藍圖的價值不是「告訴你答案」,是「告訴你接下來要問哪 5 群真人哪些問題」。

腦子系統 ISO 整合治理框架:6 篇收成 1 個合規可審計藍圖

重點摘要(TL;DR)

把腦子系統前六篇收成合乎 ISO 27001:2022 + ISO 42001:2023 的整合治理框架。雙標準有 ~40% 重疊,已 27001 認證可快 30-40% 取得 42001。
多場景多用戶多工具的統一架構:5 個共用元件(Gateway / 分級表 / Audit log / Curator / KPI Dashboard)+ 4 類工具(Coding Agent / Chat-native / Bridge / Self-service HTML)+ 5 種角色(銷售 / 客服 / 採購 / RD / 管理層)。
鄉村包圍踏實落地的 5 個 Phase Gate:每個階段過渡前要過硬條件,對應 ISO 稽核里程碑。沒過 Gate 不要硬上下一階段。
月度健檢三個關鍵指標:覆蓋率(80%+)、合規 gap 減少率、稽核就緒度。月度報告 ≠ 一次性稽核 — 持續可量測。
稽核準備 90% 自動化:從 git log / Gateway log / Audit DB / Curator review 自動 export,RD 投入時間從 1-2 個月降到 1-2 週。
本文是腦子系統第七篇收尾。前六篇:Why / How / Scale / Tools / ERP / Self-Service。

一、問題重述

腦子系統六篇文章寫完後,有個關鍵問題沒明確收斂:

整套架構合不合 ISO 27001 + ISO 42001?哪些直接合、哪些有 gap?
第三篇的「鄉村包圍」策略講了大方向,但怎麼穩定踏實做完?哪些真實風險會讓計劃流產?
多場景(銷售/客服/RD/管理層)、多用戶(80 人 vs 萬人)、多 AI 工具(Claude Code / OpenCode / QwenPaw / Self-service HTML)— 怎麼用一套框架統一治理?
怎麼確保多方都得到正確、安全、合規、整合的資料?

本文是腦子系統的收尾整合,把前六篇收成可審計、可執行、可量測的治理框架。

二、ISO 範圍界定(事實驗證)

2.1 適用標準三件套

標準	範圍	關鍵內容
ISO 27001:2022	資安管理(ISMS)	Annex A 共 93 controls,4 themes(Organizational 37 / People 8 / Physical 14 / Technological 34)
ISO 42001:2023	AI 管理(AIMS)	Annex A 共 38 AI-specific controls,9 control objectives,Clauses 4-10 結構
ISO 27701	個資管理(PIMS)	針對 GDPR / 個資法,腦子系統的脫敏管道對應這個

2.2 雙標準的重疊與互補

~40% 重疊:Annex A 的 Clauses 4-10 結構大部分一致(Context / Leadership / Planning / Support / Operation / Performance / Improvement),已 27001 認證可快 30-40% 取得 42001([來源])
60% AI-specific:42001 的 Clause 8(Operation)幾乎沒重疊 — AI Risk Treatment / AI System Impact Assessment / AI System Lifecycle / Data Management 都是 27001 沒有的
同樣 3 年認證週期,可整合 audit 降低 disruption

實務建議:先 27001 → 再加 42001。如果並行做,跟同一個認證機構(Schellman / TÜV SÜD / BSI / DNV)約整合稽核,證據文件大量 reuse。

三、六篇文章 × ISO 控制項映射

每一篇對應到具體 ISO 控制項。標 ✅ 是文章已涵蓋,標 ⚠️ 是 gap 需要補。

3.1 ISO 27001:2022 Annex A 對應

Control	名稱	對應篇	狀態
A.5.10	Acceptable use of information	第 1 篇 Iron Rules	✅
A.5.12 / A.5.13	Classification / Labelling of information	第 1 篇 A/B/C 分級	✅
A.5.19-21	Supplier relationship	第 4 篇 OpenClaw 教訓	✅
A.5.34	PII protection	第 2 篇脫敏 pipeline	✅
A.6.3	Awareness, education, training	第 1 篇 Layer 3 規則+教育	✅
A.8.3	Information access restriction	第 5 篇 iDempiere AD_Role	✅
A.8.15	Logging	第 2 篇 Gateway audit log	✅
A.8.20-23	Networks security / Web filtering	第 1 篇 Gateway 流量管制	✅
A.8.28	Secure coding	第 6 篇 LLM 產 HTML 安全規範	⚠️ 部分
A.8.32	Change management	第 2 篇 git PR review	✅
A.5.7	Threat intelligence	未涵蓋	⚠️ Gap
A.5.30	ICT readiness for business continuity	未涵蓋	⚠️ Gap
A.7.x	Physical controls(機房 / 進出管制)	未涵蓋	⚠️ 範圍外

3.2 ISO 42001:2023 Annex A 對應(關鍵 9 個 control objectives)

42001 Annex A 範疇	對應篇	狀態
AI 政策(AI Policy)	第 1 篇 Iron Rules + 第 2 篇 Working Group	✅
AI 風險評估(AI Risk Assessment)	第 2 篇分級表 + 第 4 篇 OpenClaw 廠商風險	✅
AI 系統影響評估(AI Impact Assessment)	第 2 篇 Working Group 跨部門	✅
AI 系統生命週期(AI System Lifecycle)	第 2 篇 Phase 0-5 + 第 4 篇 Harness 修改	✅
資料治理(Data Management)	第 5 篇 iDempiere AD_Role + 分級表	✅
透明度與可解釋(Transparency)	第 4 篇三層漏斗(規則優先,LLM 兜底)	✅
第三方關係(Third-party relationships)	第 4 篇 Enterprise 合約 + DPA	✅
監控與量測(Monitoring & Measurement)	第 2 篇 KPI Dashboard	✅
人為監督(Human Oversight)	第 2 篇 Curator + 第 6 篇預設 read-only	✅
偏見緩解(Bias Mitigation)	未明確涵蓋	⚠️ Gap
事故管理(AI Incident Management)	部分(audit log 可追,但無 SOP)	⚠️ 部分

四、Gap 補強方案

對應前面標 ⚠️ 的條款,給每個 gap 具體補強做法:

4.1 A.5.7 Threat intelligence

定期收集 LLM 廠商安全公告(Anthropic / OpenAI / Microsoft 等)
訂閱 prompt injection / jailbreak / model 漏洞情報源(OWASP Top 10 for LLM Applications)
每季 working group 會議納入「AI 威脅情報」議程,新威脅進腦子的 brain markdown

4.2 A.5.30 ICT readiness for business continuity

Gateway 高可用(HA)+ 失效時的降級策略(本地 LLM 接管)
本地 Ollama 機器是 backup endpoint(雲端 frontier 掛時切回來)
BCM 演練每年 1 次:模擬 Anthropic API 全面斷掉,測員工是否能繼續工作

4.3 A.8.28 Secure coding(LLM 產 HTML)

第 6 篇講的「textContent 不用 innerHTML」、「不用 eval」是 prompt 規範,但需要 server side 驗證
Gateway 端加 HTML scanner:用 ESLint security rules 或 OWASP HTML Sanitizer 掃 LLM 產的 HTML
不通過 scanner 的 HTML 不出 Gateway,改要員工重新 prompt

4.4 ISO 42001 偏見緩解(Bias Mitigation)

定期測試 LLM 對特定 prompt 的回應差異(性別、年齡、地區)
建立 baseline test set:每季用同一組 prompt 測各廠 LLM,看 bias drift
Working Group 評估該 bias 是否影響業務,進腦子 brain markdown 註明

4.5 AI 事故管理(Incident Management)

定義「AI 事故」:LLM 產生危害內容、員工誤洩 A 級資料、Gateway 規則失效、模型 hallucination 造成業務錯誤等
SOP:發現 → 通報 CISO → audit log 凍結 → 影響評估 → 補救 → 事後檢討進 brain
每年至少 1 次 incident 演練(tabletop exercise)

五、鄉村包圍踏實落地的 5 個 Phase Gate

第三篇講了大方向。本節補上「每個 Phase 過渡前的硬條件」,沒過 Gate 不要硬上下一階段。每個 Gate 同時對應 ISO 稽核里程碑。

Gate	時機	硬條件	ISO 對應
G0 啟動	M1 W1	CIO 簽核 3 條集團 Iron Rules + 任命準 CISO	42001 Clause 5 Leadership commitment
G1 種子	M2 結束	至少 2 個 BU 各有 5 人在用、無重大 Iron Rules 違反事件	27001 A.6.3 Awareness 已生效
G2 根據地	M4 結束	至少 2 BU 完成雙 Repo + 分級表 v0.1 + 脫敏字典 + Pre-commit hook	27001 A.5.12-13 + 42001 Data Management
G3 包圍	M6 結束	Working Group v1 集團 CLAUDE.md + 集團分級表 + 三場核心會議全 done	42001 Clause 6 Planning + AI Policy 落地
G4 進城	M9 結束	Gateway 上線、雙引擎接入、KPI Dashboard 跑、北極星比例 > 70%	27001 A.8.x + 42001 Clause 8 Operation
G5 稽核就緒	M12	內部稽核完成、gap 補完、外部稽核機構 walk-through 通過	兩標準 stage 1 audit 通過

5.1 過 Gate 的紀律

G1-G2 沒過,不要進 G3 包圍:沒實戰數據的 Working Group 會回到「法務全判 A 級」失敗模式
G3 沒過,不要急著裝 Gateway:沒分級表的 Gateway 是裝飾,只浪費 RD 時間
G4 沒過,不要排稽核:北極星 < 70% 表示員工沒採用,稽核員問「實際運作」會答不出來

六、多場景統一治理框架

6.1 五個共用元件(全公司一套)

元件	角色	維護方
LLM Gateway	所有 AI 流量必經(LLM call + ERP query)	中央 RD + IT
分級對應表	A/B/C 級資料定義	Working Group 月度 patch
Audit Log	全程紀錄(誰、何時、查什麼)	中央 SIEM
Curator 制度	brain 品質把關 + 過時知識淘汰	每 BU 一名
KPI Dashboard	月度健檢 + 北極星追蹤	中央 RD

6.2 五種角色 × 四類工具的整合矩陣

角色 \ 工具	Coding Agent	Chat-native	Bridge	Self-Service HTML
RD	✅ 主要	輔助	✅ 出差/移動	輔助
銷售	不適用	✅ 主要	不適用	✅ 主要
客服	不適用	✅ 主要	不適用	✅ 主要
採購	不適用	✅ 主要	不適用	✅ 主要
管理層	不適用	輔助	不適用	✅ 主要(儀表板)

關鍵:不同角色用不同工具,但全部走同一個 Gateway。Gateway 那層的分級 / 脫敏 / audit / 路由規則,所有工具共用。

6.3 確保「正確 / 安全 / 合規 / 整合」的四個機制

正確:資料不來自 LLM 幻覺,而是來自 ERP via MCP/Gateway。LLM 只是把 ERP 資料整理 + 渲染,不產生資料
安全:三層縱深 — 員工身分(SSO)、Gateway 規則(分級脫敏)、ERP 角色(AD_Role)
合規:每個元件都對應 ISO 控制項,稽核證據自動 export
整合:Single Source of Truth — 不同部門看到的資料一致(因為都來自同一個 ERP)、不同 AI 工具產的回應背後是同一個 Gateway

七、月度健檢:踏實的可量測指標

7.1 北極星(唯一最重要)

本月 Gateway request 數 ÷ (Gateway + 偵測到的網頁版 LLM 流量)
目標: 90%+
< 70% = 拉力策略失敗,要查為什麼員工繞過

7.2 三個關鍵健檢指標

指標	定義	目標	頻率
覆蓋率	月活使用 Gateway 員工 / 全公司	80%+	月
合規 gap 減少率	本季新發現 gap 數 vs 已修復 gap 數	修復 ≥ 新增	季
稽核就緒度	90% 證據可從系統自動 export	M9 後達標	季

7.3 月度報告(高層用)

不要丟一堆數字給高層,只回答三個問題:

「上個月 X% 員工選擇 Gateway over 網頁版」← 北極星
「員工繞過 Gateway 的 Top 3 原因」← 下個月修哪邊
「ISO 稽核就緒度 + 安全收益 + 雲端費用」← 投資回報

八、稽核準備 90% 自動化

傳統公司 ISO 稽核要花 1-2 個月補資料、做文件、開會。腦子系統的設計讓大部分證據自動產出:

稽核需要的證據	來源	準備時間
AI 政策文件 + 變更歷史	company-brain git log	0(隨時可拉)
分級表執行紀錄	Gateway audit log	0(已存在)
脫敏執行實證	Gateway pipeline log	0(已存在)
員工訓練紀錄	HR 既有訓練系統	既有資料
第三方供應商 DPA	合約管理系統	既有資料
KPI 持續監控	Dashboard	0(自動產生)
變更管理	git PR 紀錄	0(已存在)
事故管理	SIEM ticket 系統	既有系統
人為監督	Curator 月度 review log	0(已存在)

結果:RD 投入稽核準備時間從 1-2 個月降到 1-2 週。準備重點變成「整理 + 解釋」,而不是「補資料」。

九、12 個月時程(對應第三篇 + 本文)

月	關鍵交付	Gate
M1	Iron Rules 三條 + 準 CISO 任命 + 種子 BU 招募	G0
M2	2 BU 種子員工開始用 AI	G1
M3-M4	BU 各自雙 Repo + 分級表 v0.1 + 脫敏字典	G2
M5-M6	Working Group 三場核心會議 + 集團 v1	G3
M7-M9	Gateway 上線 + 雙引擎 + Self-service HTML + iDempiere MCP	G4
M10-M11	Gap 補強 + 內部稽核 + 外部顧問 walk-through	—
M12	ISO 27001 + 42001 stage 1 audit	G5

對 80 人公司:可加速到 6-9 個月。對萬人集團:可能延長到 18 個月,但鄉村包圍策略讓每個 BU 看到自己的進度,而不是等全集團一起。

十、結語:從 6 篇到 1 個治理框架

前六篇是分散的拼圖:Why / How / Scale / Tools / ERP / Self-Service。本篇把它們收成一個整體。

「合不合 ISO」答案是:大部分天然合,有 5 個 gap 要補強。「鄉村包圍怎麼踏實做完」答案是:5 個 Phase Gate + 月度健檢 + 北極星 KPI。「多場景多用戶多工具怎麼統一」答案是:5 個共用元件 + 角色×工具矩陣。

真正讓系統「正確、安全、合規、整合」的不是任何一個元件,是所有元件都會合在 Gateway 那一層:那是員工、AI、ERP、稽核員看的同一個交集點。設計對了,後面都對。

對企業 IT 主管的最後一個具體下一步:

把本文的 ISO 控制項對應表存成 git repo 一份檔,作為日後稽核 SoA(Statement of Applicability)的基礎
下一次 working group 會議,把本文的 5 個 Phase Gate 排進共享日曆
稽核機構初步接洽:Schellman / TÜV SÜD / BSI / DNV 任選一家,問整合 27001 + 42001 報價
北極星 KPI 上 dashboard,讓員工看得到(透明度本身是 ISO 42001 的要求)

可運作的 Reference Links(2026/5 撰文時驗證)

ISO 標準官方

ISO/IEC 27001:2022 官方頁面:https://www.iso.org/standard/27001
ISO/IEC 42001:2023 官方頁面:https://www.iso.org/standard/42001
ISO 42001 explained(官方):iso.org/iso-42001-explained

Annex A 控制項對照(實作指南)

ISO 27001:2022 Annex A 93 controls 完整指南:hightable.io 完整指南
ISO 42001 vs 27001 差異(IT auditor 視角):isauditr.com
ISO 42001 38 controls checklist:knowlee.ai checklist
ISO 42001 lessons from auditing(CSA):CSA 實戰心得

業界實戰

Microsoft 對 ISO 42001 的合規:Microsoft Learn
AWS AI lifecycle risk management with ISO 42001:AWS Security Blog
Schellman ISO 42001 FAQs:schellman.com

OWASP Top 10 for LLM(對應 A.5.7 Threat Intelligence)

OWASP Top 10 for LLM Applications:OWASP 官方

2026 年 5 月 2 日

給銷售的 AI 工具:LLM 產自助 HTML × ERP CRUD × 即時資訊圖

重點摘要(TL;DR)

銷售/業務人員在 Telegram 一句話「幫我畫上週每個客戶訂單金額長條圖」 → LLM 30 秒產出 self-contained HTML 檔案 → 員工瀏覽器點開 → 看到即時圖表。
HTML 是 standalone 純靜態,從 CDN 載 Chart.js + Tailwind,內含 JS 透過公司 Gateway 對接 iDempiere REST(不直連 ERP)。
四層架構:Generation(LLM 產)/ Execution(瀏覽器跑)/ Data(Gateway proxy)/ Rendering(Chart.js 渲染)。
混合模式:LLM 產 HTML 時 inline 一份預載資料(打開立即顯示),HTML 內按「重新整理」可主動 fetch 最新值。速度和即時性兼得。
安全設計:HTML 不含 secrets、Gateway 認 SSO、LLM 產的 HTML 用 textContent 防 XSS、Gateway 校驗 OData filter 防 injection、員工只看到 AD_Role 允許的資料。
本文是腦子系統的第六篇,前五篇:Why / How / Scale / Tools / ERP。

一、使用情境

銷售 Tom 在通勤路上滑手機,腦子裡想到「**等等開會要秀上週業績**」。

傳統流程(沒有這個工具)

到公司打開電腦
登入 ERP
找到訂單視窗
篩選日期
匯出 Excel
用 PowerPoint / Excel 畫圖
合計花 30-60 分鐘

新流程(本文設計)

Telegram 對 bot 說:「上週每個客戶訂單金額長條圖」
30 秒後 bot 回 HTML 檔(或連結)
點開,圖表立刻渲染
開會時直接全螢幕秀
合計花 30 秒

關鍵:銷售不需要學任何工具、不需要安裝 app、不需要 IT 部署任何東西。產出的 HTML 還可以分享給同事、存證、離線重看。

二、四層架構

銷售 Tom (Telegram chat)
   ↓
[Generation 層] LLM 看公司腦 + 員工 prompt
   ↓ 產 self-contained HTML
HTML 檔案 (Chart.js + Tailwind 從 CDN 載)
   ↓ Tom 在瀏覽器打開
[Execution 層] 瀏覽器跑 HTML 內 JS
   ↓ JS 對 https://gateway.example.com/erp/query 發 fetch
[Data 層] 公司 Gateway (LiteLLM + Portkey + 自製 ERP proxy)
   ↓ Gateway 帶 Tom 的 SSO 身份
   ↓ 呼叫 iDempiere MCP server / REST API
   ↓ iDempiere AD_Role 自動過濾資料
   ↓ 回 JSON
HTML 內 JS 接到 JSON
   ↓
[Rendering 層] Chart.js 渲染圖表 / 動態表格 / 資訊圖

四層各自的職責清晰、可獨立替換:

Generation:換 LLM(Claude/GPT/本地 Qwen)不影響其他層
Execution:瀏覽器標準環境,任何裝置都能跑(Mac / Windows / iPhone Safari)
Data:Gateway 換成內部 service mesh、ERP 換成另一套都不影響 HTML
Rendering:換 Chart.js 為 ECharts / Plotly 只改前端,後端不動

三、混合模式:預載 + 即時刷新

LLM 產生 HTML 時面對一個取捨:

模式	優點	缺點
A 純 inline:LLM 把資料寫死進 HTML	簡單、離線可看、無 CORS	資料是快照,要新查就要重新產
B 純 fetch:HTML 啟動才查	每次最新	打開時白屏 1-2 秒、需連線
C 混合(推薦):預載 + 重新整理按鈕	立即顯示 + 隨時更新 + 離線可看快照	HTML 較大(包含初始資料)

實務上 C 混合模式最佳。實作:LLM 在產 HTML 時順便呼叫一次 Gateway 拿初始資料,把 JSON 寫進 HTML 的 const initialData = [...],同時保留 refresh() 函數讓員工按按鈕主動更新。

四、LLM 怎麼產 HTML — Prompt 設計

給 LLM 的 system prompt 要包含五件事:

HTML 模板骨架:固定的 head / body 結構,用哪個 CDN 圖表庫
Gateway URL 與 API schema:fetch 要打哪、payload 格式
可用 ERP table 與欄位:從公司腦讀(C_Order / C_BPartner / M_Product 等的可查欄位)
OData filter 語法:eq/neq/gt/contains 等(注意 iDempiere 用 neq 不是 ne)
安全規範:用 textContent 不用 innerHTML、不要 hardcode token、不要 eval()

4.1 System Prompt 範例(精簡版)

You are a HTML dashboard generator for sales staff.

CONTEXT (from company brain):
- Available ERP tables: C_Order, C_BPartner, M_Product, M_InOut
- Common columns for C_Order: GrandTotal, DateOrdered, C_BPartner_ID, IsSOTrx
- Filter syntax: OData (use 'neq' not 'ne')
- Gateway endpoint: https://gateway.example.com/erp/query
- Gateway auth: SSO cookies (credentials: 'include')

OUTPUT REQUIREMENTS:
1. Generate ONE complete self-contained HTML file
2. Use Chart.js via CDN (https://cdn.jsdelivr.net/npm/chart.js)
3. Use Tailwind via CDN (https://cdn.tailwindcss.com)
4. Include initial data inline (call Gateway once and embed JSON)
5. Provide a refresh() function for live update
6. Use textContent (NEVER innerHTML) when displaying data
7. Add a loading spinner during fetch
8. Style: clean, presentation-ready (用得上開會秀客戶)

USER QUERY: {{user_message}}

五、產出 HTML 範例(完整可執行)

下面是 LLM 看到「上週每個客戶訂單金額長條圖」這個 query 後產出的範例 HTML。這是真實可執行的 self-contained 檔案:

<!DOCTYPE html>
<html lang="zh-Hant">
<head>
<meta charset="utf-8">
<title>上週訂單金額(by 客戶)</title>
<script src="https://cdn.jsdelivr.net/npm/chart.js"></script>
<script src="https://cdn.tailwindcss.com"></script>
</head>
<body class="bg-slate-50 p-6 font-sans">

<div class="max-w-4xl mx-auto">
  <div class="flex items-center justify-between mb-4">
    <h1 class="text-2xl font-bold">上週訂單金額(by 客戶)</h1>
    <button id="refreshBtn"
            class="bg-blue-600 text-white px-4 py-2 rounded hover:bg-blue-700">
      🔄 重新整理
    </button>
  </div>
  <p id="meta" class="text-sm text-slate-500 mb-4"></p>
  <canvas id="chart" height="120"></canvas>
  <table class="mt-6 w-full text-sm">
    <thead class="bg-slate-200">
      <tr><th class="text-left p-2">客戶</th><th class="text-right p-2">訂單數</th><th class="text-right p-2">金額</th></tr>
    </thead>
    <tbody id="tableBody"></tbody>
  </table>
</div>

<script>
// === 預載資料(LLM 產生時 inline 進來) ===
const initialData = [
  {customer: "客戶 A", orderCount: 5, amount: 1280000},
  {customer: "客戶 B", orderCount: 3, amount: 850000},
  {customer: "客戶 C", orderCount: 7, amount: 2100000},
  {customer: "客戶 D", orderCount: 2, amount: 420000}
];
const generatedAt = "2026-05-02 09:30";

// === Gateway 設定 ===
const GATEWAY_URL = "https://gateway.example.com/erp/query";
const QUERY = {
  table: "C_Order",
  filter: "DateOrdered ge '2026-04-25' and DateOrdered le '2026-05-01'",
  groupBy: "C_BPartner_ID",
  aggregate: ["count", "sum(GrandTotal)"]
};

// === 渲染函數 ===
let chart;
function render(data, ts) {
  // 注意:用 textContent 不用 innerHTML 防 XSS
  document.getElementById('meta').textContent = `資料時間:${ts}`;

  const tbody = document.getElementById('tableBody');
  tbody.textContent = '';
  data.forEach(row => {
    const tr = document.createElement('tr');
    tr.className = 'border-b';
    [row.customer, row.orderCount, row.amount.toLocaleString()].forEach((v, i) => {
      const td = document.createElement('td');
      td.className = i === 0 ? 'p-2' : 'p-2 text-right';
      td.textContent = v;
      tr.appendChild(td);
    });
    tbody.appendChild(tr);
  });

  if (chart) chart.destroy();
  chart = new Chart(document.getElementById('chart'), {
    type: 'bar',
    data: {
      labels: data.map(d => d.customer),
      datasets: [{
        label: '訂單金額(NTD)',
        data: data.map(d => d.amount),
        backgroundColor: 'rgba(59, 130, 246, 0.6)'
      }]
    },
    options: {
      responsive: true,
      plugins: {legend: {display: false}}
    }
  });
}

// === 即時刷新 ===
async function refresh() {
  const btn = document.getElementById('refreshBtn');
  btn.disabled = true;
  btn.textContent = '⏳ 載入中...';
  try {
    const r = await fetch(GATEWAY_URL, {
      method: 'POST',
      credentials: 'include',  // 帶 SSO cookies
      headers: {'Content-Type': 'application/json'},
      body: JSON.stringify(QUERY)
    });
    if (!r.ok) throw new Error(`Gateway error ${r.status}`);
    const data = await r.json();
    render(data.rows, new Date().toLocaleString('zh-TW'));
  } catch (e) {
    alert('刷新失敗:' + e.message);
  } finally {
    btn.disabled = false;
    btn.textContent = '🔄 重新整理';
  }
}

// === 初始化 ===
document.getElementById('refreshBtn').addEventListener('click', refresh);
render(initialData, generatedAt);
</script>

</body>
</html>

這個檔案存成 orders.html,雙擊即可在瀏覽器打開。打開時看到預載資料(已渲染圖表 + 表格);按「重新整理」就 fetch 最新資料。整個檔案約 80 行,包含全部 logic。

六、安全設計(必看)

6.1 HTML 端

❌ 絕不在 HTML 寫 token / API key:HTML 是員工拿到的檔案,寫 token 等於洩漏。所有認證在 Gateway server side
✅ 用 fetch(..., {credentials: 'include'}) 帶員工 SSO cookies
✅ 渲染用 textContent,不用 innerHTML(防 LLM 產的 XSS)
✅ 不用 eval()、Function() 等動態 code 執行
✅ Chart.js / Tailwind 從固定 CDN 載(版本鎖定),不從不可信來源載

6.2 Gateway 端

SSO 認證:員工已登入公司,cookies 自動帶,Gateway 認 user identity
OData filter 校驗:LLM 產生的 filter 要過 Gateway 校驗(白名單欄位、operator 限制),防 SQL injection / 越權查詢
Rate limit:單一員工每分鐘最多 X 個 query,防 LLM 產的迴圈失控
Audit log:每個 query 記錄(誰、何時、查什麼、回傳幾筆),進 SIEM
CORS 白名單:Gateway 只允許指定 origin(若 HTML 託管在內網檔案分享伺服器,設定該 origin)

6.3 ERP 端

iDempiere AD_Role 自動套:Gateway 帶員工 token 進 iDempiere,業務 Tom 看不到 CFO 才看的到的資料
不直連 ERP:HTML 的 fetch 不直接打 iDempiere,一律走 Gateway proxy。理由:ERP 不該暴露在 internet,Gateway 才是受控邊界
Process call 限制:銷售工具預設 read-only,要寫資料(下單、修改)需要更高層審核或專用工具

七、CORS / 認證的具體做法

三條路徑分析:

路徑	CORS	認證	推薦
HTML → 直連 iDempiere REST	需開 iDempiere CORS 設定	JWT token 存 HTML(危險)	❌ 不要
HTML → 公司 Gateway → iDempiere	Gateway 設 CORS 白名單	SSO cookies 自動帶	✅ 推薦
HTML → MCP server → iDempiere	MCP server 設 CORS	MCP OAuth 2.1	⚠️ 進階(複雜但可)