深度剖析

智能体设计模式全景

为什么架构是可靠性杠杆，以及比较每种模式的五个坐标轴。

ReAct——交错进行推理与行动

主力工具循环：控制流、交错为何取胜，以及规模化时的失败模式。

Plan-and-Execute——先分解，再运行

规划器/执行器拆分、重规划策略，以及预先计划何时成为负担。

反思——验证、批评、修订

self-refine 与 Reflexion，为何外部信号是关键，以及自我批评何时有害。

搜索策略——在轨迹上分支

Best-of-N、自一致性、思维树/图：成本区间与对打分器的依赖。

路由与分派——选择、扇出、并行

分类器与工具调用路由、并行扇出，以及路由层的失败模式。

工具使用循环与错误恢复

失败分类法、分层恢复、错误消息即提示词，以及副作用持久性。

单智能体 vs. 多智能体编排

拆分的真实理由、监督者/工作者与交接、协调税，以及一个决策框架。

互操作为何重要：M×N 问题

手工把 M 个智能体连接到 N 个系统为何会爆炸，以及为什么协议层是结构性解法。

工具调用标准：JSON Schema

通用的声明/选择/执行/返回契约、可移植的 JSON Schema 核心，以及厂商差异所在。

MCP：宿主、客户端、服务器

模型上下文协议的参与者模型、资源/工具/提示、JSON-RPC 生命周期与传输方式。

智能体间通信

向不透明的对端智能体委派：智能体卡片、任务、消息、产物与长时间运行的工作。

结构化工具 I/O 与校验

输入与输出作为两道信任边界：先结构后语义的校验，以及为何类型化输出仍不可信。

能力发现与协商

运行时发现、特性探测式版本协商，以及为何发现描述的是能力而非许可。

构建可互操作的智能体

比较工具调用、MCP 与 A2A；一条决策规则与一个归一化注册表架构。

设计上下文窗口

把有限窗口当作有预算的资源：分类令牌预算、位置感知排序与利用率度量。

短期与长期记忆

提示内工作集与外部存储：什么配占位、何时写、何时回忆，以及提升／降级循环。

记忆类型：情景、语义、程序性

三种持久记忆加草稿区，各自写入与检索方式不同；反思把情景提升为语义。

检索增强记忆

回忆即检索：状态派生线索，相关性＋时近性＋显著性评分，先阈值再截断，以及带来源标注的渲染。

上下文压缩与分层记忆

压缩阶梯、任务结构化摘要、MemGPT 式分级、压力触发迟滞，以及验证有损压缩。

记忆存储：向量、键值、图与驱逐

把后端匹配到记忆类型、统一接口、无界存储为何腐蚀检索，以及衰减／驱逐策略。

评估记忆质量

记忆特有指标（recall@k、过期率、约束存活、写入精度）及其捕获的陷阱：毒化、过期、漂移、压缩失忆。

进阶 RAG 架构

朴素→模块化→智能体式 RAG 谱系与关键杠杆——CRAG、Self-RAG、查询变换、融合、重排序——全都在攻击同一个“垃圾进、自信错出”的失败。

GraphRAG 与多跳检索

为什么扁平 top-k RAG 回答不了主题型或关系型多跳查询，微软 GraphRAG 与迭代检索-推理循环如何解决，以及何时不该用的成本/陈旧化启发式。

智能体威胁模型

为何自主性与工具使用扩大攻击面，以及攻击者可影响的文本进入智能体的四个通道。

提示词注入：直接与间接

提示词注入的机理、为何无干净修复，以及面向防御者的分层防御模式。

数据外泄与工具滥用

智能体中的混淆代理模式：外泄的源、隐蔽的汇，以及如何切断攻击链。

护栏：过滤、沙箱与作用域

概率性与确定性护栏，以及如何分层输入、输出、沙箱与能力控制。

人在回路与最小权限

以设计实现有界自主：以最小权限为默认，并按后果设置审批关卡。

红队与安全评估

把对智能体的对抗性测试做成可重复、按结果评分的流水线关卡，而非一次性演练。

对齐基础：意图与监督

遵循指令与意图、奖励黑客，以及作为可行杠杆的可扩展监督。

上线前安全评审

一份实用、失败趋关闭优先的部署清单，含 MCP/第三方供应链信任。

RAG 管道安全

为何检索上下文是绕过守卫的不可信输入——语料库投毒、间接注入、嵌入泄露，以及遏制它们的信任边界设计。