Agentic AI 基础设施落地经验与洞见

SecWiki 2026-03-25 00:54:14

来源提炼：本文基于 AWS「Agentic AI 基础设施实践经验」八篇系列博客（2025年9月—11月），剔除特定云厂商商业产品，萃取可迁移的 AI Infra 架构方法论、工程实践与安全洞见。所有图表采用 Mermaid 描述。

• 3.1 为什么 Agent 必须有记忆？
• 3.2 记忆的分层架构设计
• 3.3 记忆管理的四个维度
• 3.4 开源记忆框架对比：Mem0 / Letta / LangMem
• 3.5 上下文工程：从 Prompt Engineering 到 Context Engineering
• 3.6 上下文处理的四大技术方向
• 3.7 上下文管理的成本优化：Prompt Cache

• 第四部分：MCP 工具生态——从本地到云端的部署演进

• 4.1 MCP 协议概述与通信模式
• 4.2 本地部署 vs 远程部署的取舍
• 4.3 云端部署的三种典型模式
• 4.4 工具网关与语义检索

• 第五部分：质量保障——评估体系与认知可观测性

• 5.1 Agent 评估的三类核心指标
• 5.2 三大评估框架对比：AgentBoard / AgentBench / τ-bench
• 5.3 从传统可观测性到"认知可观测性"
• 5.4 OpenTelemetry 在 Agent 场景的实践
• 5.5 电商售后客服案例：可观测性驱动的模型选型

• 附录：参考链接

核心结论

Agentic AI 从原型到生产的核心瓶颈不在模型能力，而在基础设施的成熟度。 要让 Agent 在生产环境中可靠运行，必须将其视为一个完整的平台工程问题而非单点技术问题，系统性地解决以下五个层面的挑战：

关键洞见总结：

1. 安全必须从架构层面介入，而非事后补救——沙盒隔离、身份认证、安全围栏应在设计阶段确立，不能寄望于运行时检测。
2. 上下文工程正在取代 Prompt Engineering，成为 Agent 性能优化的核心差异化技术——10 个子任务 × 2 次工具调用即产生 41 条新增上下文，Agent 平均可能经历 50 步执行过程。
3. 记忆系统是 Agent 从"玩具"到"工具"的分水岭——短期记忆+长期记忆的分层设计、异步抽取与命名空间隔离是工程落地的关键。
4. MCP 协议正在成为 AI 工具调用的"USB-C 接口"，但全球超过 15,000 个 MCP 服务器中有 7,000+ 直接暴露在互联网上，安全治理刻不容缓。
5. 传统可观测性（Metrics/Logs/Traces）不足以理解 Agent 行为——需要向"认知可观测性"演进，回答"为什么 Agent 做出了这个决策"。

第一部分：Agent 系统的架构基石

1.1 四大核心模块与四大支撑服务

Agent 系统由四大核心模块构成基本运行能力，并由四大支撑服务保障生产可用性：

推理引擎是驱动决策的 LLM，负责意图理解、规划和推理。编排模块协调多步骤任务流，决定何时调用工具、何时思考、何时响应用户。工具接口连接外部能力（API、数据库、代码执行器等），是 Agent 作用于真实世界的桥梁。记忆系统维护状态与知识，让 Agent 具备跨会话的连续性。

1.2 六大统一基础设施单元

将核心模块与支撑服务的需求进一步抽象，形成六大统一基础设施单元的架构设计原则：

统一运行时的三个关键要求：

• 会话管理：为每个用户会话分配独立安全沙箱，确保隔离性。
• 生命周期管理：状态信息持久化，支持故障恢复和断点续执行。
• 接口标准化：通过脚手架将运行时暴露为标准 HTTP 服务，支持健康检查、流量调度。

统一工具接入管理核心能力是语义搜索动态筛选——当 Agent 面对数百甚至上千种可用工具时，通过语义检索从中动态选出与当前任务最相关的工具子集，大幅减少输入 Token 消耗和决策噪声。

统一记忆单元的设计准则：短期记忆保存原始交互数据（受限于上下文窗口），长期记忆通过异步流程抽取语义事实（摘要、知识图谱、向量化），每个用户的记忆数据存储在独立命名空间中保证隔离。

1.3 从 DevOps 到 AgentOps 的运维范式演变

Agent 应用的运维不是对传统 DevOps 的简单延伸，而是经历了多次范式叠加后形成的新体系：

AgentOps 相比传统运维的核心增量：

• PromptOps：将提示词视为代码资产，支持版本管理、diff 对比、灰度回滚。提示词变更对 Agent 行为的影响等同于代码变更，必须纳入 CI/CD 流水线。
• RAGOps：管理检索增强生成模块的全生命周期——知识库索引更新、检索质量评估、embedding 模型迭代。
• CI/CD 流水线安全扩展：在构建阶段加入提示词注入检测和依赖漏洞扫描，部署阶段采用金丝雀、蓝绿或 A/B 流量切换策略。

1.4 两种落地路径：平台工程 vs 轻量托管

面向成熟企业的平台工程式路径基于 Internal Developer Platform（IDP）理念，包含五大模块：开发者门户（提供模板、文档和自助创建能力）、CI/CD 流水线（集成安全扫描）、统一运行时（支持容器编排与 Serverless 混合部署）、观测系统（基于 OpenTelemetry 标准）、安全策略层（Guardrails + 身份认证网关）。这条路径适合有专职平台团队、需要深度定制的大型组织。

面向初创和验证期团队的轻量托管路径将运行时、记忆、身份、工具网关、可观测性等能力打包为托管服务，开发者只需关注 Agent 逻辑本身。在不确定性极高的 Agent 早期阶段，优先选择托管服务以降低试错成本是更务实的策略。

第二部分：安全纵深——从沙盒隔离到威胁防护

2.1 沙盒隔离：Agent 代码执行的安全基座

Agent 动态生成和执行代码是高风险操作，沙盒隔离是安全底线。两大核心场景：

• Code Interpreter：安全执行 Agent 动态生成的 Python/JS 代码。
• Computer/Browser Use：Agent 像人类一样操作桌面或浏览器界面。

四层安全隔离架构

快速启动的六层优化

在保证安全的前提下，沙盒的启动速度决定用户体验：

1. 模板缓存系统：内存缓存避免磁盘 I/O，实现毫秒级模板加载。
2. 网络资源池：预分配网络槽位，实现零配置延迟。
3. UFFD 内存虚拟化：按需页面加载（User-Fault File Descriptor），减少内存占用。
4. Firecracker 微虚拟机：毫秒级创建和销毁，兼具 VM 级安全与容器级效率。
5. 异步并发处理：并行初始化各组件。
6. 快照恢复机制：比重新创建快 10-100 倍。

虚拟化方案对比

维度	传统虚拟机	容器	Firecracker microVM
安全隔离	最高	弱（邻居效应/跨容器攻击）	高（硬件级）
启动速度	秒~分钟级	亚秒级	毫秒级（~100ms）
资源效率	低	高	高
适用场景	强隔离需求	通用微服务	Agent 沙盒首选

实践建议：短时轻量任务（15 分钟以内）可使用 Serverless 函数（10ms 级启动，热启动时）；有状态长任务（多轮对话、浏览器自动化）需使用容器服务配合 Sticky Sessions；对安全性要求最高的场景（金融、医疗）应选择 Firecracker 级别的微虚拟机方案。

2.2 身份认证与授权：OAuth 2.0 在 Agent 体系中的实践

真实安全事件驱动的认知

两个里程碑事件揭示了 Agent 身份管理的紧迫性：

• 2024 年 11 月 AgentSmith 漏洞：LangChain 生态 LangSmith 平台 Prompt Hub 暴露身份与权限管理漏洞，攻击者通过恶意 prompt 泄露 API 密钥。
• 2025 年 CVE-2025-49596：MCP Inspector 远程命令执行漏洞，缺乏客户端与本地代理间认证导致 CSRF 攻击。

两种 OAuth 2.0 授权模式

• 2LO（Client Credentials Grant）：适合 Agent 访问同一账户内数据库等无需用户交互的场景。
• 3LO（Authorization Code Grant）：适合 Agent 代表用户访问个人邮件、日历等隐私敏感服务的场景。

混淆代理人问题（Confused Deputy Problem）

MCP 架构性引入了这一经典安全问题：低权限用户可能通过高权限 Agent 间接越权访问资源。

防御核心：Agent 出站访问必须绑定请求发起者的权限范围而非 Agent 自身权限，通过 OAuth scope 或 IAM 策略实现细粒度的委托授权。

端到端身份管理四大能力

1. 入站认证和授权：验证请求用户的身份和权限。
2. 外部工具对 Agent 的授权：防止委托人攻击（Confused Deputy）。
3. Agent 出站访问：OAuth 客户端 + 短期凭证（STS 临时权限）。
4. 工具网关入站认证：在工具网关层面统一鉴权，而非每个工具各自实现。

2.3 OWASP 15 大威胁与分层防护模型

OWASP Agentic AI 安全行动（ASI）总结了 15 个安全威胁，覆盖 Agent 生命周期的每个环节：

重点威胁（标红）：T1 记忆投毒、T2 工具滥用、T3 权限滥用、T6 意图破坏、T9 身份欺骗。

三层安全防护模型

Security by Design 核心架构模式——控制面与数据面隔离：

主 AI 代理仅基于控制面信息（指令说明）进行规划推理，隔离的 AI 代理可使用数据面信息（工具响应内容）但在受限环境内运行，两者之间只传递必要的结构化数据。这一模式从根本上阻断了通过工具响应注入恶意指令影响 Agent 规划的攻击路径。

Guardrails 安全围栏的核心过滤模块

安全围栏需覆盖六大过滤维度：

过滤维度	功能说明	配置示例
内容过滤器	按类别和级别过滤有害内容	SEXUAL/VIOLENCE/HATE/MISCONDUCT 各级别配置
拒绝主题	定义明确禁止的话题	投资建议、医疗诊断设为 DENY
敏感信息过滤	PII 数据的匿名化或阻断	EMAIL/PHONE 匿名化，SSN/信用卡号阻断
词汇过滤器	关键词级别的过滤	自定义黑名单词汇
上下文基础检查	防止幻觉和偏离主题	GROUNDING 阈值 0.85，RELEVANCE 阈值 0.5
自定义阻止消息	触发过滤时的友好回复	替代生硬的拒绝消息

关键实践：Guardrails 不是在最终输出处单次调用即可，而需在用户输入、大模型规划、记忆数据存储、工具描述和响应、Agent 最终响应、跨 Agent 消息传递等各环节独立调用。

2.4 MCP 工具链的四大攻击模式与防御

截至 2025 年 6 月，全球可识别 MCP 服务器已超过 15,000 个，其中超过 7,000 个直接暴露在互联网上。以下是四种已被验证的攻击模式：

防御要点：

• 所有工具描述视为不可信输入，在沙盒内解析。
• 工具注册与运行时描述必须一致性校验，防止 Rug Pull。
• 工具间调用需隔离，单个工具的描述不应影响其他工具的行为。
• 工具网关层面实现统一的权限控制和审计日志。

第三部分：记忆系统与上下文工程

3.1 为什么 Agent 必须有记忆？

LLM 的无状态局限性是 Agent 记忆系统存在的根本原因：

• 模型每次交互独立，不会主动保存对话历史或经验。
• 受限于上下文窗口，导致长期信息"遗忘"。
• 长上下文会导致推理变慢和模型表现下降（Lost in the Middle 问题）。

记忆系统需要提供五大核心能力：长期保留与高效管理、持续知识更新、个性化服务、复杂任务支持（多 Agent 间任务进展追踪）、交互质量提升。

3.2 记忆的分层架构设计

短期记忆保存原始交互数据，受限于上下文窗口大小。长期记忆通过异步流程将重要信息从短期记忆中抽取和转换为三种形式——摘要记忆、结构化知识库、向量化存储。

存储采用三层结构：用户层（按 user_id 隔离）→ 会话层（按 session_id 组织）→ 记忆片段层（每条记忆携带元数据如时间戳、来源、置信度）。

3.3 记忆管理的四个维度

维度	关键问题	设计要点
记忆产生	哪些信息需要被记忆？	涵盖时间、空间、参与者状态、意图上下文、文化上下文五个维度
记忆策略	何时触发记忆存储？	轮数触发（每 3-5 轮）、事件触发（任务完成时）、用户主动标记
记忆存储	如何组织和持久化？	用户层→会话层→记忆片段层的三层结构
记忆检索	如何高效召回？	关键词匹配 + 向量语义搜索 + 元数据过滤（混合检索）

实践案例——文档自动化处理 Agent：面对超过 500 页的输入文档，采取四步策略：

1. 分块处理，存储在文件系统中。
2. 为每个文档块和整体分别生成摘要。
3. 赋予 Agent 自主选择能力，动态调取当前任务所需的相关文档块。
4. 任务完成后自动释放不再需要的上下文，防止窗口溢出。

3.4 开源记忆框架对比：Mem0 / Letta / LangMem

Mem0 是专为 Agent 设计的开源框架，其核心创新是双 LLM 架构——第一次 LLM 调用专注从对话中提取有价值的信息，第二次 LLM 调用处理存储决策（新增、更新还是删除）。去重机制通过向量相似性搜索初筛后再由 LLM 判断是否真正重复，有效解决语义相近但含义不同的歧义问题。

Letta（前身 MemGPT）的设计哲学是将 LLM 类比为操作系统——上下文窗口是"物理内存"（有限、高速），外部存储是"磁盘"（无限、慢速）。当上下文窗口接近填满时，自动将对话历史压缩为递归摘要，实现"虚拟内存"式的无限扩展。

LangMem（LangChain 团队）提供语义记忆（Collection/Profile 两种组织方式）、情节记忆（具体事件经过）和程序记忆（操作方法与流程）三种类型，独特的共享内存机制支持多 Agent 间的信息共享。

3.5 上下文工程：从 Prompt Engineering 到 Context Engineering

上下文工程是本系列中技术深度最高的主题之一。从传统聊天到 Agentic AI，上下文复杂度呈指数级增长：

一个具体示例：10 个子任务 × 2 次工具调用就产生 41 条新增上下文记录，Agent 平均可能经历多达 50 步执行过程。

上下文工程的正式定义：通过动态管理输入到 LLM 上下文窗口的信息，优化其推理和决策能力的技术框架。

关键区别：Prompt Engineering 将输入视为静态字符串、侧重单次输出质量；Context Engineering 将上下文视为动态结构化组件集合，关注整个信息流的生命周期管理——从检索、生成、处理到压缩和淘汰。

三大核心组件形成工作流闭环

• 上下文检索与生成：基于 CLEAR 原则（简练性 Concise、逻辑性 Logical、明确性 Explicit、适应性 Adaptive、反思性 Reflective）构建提示词，通过 Self-RAG、PlanRAG、GraphRAG 等框架动态检索外部知识，并对检索信息进行优先级排序、格式转换和压缩。
• 上下文处理：对检索到的信息进行精炼，涉及长序列优化、自优化闭环修正、多模态融合和结构化验证。
• 上下文管理：在有限的上下文窗口中做出取舍——哪些信息保留、哪些压缩、哪些淘汰，以及如何对抗 Lost in the Middle 问题。

3.6 上下文处理的四大技术方向

技术方向	代表方案	核心能力
长序列优化	SSM（线性计算复杂度）、LongRoPE（扩展至 2048K token）、StreamingLLM（无限长流处理）	突破上下文窗口物理限制
自优化机制	Self-Refine（闭环修正）、LongCoT（扩展推理深度）	输出质量自我迭代提升
多模态融合	VPG 视觉提示生成器、跨模态注意力机制	文本+图像+音频统一上下文
结构化集成	逻辑验证框架	确保上下文内容的一致性和正确性

3.7 上下文管理的成本优化：Prompt Cache

上下文管理的三大挑战：

1. 记忆容量约束：Transformer 长文本的平方级计算开销。
2. 信息提取偏差：Lost in the Middle——模型更关注开头和结尾，中间部分信息容易被忽略。
3. 无状态特性：每次请求重传完整上下文带来巨大的 Token 成本。

Prompt Cache 是成本优化的关键杠杆：

• 缓存 token 收费比标准输入 token 低 90%。
• 在工具密集型 Agent 场景中，缓存命中率可达 90% 以上。
• 整体推理成本可降低 80%。
• Agent 任务的输入输出比例通常高达 100:1，因此输入侧的成本节省效果极为突出。

三种对话管理模式的选择：

通过 hooks 机制（MessageAddedEvent 和 AfterInvocationEvent）可实现自动化的记忆管理——在对话过程中自动触发记忆的抽取、压缩和存储操作。

第四部分：MCP 工具生态——从本地到云端的部署演进

4.1 MCP 协议概述与通信模式

MCP（Model Context Protocol）由 Anthropic 于 2024 年 11 月推出，被称为 AI 应用的"USB-C 接口"——采用标准化的客户端-服务器架构实现 AI 模型与外部工具的松耦合连接。

两种通信方式：

• stdio（本地）：UTF-8 编码的 JSON-RPC 2.0，通过 npx/uv/docker 启动子进程。
• Streamable HTTP（远程）：HTTP 1.1 + SSE（Server-Sent Events），支持云端部署。

4.2 本地部署 vs 远程部署的取舍

维度	本地部署（stdio）	远程部署（Streamable HTTP）
适用场景	本地文件系统、构建脚本、开发调试	生产环境、多用户共享、企业服务
版本管理	困难（缓存命中时不自动更新）	CI/CD 流水线自动更新
安全性	风险高（运行在用户命名空间、凭证本地存储）	权限隔离 + OAuth 认证
计费	本地资源消耗	按需计费
劣势	无法多用户共享、资源受限	网络延迟、HTTP 端点暴露扩大攻击面

4.3 云端部署的三种典型模式

选型建议：

• 网络搜索、API 调用等无状态工具 → Serverless 函数（低成本、高弹性）。
• 多轮对话、Playwright 自动化、长时间运行任务 → 容器服务 + Sticky Sessions（保证状态连续性）。
• 快速验证和中小规模生产 → 托管 Runtime（最小运维负担）。

此外，开源 mcp-proxy 项目提供了stdio 到云端的自动化转换方案——无需修改 MCP 服务器源代码，即可将本地 stdio 模式的服务器迁移至容器集群运行。

4.4 工具网关与语义检索

当 Agent 可用工具达到数百甚至上千种时，将所有工具描述注入上下文窗口既不经济（Token 成本高）也不有效（增加决策噪声）。

工具网关的核心功能是语义检索——根据当前任务需求，从工具注册表中动态发现和选择最相关的工具子集：

网关还承担四层安全防护职责：网络安全层（VPC 内部署 + PrivateLink）→ 身份认证层（集成 OIDC/OAuth 提供商）→ 权限控制层（OAuth 2.0 细粒度权限 + 安全令牌自动轮换）→ 会话隔离层（独立安全沙箱环境）。

第五部分：质量保障——评估体系与认知可观测性

5.1 Agent 评估的三类核心指标

5.2 三大评估框架对比：AgentBoard / AgentBench / τ-bench

框架	来源	核心特点	关键指标	规模
AgentBoard	香港科技大学 NLP 团队	多轮交互细粒度评估，六大维度能力评分	Success Rate, Progress Rate, Grounding Accuracy	中等
AgentBench	清华大学团队	最广泛的多环境评测，8 大环境	Dev 集 4000+，Test 集 13000+ 样本	已对比 27 款模型
τ-bench	Sierra Research	模拟用户-Agent-工具三方交互	pass¹（单次成功率）, passᵏ（连续 k 次成功率）	聚焦稳定性

τ-bench 的关键发现：零售场景 pass¹=60%（单次成功率），但 pass³=22%（连续 3 次全部成功概率仅 22%）——揭示了 Agent 输出的高度不稳定性，这是当前 Agent 系统最被低估的质量风险之一。

AgentBoard 六大能力维度：

实践案例——考题生成 Agent 评估数据：总执行时间 57.709 秒，10 次工具调用全部成功，其中 validate_exam_format 以 18.62 秒成为性能瓶颈，而 generate_multiple_choice_question 仅需 3.47 秒。这一数据揭示了 Agent 任务中工具间性能差异悬殊的现实——优化应聚焦于调用链中的慢节点而非均匀优化。

5.3 从传统可观测性到"认知可观测性"

传统的 Metrics → Logs → Traces 三支柱模型在 Agent 场景下根本不够用：

Agent 可观测性的多维度监控框架：

指标类别	具体指标	说明
响应时间	TotalTime, TTFT（首Token时间）, ModelLatency	端到端延迟拆解
Token 使用	InputTokenCount, OutputTokenCount	成本归因基础
工具使用	InvocationCount, 工具执行时间	识别调用链瓶颈
质量信号	幻觉率, 工具选择正确率, 任务完成率	业务质量追踪

5.4 OpenTelemetry 在 Agent 场景的实践

OpenTelemetry 是 Agent 可观测性的技术基础，遵循 GenAI 语义约定：

每个操作生成一个 span（含 trace ID 和 span ID），通过父子关系构建执行树状结构。记录的元数据包括：session.id、gen_ai.system、gen_ai.request.model、token 使用统计等。

生产环境最佳实践：

• 部署 OpenTelemetry Collector 作为中间处理层，利用 attributes 处理器添加业务标签、sampling 处理器进行智能采样、filter 处理器过滤敏感信息（如用户 PII）、batch 处理器优化网络传输。
• 使用 Baggage 机制跨服务传播自定义元数据（用户类型、实验标识、会话主题等），实现精细化 Agent 行为分析。
• 支持按应用 / 用户角色 / 用户的多维成本归因。

5.5 电商售后客服案例：可观测性驱动的模型选型

一个电商售后智能客服的实践案例展示了可观测性如何驱动工程决策：

• 场景一：通过 Langfuse 追踪对比 Claude 3.7 与 Nova Lite 在延迟、Token 消耗和成本上的差异，为不同场景选择最优模型。
• 场景二：可观测系统发现了一个隐蔽 Bug——Agent 在对话过程中交替切换两个 LLM，导致输出格式不一致。Langfuse 的追踪链快速定位到模型混用的根因，比传统日志排查效率提升数个量级。
• 场景三：Claude 3.7 在 SQL 生成任务中启用了扩展思考（Extended Thinking），可观测数据揭示了思考过程的额外延迟和 Token 消耗，帮助团队在准确性和延迟之间做出有据可依的权衡。

附录：参考链接

系列博客原文

篇目	标题	链接
系列一	Agent 应用开发与落地实践思考	aws.amazon.com/.../agentive-ai-infrastructure-practice-series-1
系列二	专用沙盒环境的必要性与实践方案	aws.amazon.com/.../agentic-ai-sandbox-practice
系列三	Agent 记忆模块的最佳实践	aws.amazon.com/.../...series-three-best-practices-for-agent-memory-module
系列四	MCP 服务器从本地到云端的部署演进	aws.amazon.com/.../...series-four-mcp-server-from-local
系列五	Agent 应用系统中的身份认证与授权管理	aws.amazon.com/.../agentic-ai-infrastructure-practice-series-5
系列六	Agent 质量评估	aws.amazon.com/.../agent-quality-evaluation
系列七	可观测性在 Agent 应用的挑战与实践	aws.amazon.com/.../agentic-ai-infrastructure-practice-series-7
系列八	Agent 应用的隐私和安全	aws.amazon.com/.../privacy-and-security-of-agent-applications
系列九	Context Engineering 上下文工程	aws.amazon.com/.../...series-nine-context-engineering

引用的评估框架与工具

名称	来源	说明
AgentBoard	香港科技大学 NLP	多轮交互细粒度评估平台
AgentBench	清华大学	最广泛的多环境 Agent 评测基准
τ-bench	Sierra Research	用户-Agent-工具三方交互模拟评估
OpenTelemetry GenAI	CNCF	Agent 可观测性语义约定标准
Langfuse	开源	LLM 应用追踪与评估分析
MLflow 3.0	Databricks	模型实验追踪与部署管理

引用的记忆框架

名称	核心特点
Mem0	双 LLM 架构，智能去重与冲突解决
Letta（前 MemGPT）	虚拟内存概念，递归摘要压缩
LangMem	三种记忆类型，多 Agent 共享内存

引用的安全标准与事件

名称	说明
OWASP ASI (Agentic Security Initiative)	Agentic AI 15 大安全威胁框架
AgentSmith 漏洞（2024.11）	LangSmith Prompt Hub 身份与权限管理漏洞
CVE-2025-49596	MCP Inspector 远程命令执行漏洞
Backslash Security 报告（2025.06）	全球 MCP 服务器暴露面统计

引用的技术概念

概念	说明
Firecracker microVM	轻量级虚拟化技术，兼具 VM 安全与容器效率
MCP (Model Context Protocol)	Anthropic 提出的 AI 工具调用标准化协议
CLEAR 原则	上下文工程的提示词构建方法论（简练·逻辑·明确·适应·反思）
Confused Deputy Problem	MCP 架构中低权限用户通过高权限 Agent 越权的经典安全问题
Prompt Cache	缓存重复上下文前缀，缓存 Token 比标准输入低 90%
Lost in the Middle	LLM 更关注上下文开头和结尾、忽略中间信息的已知偏差

原文链接：

原始链接： https://mp.weixin.qq.com/s/HitzkToFmUykM-uoPwmVBA

侵权请联系站方： [email protected]