# Subapi 集成专家审核与博弈机制（v1）

- 版本：v1.0
- 日期：2026-03-17
- 适用范围：S1-S2（集成 subapi + 逐步替换 + 企业级商用达标）
- 关联文档：
  - `llm_gateway_subapi_evolution_plan_v2_2026-03-17.md`
  - `router_core_takeover_execution_plan_v3_2026-03-17.md`
  - `subapi_integration_compat_security_reliability_design_v1_2026-03-17.md`
  - `subapi_integration_risk_controls_execution_tasks_v1_2026-03-17.md`

## 1. 机制目标

1. 在实施前对架构、兼容、安全、可靠性和商业可运营性做“全面独立审查”。
2. 通过“对抗式博弈（Red vs Blue）”提前暴露盲点，而不是上线后被事故教育。
3. 形成可执行的 GO / CONDITIONAL GO / NO-GO 决策与整改清单。

## 2. 专家组成（建议 9-11 人）

## 2.1 内部专家（必选）

1. 架构负责人（Router Core 负责人）。
2. 平台工程负责人（CI/CD、发布与配置）。
3. SRE 负责人（稳定性与故障恢复）。
4. 安全负责人（应用安全 + 云安全）。
5. 计费/财务数据负责人（对账与幂等）。
6. 合规/法务接口人（ToS、审计与数据合规）。
7. 产品负责人（商用目标与边界）。
8. 测试负责人（兼容回归与质量门禁）。

## 2.2 外部专家（建议）

1. LLM 网关实战专家（有多供应商网关生产经验）。
2. 攻防专家（API 安全、SSRF、密钥泄漏与供应链风险）。
3. 高并发系统专家（流式、重试、背压与故障隔离）。
4. 可选：企业采购/交付顾问（SLA、审计、交付可行性）。
5. 核心用户代表（迁移试点客户，验证真实可用性）。
6. 重构项目专家（大规模替换路径与技术债治理）。

## 2.3 回避与独立性规则

1. 同一模块负责人不能单独裁定自己模块通过。
2. 安全与法务拥有一票否决权（P0 风险未关闭时）。
3. 所有评审结论必须记录反对意见，不允许“口头通过”。

## 3. 博弈规则（防止形式主义评审）

## 3.1 Red Team vs Blue Team

1. Blue Team：提出当前方案“为何可行”。
2. Red Team：站在“攻击者 + 故障 + 合规审计 + 客户投诉”视角拆解方案。
3. 每轮必须回答三个问题：
- 这个设计最先会在哪个条件下失败？
- 失败后会造成什么业务损失？
- 30 分钟内如何止血并可审计复盘？

## 3.2 强制替代方案对比

每个关键决策至少对比 2 个方案（例如：
`subapi 外部模块化` vs `深度 fork`），并给出：

1. 复杂度成本。
2. 失败半径。
3. 回滚难度。
4. 团队运维负担。

## 3.3 预演失败（Pre-mortem）

假设“2026-06-30 项目失败”，倒推失败原因并映射到当前行动项：

1. 兼容回归导致客户 SDK 大面积失败。
2. 账务冲突引发客户争议与财务风险。
3. 安全配置疏漏导致 SSRF/密钥风险事件。
4. 运维流程复杂导致故障恢复超时。

## 4. 审核维度与评分模型

## 4.1 评分维度（100 分制）

| 维度 | 权重 | 核心问题 |
|---|---:|---|
| 兼容性 | 25 | 协议、错误语义、流式边界是否稳定 |
| 安全性 | 25 | SSRF、鉴权、密钥、供应链与审计是否可控 |
| 可靠性 | 20 | 故障隔离、熔断、回滚、恢复时间是否达标 |
| 运维简化 | 15 | 是否可标准化操作，是否减少人肉介入 |
| 账务正确性 | 10 | 幂等、对账、冲突告警是否闭环 |
| 合规可审计 | 5 | ToS、审计链、证据导出是否完整 |

## 4.2 通过门槛

1. 总分 >= 85。
2. 任一维度不得低于 70。
3. 安全/合规存在 P0 未闭环：直接 NO-GO。

## 5. 四轮审核流程（建议）

## Round-1：架构与替换路径审核（2026-03-19）

1. 输入：v2/v3 规划文档、替换路径图、接口边界。
2. 重点：是否能从“集成”平滑走到“替换”，且不锁死在 subapi。
3. 输出：架构问题清单（含优先级与 owner）。
4. 必邀角色：架构负责人、重构项目专家、网关专家、核心用户代表。

## Round-2：兼容与计费一致性审核（2026-03-22）

1. 输入：Connector 契约、接管率 SQL、验收用例。
2. 重点：协议兼容、错误归一、流式 no-replay、幂等扣费。
3. 输出：兼容差异矩阵 + 账务风险清单。
4. 必邀角色：测试专家、网关专家、计费负责人、核心用户代表。

## Round-3：安全与合规攻防审核（2026-03-25）

1. 输入：配置硬化基线、认证链路、ToS 风险台账。
2. 重点：query key、SSRF、出网策略、凭证安全、审计可追溯。
3. 输出：安全整改单（P0/P1/P2）+ 合规结论。
4. 必邀角色：安全负责人、测试专家、法务接口人、安全攻防专家。

## Round-4：可靠性与运维演练审核（2026-03-29）

1. 输入：告警看板、Runbook、回滚脚本。
2. 重点：升级失败自动回退、30 分钟恢复、值班可执行性。
3. 输出：演练报告 + GO/CONDITIONAL GO/NO-GO 决议。
4. 必邀角色：SRE、测试专家、产品负责人、核心用户代表。

## 6. 决策与治理机制

## 6.1 决策类型

1. `GO`：可按计划推进。
2. `CONDITIONAL GO`：允许推进，但必须在明确日期前关闭指定问题。
3. `NO-GO`：冻结升波，先整改后复审。

## 6.2 一票否决条件（任一满足）

1. 存在未闭环安全 P0 风险。
2. 存在账务正确性 P0 风险。
3. 无法在 30 分钟内完成回滚恢复演练。
4. 法务未给出 ToS 风险可接受结论。

## 6.3 争议升级路径

1. 技术争议：架构负责人 + SRE + 安全三方联裁。
2. 商业/合规争议：产品负责人 + 法务 + 管理层联裁。
3. 所有联裁必须形成 ADR（Architecture Decision Record）。

## 7. 必备评审材料（会前 24h 发出）

1. 架构图与替换路线图（现状/目标/过渡）。
2. 接口契约与兼容差异报告。
3. 风险清单（含 P0/P1/P2、状态、owner、截止日期）。
4. 近两周指标快照（P95、5xx、接管率、账务冲突率）。
5. 上次整改项关闭证据。

## 8. 评审输出模板（必须留档）

1. 评分表（总分 + 分维度评分）。
2. 问题清单（编号、等级、负责人、截止日期）。
3. 决议结果（GO/CONDITIONAL GO/NO-GO）。
4. 风险接受记录（谁批准、基于什么证据）。

## 9. 与两周任务单的绑定方式

1. 每轮专家评审都要映射到任务单任务 ID（COMP/SEC/REL/EXP）。
2. 若评审新增问题，必须生成新任务 ID 并进入 daily gate。
3. Round-4 决议是两周验收（2026-03-31）的前置条件。
4. 三角色联合复审（`EXP-007`）是 `EXP-006` 最终决议前置条件之一。

## 10. 立即可执行动作（本周）

1. 确认专家名单与角色映射（内部 + 外部）。
2. 发布 Round-1 邀请与会前材料清单。
3. 指定评审秘书，负责记录与问题跟踪。
4. 将评审结论同步到风险任务单与周报。

## 11. 已准备好的执行模板（可直接使用）

1. 专家名单与回避：`review/experts_roster_2026-03-18.md`
2. 邮件邀请模板：`review/templates/expert_invitation_email_templates_2026-03-17.md`
3. IM 邀请模板：`review/templates/expert_im_message_templates_2026-03-17.md`
4. 外部专家保密与回避声明：`review/templates/external_expert_nda_coi_template_2026-03-17.md`
5. 评分表模板：`review/templates/expert_review_scorecard_2026-03-17.md`
6. 会议纪要模板：`review/templates/expert_review_minutes_template_2026-03-17.md`
7. 问题台账模板：`review/templates/expert_issue_register_template_2026-03-17.md`
8. 邀请发送跟踪台账：`review/invitation_dispatch_tracker_2026-03-17.md`
9. 邀请发出前检查单：`review/dispatch_ready_checklist_2026-03-17.md`

## 12. 三角色联合评审输入（新增）

为强化“用户可接受性 + 质量阻断 + 网关可替换性”的联合校验，新增：

1. `subapi_role_based_review_wargame_optimization_v1_2026-03-18.md`
   - 用户代表、测试专家、网关专家三角色的 Red/Blue 博弈结论
   - 新增任务 `UXR/TST/GAT/EXP-007` 映射
   - 作为 Round-2 与 Round-4 的强制预读材料