lijiaoqiao/review/comprehensive_expert_review_report_v2_2026-03-18.md

立交桥项目规划设计综合专家评审报告

报告版本：v3.0（多角色扩展版） 报告日期：2026-03-18 评审范围：架构、API、安全、业务、兼容性、可靠性、用户体验、测试质量、网关架构全维度

---

一、项目概述

1.1 项目背景

本项目为LLM Gateway（LLM网关），核心目标是：

• 整合多个LLM服务提供商（OpenAI、Anthropic、国内供应商等）
• 通过自研Router Core实现智能路由与Failover
• 逐步替代现有subapi子系统，实现自主可控
• 支持企业级商用：计费、结算、SLA、合规

1.2 参与评审的专家角色

角色	编号	评审维度	结论
架构负责人	E01	整体架构设计	CONDITIONAL GO
平台工程负责人	E02	平台可运维性	CONDITIONAL GO
SRE负责人	E03	可靠性与运维	CONDITIONAL GO
安全负责人	E04	安全与合规	CONDITIONAL GO
计费/数据负责人	E05	账务正确性	CONDITIONAL GO
合规/法务接口人	E06	合规可审计	待确认
产品负责人	E07	商用迁移	CONDITIONAL GO
重构项目专家	E08	替换路径	CONDITIONAL GO
LLM网关外部专家	E09	网关架构	CONDITIONAL GO
API安全攻防专家	E10	安全攻防	CONDITIONAL GO
高并发与流式专家	E11	流式可靠性	CONDITIONAL GO
测试负责人	E14	测试质量	CONDITIONAL GO
网关专家	E15	网关架构	CONDITIONAL GO
用户代表	E13	用户体验	CONDITIONAL GO

1.2 核心设计文档清单

文档	版本	日期
架构解决方案	v1.0	2026-03-18
API设计解决方案	v1.0	2026-03-18
安全解决方案	v1.0	2026-03-18
业务解决方案	v1.0	2026-03-18
综合评审发现	v1.0	2026-03-17

1.3 评审轮次记录

轮次	主题	状态	日期
Round-1	架构与替换路径	CONDITIONAL GO	2026-03-19
Round-2	兼容与计费一致性	CONDITIONAL GO	2026-03-22
Round-3	安全与合规攻防	CONDITIONAL GO	2026-03-25
Round-4	可靠性与回滚演练	CONDITIONAL GO	2026-03-29

---

二、各维度专家评审发现

2.1 架构维度（Round-1）

评审结论

CONDITIONAL GO - 需完成P0整改后进入下一阶段

发现问题汇总

编号	等级	问题描述	Owner	状态
R1-ISSUE-001	P0	子系统边界安全未闭环：内网隔离与mTLS尚未形成硬门禁任务	SEC+PLAT	待整改
R1-ISSUE-002	P1	迁移方案缺少"客户受影响时的沟通/SLA/补偿"标准流程	产品+CS+法务	待整改
R1-ISSUE-003	P1	P0/P1任务owner尚未实名，升级授权链路风险较高	PMO+ARCH	待整改
R1-ISSUE-004	P1	接管率验收口径历史存在canonical/alias混算风险，需固化分母	ARCH+FIN	待整改
R1-ISSUE-005	P1	评审角色需要扩展到"用户代表、测试专家、网关专家"	ARCH+评审秘书	待整改

架构方案评估

优点：

1. 采用Provider Adapter抽象层，架构解耦思路清晰
2. 分阶段验证策略合理（S2-A/B/C1/C2）
3. 目标接管率从60%调整至30-40%，风险可控
4. 双重记账+补偿事务设计，提升数据一致性

问题：

1. 内网隔离与mTLS未纳入硬门禁任务，P0风险
2. 适配器注册中心的健康检查逻辑为同步阻塞，存在性能隐患
3. 补偿队列重试次数仅3次，对于瞬时故障可能不足
4. 实时对账允许0.01元误差，需确认业务可接受

---

2.2 兼容与计费维度（Round-2）

评审结论

CONDITIONAL GO - 需完成P0整改后进入下一阶段

兼容差异清单

编号	风险等级	问题描述	Owner
R2-COMP-001	P1	接管率分母需严格限定canonical端点，禁止混入alias/空端点	ARCH+FIN
R2-COMP-002	P1	cn_platforms必须从配置中心读取，禁止SQL硬编码	PLAT+FIN
R2-COMP-003	P0	升级前必须有契约漂移CI阻断，失败即停止发布	QA+PLAT
R2-COMP-004	P0	高压场景下no-replay+切换策略需有固定回归报告	QA+SRE
R2-COMP-005	P1	已接入供应商能力矩阵未全量固化时，不得扩接新供应商	ARCH+PLAT

账务风险清单

编号	风险等级	问题描述	Owner
R2-BILL-001	P0	幂等冲突告警已定义，但需验证是否能阻断继续升波	FIN+SRE
R2-BILL-002	P1	用户侧争议SLA与补偿边界需形成对外可执行文本	产品+FIN+法务
R2-BILL-003	P1	升波审批缺少标准化账务抽样与trace证据包模板	QA+FIN

API方案评估

优点：

1. API版本管理策略完整，支持URL Path版本+废弃流程
2. 错误码体系覆盖认证、计费、路由、供应商、限流等场景
3. SDK规划清晰（Python、Node.js、Go）

问题：

1. 错误码文档未与OpenAPI规范完全对齐
2. SDK路线图S1仅支持"兼容层"，未明确自有API时间
3. 废弃版本警告头（Deprecation/Sunset）未在网关层强制生效

---

2.3 安全与合规维度（Round-3）

评审结论

CONDITIONAL GO - 需完成P0整改后进入下一阶段

安全问题清单

编号	风险等级	问题描述	Owner	截止日期
R3-SEC-001	P0	subapi内网隔离与公网不可达未完成验证	SEC+SRE	2026-03-20
R3-SEC-002	P0	网关<->subapi mTLS双向认证和轮换未完成演练	PLAT+SEC	2026-03-24
R3-SEC-003	P0	query key外拒内转边界未完成全链路强测	SEC+QA	2026-03-21
R3-SEC-004	P1	契约漂移CI阻断未形成强制门禁	QA+PLAT	2026-03-22
R3-SEC-005	P1	安全事件15分钟用户通知链路待实测	产品+CS	2026-03-22

合规待确认项

1. ToS审查结论：待法务确认（SEC-006）
2. 数据审计结论：待补充查询链路与导出证据样本
3. 低成本账号模块：需法务确认边界与用户告知条款一致性

安全方案评估

优点：

1. 计费数据防篡改机制完整（双重记账+审计日志+实时对账）
2. 跨租户隔离强化（强制租户上下文+RLS+二次验证）
3. 密钥轮换机制健全（生命周期+泄露应急+强制轮换）
4. 激活码安全升级（secrets.token_bytes + HMAC-SHA256）

问题：

1. 安全方案中未提及DDoS防护策略
2. 日志脱敏规则未明确定义
3. 密钥轮换的"自动轮换"仅在泄露时触发，日常轮换需加强

---

2.4 可靠性与回滚维度（Round-4）

评审结论

CONDITIONAL GO - 需完成P0整改后进入下一阶段

演练结果

项目	目标值	实际值	状态
自动回滚触发时间	<=10分钟	待演练	待验证
服务恢复时间	<=30分钟	待演练	待验证
数据一致性	无错误账务	待演练	待验证
用户通知时效	<=15分钟	待演练	待验证

后续整改项

编号	等级	整改项	Owner	截止日期
R4-REL-001	P0	三层降级策略演练脚本未形成发布门禁	ARCH+SRE	2026-03-25
R4-REL-002	P1	用户账务争议流程未与回滚演练联动验证	产品+FIN	2026-03-25
R4-REL-003	P1	升波证据包模板未在演练中完成实操	QA+SRE	2026-03-23

业务方案评估

优点：

1. 资金托管模式设计合理（Stripe+T+N结算）
2. 税务合规方案完整（代扣代缴+凭证生成）
3. Decimal精确计算解决浮点精度问题
4. 多维度结算风控（权重评分+分级处理）
5. 阶梯结算策略（分级门槛+动态限额）

问题：

1. 资金托管模式依赖Stripe，但国内供应商可能不支持
2. 结算风控的权重评分模型缺乏历史数据验证
3. 税务方案为示例税率，需法务确认实际适用税率

2.5 用户体验维度（用户代表评审）

评审结论

CONDITIONAL GO - 需完成P0整改后进入下一阶段

关键风险

编号	等级	问题描述	Owner	截止日期
UXR-001	P0	迁移旅程验收走查（含通知链路）未完成	用户代表	2026-03-22
UXR-002	P1	账务争议流程演练与反馈闭环未完成	产品+FIN	2026-03-25

Red vs Blue 博弈

观点	主张	裁决
Red	先做技术替换，用户沟通后补，会更快	-
Blue	没有用户侧承诺，迁移中断会直接伤害续费与口碑	客户信任优先

用户体验方案评估

优点：

1. 迁移旅程设计包含通知链路（15分钟 SLA）
2. 账务争议处理有流程草案
3. 回退指引设计方案已考虑

问题：

1. 缺少"迁移中断时用户可自助止血"的最小工具（一键切换备用入口）
2. 未形成对外SLA承诺模板
3. 用户可见状态页/告警消息未完成实测

---

2.6 测试质量维度（测试专家评审）

评审结论

CONDITIONAL GO - 需完成P0整改后进入下一阶段

关键风险

编号	等级	问题描述	Owner	截止日期
TST-001	P0	契约漂移检测未接入CI阻断	QA+PLAT	2026-03-22
TST-002	P0	流式+Failover高压回归套件未完成	QA+SRE	2026-03-24
TST-003	P1	升波证据包标准化未在演练中实操	QA+SRE	2026-03-23

Red vs Blue 博弈

观点	主张	裁决
Red	核心链路手工回归即可，自动化先不做全量	-
Blue	S2阶段变更频率高，手工回归无法稳定阻断风险发布	自动化阻断+手工抽检双轨

测试方案评估

优点：

1. 已有验收用例清单
2. 契约漂移检测有设计方案
3. 流式边界测试有初步考虑

问题：

1. 自动化回归证据链不完整
2. 流式no-replay与failover组合场景缺少高压故障注入报告
3. 接管率统计口径需长期漂移监控机制

---

2.7 网关架构维度（网关专家评审）

评审结论

CONDITIONAL GO - 需完成P1整改后进入下一阶段

关键风险

编号	等级	问题描述	Owner	截止日期
GAT-001	P1	Provider能力矩阵与缺口清单未完成	ARCH+PLAT	2026-03-22
GAT-002	P0	三层降级策略与演练脚本未形成门禁	ARCH+SRE	2026-03-25
GAT-003	P1	Adapter SPI版本兼容规范未完成	ARCH+PLAT	2026-03-26

Red vs Blue 博弈

观点	主张	裁决
Red	优先快速接入更多供应商，治理后置	-
Blue	没有能力分层和降级策略，规模越大越难收敛风险	先矩阵治理再扩容

网关方案评估

优点：

1. Provider Adapter抽象层设计清晰
2. 三层降级策略设计完整（同平台换号/同区域换平台/全局降级）
3. 适配器注册中心有fallback机制

问题：

1. Provider能力矩阵未全量固化
2. 适配器接口稳定性缺乏长期治理规范
3. 降级策略演练未通过实测

---

2.8 安全攻防维度（安全专家补充评审）

评审结论

CONDITIONAL GO - 需完成P0整改后进入下一阶段

补充安全问题清单

编号	等级	问题描述	Owner	截止日期
SEC-007	P0	subapi内网隔离与公网不可达验证未完成	SEC+SRE	2026-03-20
SEC-008	P0	网关<->subapi mTLS双向认证和轮换演练未完成	PLAT+SEC	2026-03-24
SEC-009	P0	query key外拒内转边界全链路强测未完成	SEC+QA	2026-03-21

安全方案补充评估

优点：

1. 安全方案设计完整（计费防篡改、跨租户隔离、密钥轮换）
2. 激活码安全升级方案合理
3. 审计日志设计覆盖变更前后

问题：

1. 网络边界与mTLS验证未完成实测
2. DDoS防护策略未明确定义
3. 日志脱敏规则未明确

---

三、P0问题汇总与优先级

4.1 未关闭P0问题（阻断上线）

编号	来源	问题描述	Owner	逾期风险
R1-ISSUE-001	R1-架构	子系统边界安全未闭环	SEC+PLAT	高
R2-COMP-003	R2-兼容	契约漂移CI阻断未形成强制门禁	QA+PLAT	高
R2-COMP-004	R2-兼容	流式+Failover高压回归未完成	QA+SRE	高
R2-BILL-001	R2-计费	幂等冲突告警阻断能力未验证	FIN+SRE	高
R3-SEC-001	R3-安全	subapi内网隔离未验证	SEC+SRE	极高
R3-SEC-002	R3-安全	mTLS双向认证未演练	PLAT+SEC	极高
R3-SEC-003	R3-安全	query key边界未全链路强测	SEC+QA	高
R4-REL-001	R4-可靠性	三层降级策略未形成门禁	ARCH+SRE	高
UXR-001	用户代表	迁移旅程验收走查未完成	用户代表	高
TST-001	测试专家	契约漂移检测未接入CI	QA+PLAT	高
TST-002	测试专家	流式+Failover回归未完成	QA+SRE	高
SEC-007	安全专家	内网隔离验证未完成	SEC+SRE	极高
SEC-008	安全专家	mTLS双向认证演练未完成	PLAT+SEC	极高
SEC-009	安全专家	query key边界强测未完成	SEC+QA	高

P0问题总计：14项，全部未关闭

3.2 问题优先级矩阵

严重程度
  高 ↑
       │
   P0  │  R1-ISSUE-001  R2-COMP-003  R2-COMP-004  R2-BILL-001
       │  R3-SEC-001    R3-SEC-002  R3-SEC-003  R4-REL-001
       │
   P1  │  R1-ISSUE-002  R1-ISSUE-003  R1-ISSUE-004  R1-ISSUE-005
       │  R2-COMP-001    R2-COMP-002  R2-COMP-005  R2-BILL-002
       │  R2-BILL-003    R3-SEC-004    R3-SEC-005    R4-REL-002
       │  R4-REL-003
       │
   低  └─────────────────────────────────────────────────→ 影响范围
              单模块           多模块           全局

三、新增专家角色评审汇总

3.1 评审角色清单

角色	专家编号	评审主题	评审结论
用户代表	E13	迁移可用性与商业可接受性	CONDITIONAL GO
测试专家	E14	质量门禁与回归可证据性	CONDITIONAL GO
网关专家	E15	网关架构可替换性与运行风险	CONDITIONAL GO
安全专家	E04/E10	安全攻防与合规	CONDITIONAL GO

3.2 新增P0问题汇总

编号	来源	问题描述	Owner	截止日期
UXR-001	用户代表	迁移旅程验收走查（含通知链路）未完成	用户代表	2026-03-22
TST-001	测试专家	契约漂移检测未接入CI阻断	QA+PLAT	2026-03-22
TST-002	测试专家	流式+Failover高压回归套件未完成	QA+SRE	2026-03-24
GAT-002	网关专家	三层降级策略与演练脚本未形成门禁	ARCH+SRE	2026-03-25
SEC-007	安全专家	subapi内网隔离与公网不可达验证未完成	SEC+SRE	2026-03-20
SEC-008	安全专家	网关<->subapi mTLS双向认证演练未完成	PLAT+SEC	2026-03-24
SEC-009	安全专家	query key外拒内转边界全链路强测未完成	SEC+QA	2026-03-21

---

四、P0问题汇总与优先级（更新版）

4.1 各维度评分（满分5分）

维度	得分	说明
架构合理性	3.5	适配器抽象优秀，但内网隔离未闭环
API设计	4.0	版本管理+错误码完善，SDK需加快
安全防护	3.0	方案设计良好，但多项未落地验证
业务合规	3.5	资金/税务/风控设计合理，待法务确认
计费精度	4.0	Decimal+双重记账，精度有保障
可靠性	3.0	降级策略设计好，演练未完成
兼容性	3.5	契约测试有设计，执行待加强
用户体验	3.0	迁移方案有设计，通知/SLA未闭环
测试质量	3.0	用例设计好，自动化门禁未完成
网关架构	3.5	适配器抽象好，能力矩阵未固化

4.2 总体评估

项目优势：

1. 架构思路清晰，Provider Adapter抽象合理
2. 设计文档完整，覆盖架构/API/安全/业务
3. 专家评审机制完善，4轮评审发现大量问题
4. 解决方案针对性较强，P0问题均有对应修复方案

主要风险：

1. P0问题未全部关闭：14个P0问题中仅完成0个，存在上线阻断风险
2. 安全验证未完成：内网隔离、mTLS、边界测试均未通过实测
3. 演练未执行：可靠性演练目标值未达成
4. 用户体验未闭环：迁移通知链路、SLA承诺未完成实测
5. 测试门禁未完成：CI阻断、自动化回归未完成
6. 法务合规待确认：ToS审查、数据审计、税务合规尚未明确

---

五、整改建议

5.1 立即行动项（P0，必须在本周内完成）

来自各角色专家的P0问题：

1. SEC-007/R3-SEC-001：完成subapi内网隔离验证，形成可执行报告
2. SEC-008/R3-SEC-002：完成网关<->subapi mTLS双向认证演练
3. SEC-009/R3-SEC-003：完成query key边界全链路强测
4. R2-COMP-003/TST-001：将契约漂移检测接入CI，失败即阻断发布
5. TST-002：完成流式+Failover高压回归套件
6. R4-REL-001/GAT-002：完成三层降级策略演练脚本，形成发布门禁
7. UXR-001：完成迁移旅程验收走查与通知链路实测

5.2 短期整改项（P1，3月底前完成）

1. 固化接管率验收口径（canonical端点）
2. 完善cn_platforms配置化管理
3. 明确用户账务争议SLA与补偿机制
4. 完成供应商能力矩阵固化
5. 补充升波审批标准化证据包模板

5.3 中期完善项（P2，4月底前完成）

1. 法务ToS审查确认
2. 数据审计链路完善
3. SDK开发（Python/Node.js）
4. 密钥日常轮换机制强化
5. DDoS防护策略补充

---

六、结论与决议建议

6.1 当前状态

基于4轮+多角色专家评审，项目尚未达到可上线标准，主要原因：

• P0问题关闭率：0/14 (0%)
• 安全验证完成度：低
• 可靠性演练完成度：低

6.2 决议建议

建议选项	说明
NO-GO	建议选择。P0问题未关闭，上线风险极高
CONDITIONAL GO	仅当P0问题在本周内全部验证通过后可考虑
GO	不建议。当前状态不符合企业商用标准

6.3 后续行动

1. 立即召开P0问题攻坚会：每天跟进，目标是3月31日前关闭所有P0
2. 加强测试与演练投入：SRE+QA联合执行，确保可靠性指标可度量
3. 法务合规并行推进：ToS审查、数据审计需在4月15日前给出结论
4. 重新评审：P0问题全部关闭后，重新组织Round-5评审

---

附录：评审材料索引

核心设计文档

• docs/architecture_solution_v1_2026-03-18.md
• docs/api_solution_v1_2026-03-18.md
• docs/security_solution_v1_2026-03-18.md
• docs/business_solution_v1_2026-03-18.md
• docs/subapi_design_comprehensive_review_findings_v1_2026-03-17.md
• docs/subapi_role_based_review_wargame_optimization_v1_2026-03-18.md

评审记录（4轮基础评审）

• review/rounds/round1_architecture_review.md
• review/rounds/round2_compat_billing_review.md
• review/rounds/round3_security_compliance_review.md
• review/rounds/round4_reliability_wargame_review.md

多角色联合评审

• review/experts_roster_2026-03-18.md - 专家名册
• docs/subapi_role_based_review_wargame_optimization_v1_2026-03-18.md - 用户/测试/网关专家评审

决策文件

• review/final_decision_2026-03-31.md

---

报告编制：专家评审组（架构/安全/业务/用户/测试/网关多角色）
审核日期：2026-03-18
版本：v3.0