第二节 — 上位继承与不变量
这一节回答:FinBayes 的工程实现必须承接哪些战略层事实。
FinBayes 是什么
FinBayes 是金融认知层应用。它把用户的自然语言问题映射为金融认知任务,调度多 Agent 与金融原子技能执行,产出条件化、可复盘、带不确定性意识的认知材料。用户基于这些材料形成自己的判断与决策;买卖、调仓、转账、自动交易等执行能力由用户或下游执行系统承接。
战略边界
FinBayes 不直接下单, 也不持有账户凭证。
工程层承接:runtime 范围只包含金融认知任务的处理,不实现交易执行能力;工具注册表对执行类工具的注册请求一律拒收;状态写入路径不保留可触发执行的凭证或权限令牌。
凭证处理
金融执行凭证——私钥、助记词、钱包恢复短语、交易所登录凭证、交易所 API key、经纪商 API key、银行账户、信用卡等——FinBayes 一律不收、不存、不训练, 即使为了"提升服务质量" 也不收。
工程层的三个机械承接:
- 不收:输入端识别凭证类信息后给安全回应,不进入认知任务处理链
- 不存:状态对象、缓存、日志、审计 trail 一概不保留凭证内容;输出端扫描防止大模型生成凭证样式的内容被意外捕获
- 不训练:凭证内容不进入反馈数据、评估样本、微调数据
金融执行凭证 vs 本机配置秘密:两者必须严格区分。
- 金融执行凭证:用户在金融账户上的支配权(私钥 / 助记词 / 交易所 API key / 等),归本节管辖
- 本机配置秘密:用户自己的运行环境秘密(大模型 Provider key、数据 Provider key、本地服务 token 等),按本机安全存储正常处理,不属于本节管辖
界面上必须明确区分两类秘密,避免用户混淆。
用户主权
用户对自己的画像保有完整控制权:随时查看、修改、清空整个画像。用户清空时系统显式提示"协作上下文已重置"。
画像服务于沟通效率(表达密度、术语深度选择),不进入证据筛选——综合层产出的反方证据、关键风险、失效条件按事实空间生成,不因画像偏好被裁剪。
任务类型与认知要素
FinBayes 第一阶段识别七类用户认知任务(来自产品定义文档,本文不增不减不改名):
- 解释类:理解金融概念 / 机制 / 现象
- 分析类:围绕事件 / 数据 / 变化展开认知组织
- 比较类:多个金融对象的维度化对比
- 复盘类:触发历史判断的成立条件 / 当前变化 / 是否仍成立
- 风险识别类:主动识别下行风险 / 反方 / 盲点
- 交易准备类:交易前的条件 / 风险 / 反方 / 失效边界检查
- 交易决策辅助:聚焦具体决策点的条件化判断
每类任务按需组合产品定义文档里定义的认知要素(结论 / 倾向 / 依据 / 多视角 / 反方证据 / 成立条件 / 失效条件 / 不确定性 / 信息缺口 / 来源与时间戳 / 可继续追问项 / 历史判断链接)。不固化字段表,按任务类型动态组合。
与战略未决问题相关的参数
战略白皮书把"商业模式整体压力测试、单位经济、vs 通用 AI 留存竞争、L1-L3 商业强度"列为战略层未决问题。工程层涉及这些问题的参数全部走配置文件,由商业团队 + 产品团队基于冷启动数据填写:
- 每次任务的大模型调用次数上限
- 单用户同时进行中的任务数上限
- 主动信号每用户每天触发上限
- 不同用户层级的服务边界(使用频率、持续支持时长、主动反馈能力)
- 付费转换点的触发条件
具体的配置文件路径在"演化与版本管理"那节定义。
概念使用约定
本文档术语与战略白皮书保持一致。用"交易准备 / 交易决策 / 交易行动"系列措辞;不用"行动准备 / 行动判断 / 行动方案"系列。
如下游实施中发现需要引入战略白皮书未授权的新概念,必须先在战略白皮书或产品定义文档里授权(走 governance change-protocol),不在工程文档里自创。
本文档变更时的快速核查
本文档每次改动时,下列 grep 级核查作为变更评审的必要条件:
- 战略边界原句 "FinBayes 不直接下单, 也不持有账户凭证" 仍然出现在文档中
- 凭证条款原句 "一律不收、不存、不训练" 仍然出现在文档中
- 七类任务类型措辞与产品定义文档完全一致
- 战略未决问题相关的参数文中未出现具体数值(必须是配置文件指针 / 占位符)
这些是文档表面完整性的快速核查,不替代实质语义 review。变更评审还需配套人工核查:被禁概念是否以同义改写 / 结构隐藏 / 英文替换等方式被引入文档。这两层检查的角色分工详见架构目标章节下的战略保真度质量属性。