AI技术
AI技术

RTX Spark 架构解剖 · 微软 ACS Agent 安全栈 · MiniMax MSA 稀疏注意力

2026-06-03 Wednesday
🎧 听书

专题一:NVIDIA RTX Spark (GB10) 架构解剖——统一内存如何让笔记本跑 120B 模型

黄仁勋 GTC 2026 主题演讲完整版(157.5万播放)

NVIDIA RTX Spark GB10 超级芯片
GB10 超级芯片:70亿晶体管,台积电3nm,内含20核Grace ARM CPU + Blackwell GPU + 128GB统一内存(来源:Tom's Hardware)

不是一块 GPU,是一个 SoC

GB10 是一颗完整的系统级芯片。NVIDIA 与联发科联合设计,台积电 3nm 制程,70 亿晶体管,在一个封装内整合了:

  • 20 核 Grace ARM CPU(10×Cortex-X925 + 10×Cortex-A725)
  • Blackwell GPU(6,144 CUDA Cores + 第五代 Tensor Cores)
  • 128GB LPDDR5X 统一内存(256-bit 接口 @ 8533 Mbps,273 GB/s)
  • NVLink-C2C 片间互联(600 GB/s 聚合带宽)

TDP 仅 140W(芯片级),系统级 240W。整机尺寸 150×150×50.5mm。

统一内存:不只是"共享",是硬件缓存一致性

这是 GB10 最关键的架构决策。传统 PC 中 CPU 用 DDR 内存、GPU 用 GDDR 显存——两套独立的物理地址空间。跑大模型时,模型权重在 CPU 内存和 GPU 显存之间通过 PCIe 来回搬运,延迟约 50μs,带宽受限于 PCIe 5.0 x16 的 64 GB/s。

GB10 的解决方案不是简单的"物理上共享同一片 LPDDR5X",而是实现了硬件级缓存一致性

地址翻译路径:GPU 通过 ATS(Address Translation Services)发出地址翻译请求 → GPU MMU → 系统 MMU → 返回物理地址。GPU 的 L2 Cache(24MB)使用物理标记(Physical Tag),直接放置在系统物理地址空间。CPU 和 GPU 线程可以同时、透明地访问同一块物理内存,粒度到缓存行。

缓存一致性协议:基于 ARM AMBA CHI(Coherent Hub Interface),支持 CXL 互操作。CPU 可以缓存行粒度地缓存 GPU 内存,GPU 同样可以缓存 CPU 内存。不需要 cudaMemcpy,不需要页面迁移。

这意味着什么:一个 120B 参数的模型(约 240GB FP16),不再需要拆成"CPU 加载一部分、GPU 加载一部分、推理时来回搬运"。整个模型常驻统一内存池,推理时 CPU 和 GPU 各自访问需要的部分,带宽瓶颈消失。

场景传统 PC(RTX 5090)GB10提升
CPU→GPU 搬运延迟~50μs (PCIe)~5μs (NVLink-C2C)10×
最大本地模型~70B(量化,显存放得下才行)~120B+(统一内存常驻)质的飞跃
并行 Agent 数2-3 个(显存紧张)8-10 个3×+
上下文窗口~32K tokens(显存限制)百万级 tokens30×+

NVLink-C2C 和 PCIe 不是同一类东西。关键差异:

维度PCIe 5.0 x16NVLink-C2C (GB10)
带宽64 GB/s 单向600 GB/s 聚合(≈PCIe 的 5×)
链路功耗~6 pJ/bit1.3 pJ/bit(能效 4.6×)
缓存一致性无硬件级支持AMBA CHI 全一致性
物理层差分信号40 Gbps/pin 单端
用途外设互联Die-to-Die 互联

NVLink-C2C 本质上是 die-to-die 互联协议,不是外设总线。在 GB10 中,它连接的是同一封装内的 S-dielet(系统小晶粒,含 CPU + 内存控制器)和 G-dielet(GPU 小晶粒)。600 GB/s 的带宽意味着 GPU 访问 CPU 侧内存的延迟和带宽,与访问自己的本地内存几乎没有区别。

FP4 Tensor Core:1 PFLOP 是怎么算出来的

第五代 Tensor Core 引入 FP4 精度(上一代 Hopper 是 FP8),这是算力跳到 1 PFLOP 的关键。

FP4 每个数只占 4 位,但精度损失是显然的。NVIDIA 的解决方案是 Micro-Tensor Scaling(第二代 Transformer Engine):将矩阵分块,每个块内独立计算缩放因子(scaling factor),用低精度 Tensor Core 模拟高精度矩阵运算。

实际上,FP4 模式下的有效精度接近 FP8,但带宽需求减半。这意味着同等内存带宽下,支持的模型规模翻倍——这正是 GB10 能以 128GB 内存跑 120B+ 模型的数学基础。

GB10 vs GH200:从数据中心到桌面的架构降维

维度GB10 (DGX Spark)GH200 (Grace Hopper)
CPU20核 ARM (X925+A725)72核 ARM Neoverse V2
GPUBlackwell 6144 CUDAHopper H100/H200
NVLink-C2C600 GB/s900 GB/s
内存128GB LPDDR5X @ 273 GB/s最高 512GB + HBM3
AI 算力1 PFLOP FP44 PFLOPs (H200)
TDP140W(芯片)最高 1000W
价格$3,999~$150,000
尺寸桌面小型工作站标准 19" 机架

GB10 不是 GH200 的缩水版——它是把 Grace Hopper 的架构理念(CPU+GPU 统一内存)从数据中心降维到桌面端的产物。$3,999 的价格对标 Mac Studio,但能本地跑 120B 模型这件事,Mac 做不到。


专题二:微软 ACS Agent 安全框架——Agent 的"防火墙"是如何工作的

黄仁勋 GTC 2026 中英精校完整版

ACS 的本质:不是网络防火墙,是"思维链防火墙"

传统防火墙拦截网络包。ACS(Agent Control Specification)拦截的是 Agent 的工具调用决策

架构分为三层:

  1. 平台层:Agent 平台(如 Azure AI Foundry、Copilot Runtime)暴露标准化的中间件钩子
  2. 执行层:开源 SDK 读取声明式控制策略,在钩子点执行 allow/deny/modify 判定
  3. 企业层:行业定制分类器(金融合规、医疗隐私等)

五个运行时拦截点:

拦截点时机可执行动作典型场景
Pre-input用户输入到达 Agent 时过滤敏感词、拒绝越狱提示阻止 “ignore previous instructions”
Pre-toolAgent 决定调用工具前allow/block/redact 工具调用阻止 Agent 访问未授权的 API
Post-tool工具返回结果后检查返回内容是否含敏感信息拦截意外泄露的 PII 数据
Pre-outputAgent 生成最终回复后过滤有害内容、添加免责声明阻止 Agent 输出系统提示词
子 Agent 调用Agent 派生子任务时限制子 Agent 权限范围防止权限提升攻击

每一个拦截点都是一次策略评估——由 Guardian Agent(一个确定性的规则引擎,非 LLM)执行,延迟在毫秒级。

MDASH:100+ Agent 协作的代码审计系统

这是微软内部实际在用的漏洞扫描系统,2026 年 5 月公开了技术细节。

四阶段流水线

  1. 扫描(Scan):多个异构模型各自注入特定软件目标进行扫描(不同模型擅长发现不同类型的漏洞)
  2. 验证(Verify):SOTA 模型推理 + 蒸馏小模型作为低成本"辩手" + 另一个 SOTA 模型作为独立 Counterpoint——三方交叉验证
  3. 去重(Dedup):专门的领域 Agent 审计全流程,合并重复发现
  4. 证明(Prove):生成包含漏洞意见的完整报告,可注入外部分析数据库(CodeQL、内核调用约定、IRP 规则、锁不变量等)

战绩:CyberGym 公开基准 88.45%(188 个开源项目、1507 个真实漏洞),领先第二名约 5 个百分点。在 Windows 网络栈中发现了 16 个新漏洞(含 4 个 Critical RCE),对 tcpip.sys 的召回率达到 100%。

MCP 在 Windows 11 的内核级集成

Build 2026 的核心叙事不是新功能,而是将 MCP(Model Context Protocol)嵌入操作系统:

  • MCP Registry:统一的、安全的 MCP 服务发现源
  • 三大角色:MCP Host(AI 工具)、MCP Client(发起请求)、MCP Server(暴露应用能力)
  • 安全控制:身份管理、环境隔离、同意门控(consent gating)
  • 企业管控:通过 Azure API Management 统一管理、日志、监控和审计

这意味着 Windows 应用可以声明自己的 MCP 能力(“我是一个邮件客户端,允许 Agent 读取和发送邮件”),Agent 通过标准化协议访问,每次访问都经过 ACS 策略引擎的拦截和审批。

与 Google 的技术路线对比

维度微软 (ACS + MCP)Google (Managed Agents)
安全模型运行时 4 层拦截 + 确定性 Guardian托管沙箱 + Gemini 企业平台
沙箱技术Hyper-V 硬件虚拟化隔离远程 Linux 环境
Agent 协议MCP + A2AMCP + A2A
开源安全工具RAMPART, Clarity, MDASH, PyRIT较少公开
代码审计100+ Agent 多模型协作未公开

微软的策略是"操作系统级 Agent 安全栈"——从内核虚拟化(MXC)到应用层拦截(ACS)到持续测试(RAMPART),形成纵深防御。Google 的策略是"托管平台安全"——让 Agent 在 Google 控制的环境中运行,平台负责隔离。


专题三:MiniMax MSA 稀疏注意力——O(n²) 到 O(n log n) 的工程突破

AI技术架构对比
注意力机制演进:从全注意力的 O(n²) 到 MSA 块稀疏的 O(n log n)

MSA 不是线性注意力

MiniMax M3 的技术路线很明确:不走线性注意力的捷径,而是用块稀疏保持 Softmax 的全部表达能力

M1 用过 Lightning Attention(线性注意力),M2 回归全注意力,M3 选择第三条路——块稀疏 GQA。

双分支架构:Index Branch + Sparse Branch

Step 1 — Index Branch(低成本扫描)

  • 每个 GQA 组共享一个索引查询(Q_idx),对应一个共享的索引 Key(K_idx)——只有 一个头
  • Q_idx × K_idx^T 的计算成本几乎为零(1 个头 × n × d_k,约为标准多头的 1/32)
  • Block Max Pool:将 n 个 token 按块(如 64 token/块)聚合,取每块最大注意力分数
  • TopK 选择:决定保留哪些 KV 块。在 100 万 token 下,每个查询仅选择约 6%-7% 的块

Step 2 — Sparse Branch(真实注意力计算)

  • 使用标准的 GQA 注意力(Q ∈ ℝ^(n×H×d),K,V ∈ ℝ^(n×h×d))
  • 仅对 Step 1 选中的块子集计算真实 Softmax 注意力
  • 同一 GQA 组内查询头共享同一个 TopK 选择结果——一块 KV 只读一次、访存连续
  • 可直接沿用 FlashAttention 风格的 GPU 核函数,零修改

复杂度分析

全注意力每次前向:O(n²·d),n=1M 时约为 10^12 次运算。

MSA:索引分支 O(n·d) + 稀疏分支 O(k·n·d),其中 k ≈ 0.06n。总复杂度 O(0.06·n²·d) → 约 16.7× 加速,官方报告的 decode 加速正好是 15.6×,prefill 加速 9.7×。

单 token 推理的 KV Cache 访问量从 M2 的全量扫描降至约 1/20

三个刻意的"减法"设计

1. 选 GQA 而非 MLA: DeepSeek 的 MLA(Multi-head Latent Attention)压缩 KV Cache 很激进,但需要特殊的推理引擎适配。MSA 选 GQA,vLLM/SGLang/FlashAttention 核函数几乎零修改复用

2. 只保留选择分支: DeepSeek NSA 有三路并行(压缩分支 + 选择分支 + 滑动窗口)。MSA 砍掉另外两路——滑动窗口被 RoPE + Attention Sink 替代,压缩分支被"单头 K + 块最大池化"吸收。

3. 块级选择 + 真实 K/V 计算: 不压缩 KV Cache。代价是 KV Cache 体积不变(内存换质量),好处是 Softmax 注意力表达能力完全保留。

与主流方案对比

方案Prefill 加速Decode 加速KV Cache核函数兼容性
MHA(基准)标准基准
GQA~1×~1.5×标准标准
FlashAttention-32-3×2-4×标准需适配
DeepSeek NSA3-4×6-8×压缩需适配
DeepSeek DSA (MLA)5-6×7-9×大幅压缩需特殊引擎
MiniMax MSA9.7×15.6×标准 GQA零修改复用

100 万 token 上下文的工程实现

训练侧:稀疏模式必须进入梯度计算。如果只在推理时选块、训练时全注意力,推理时"检索头"会读到它从未在训练中见过的稀疏模式——直接乱码。MSA 的做法是预训练中就用块稀疏,让模型学会在稀疏条件下做注意力。

推理侧:算子层优化用了"KV outer gather Q"策略——以 KV 块为外层循环,聚合所有命中该块的查询。每块只从 HBM 读一次,访存连续。实测比开源 Flash-Sparse-Attention 快 4 倍以上

训练数据:M3 将训练数据 Token 规模提升至 100 万亿量级(M2 约 38 万亿),通过交错数据(Interleaved Data)管线重构实现。

SWE-Bench Pro 59% 意味着什么

SWE-Bench Pro 不是"刷榜用的简单题"。公开集 731 个任务来自 11 个真实开源仓库,需要跨多文件编辑。沙盒配置 4C8G,超时 3 小时。模型接收完整代码库 + 自然语言描述 → 生成代码补丁 → 通过仓库测试套件。

M3 的 59% 意味着:接近六成的真实开源 bug,AI 能独立定位、理解、修复。这个数字距离开源社区把 AI 当作"常驻代码审查员"还有距离,但已经跨过了"能用在非关键路径上"的门槛。


本文技术细节来源:NVIDIA 官方 Blackwell 架构文档、Hot Chips 2025、agentcontrolstandard.ai、Microsoft Security Blog 2026-05-12、MiniMax 官方技术博客、Atlas Cloud 技术分析。所有对比数据来自各厂商公开文档和独立评测。

粤ICP备2026055292号-1