RTX Spark 架构解剖 · 微软 ACS Agent 安全栈 · MiniMax MSA 稀疏注意力
专题一:NVIDIA RTX Spark (GB10) 架构解剖——统一内存如何让笔记本跑 120B 模型
黄仁勋 GTC 2026 主题演讲完整版(157.5万播放)

不是一块 GPU,是一个 SoC
GB10 是一颗完整的系统级芯片。NVIDIA 与联发科联合设计,台积电 3nm 制程,70 亿晶体管,在一个封装内整合了:
- 20 核 Grace ARM CPU(10×Cortex-X925 + 10×Cortex-A725)
- Blackwell GPU(6,144 CUDA Cores + 第五代 Tensor Cores)
- 128GB LPDDR5X 统一内存(256-bit 接口 @ 8533 Mbps,273 GB/s)
- NVLink-C2C 片间互联(600 GB/s 聚合带宽)
TDP 仅 140W(芯片级),系统级 240W。整机尺寸 150×150×50.5mm。
统一内存:不只是"共享",是硬件缓存一致性
这是 GB10 最关键的架构决策。传统 PC 中 CPU 用 DDR 内存、GPU 用 GDDR 显存——两套独立的物理地址空间。跑大模型时,模型权重在 CPU 内存和 GPU 显存之间通过 PCIe 来回搬运,延迟约 50μs,带宽受限于 PCIe 5.0 x16 的 64 GB/s。
GB10 的解决方案不是简单的"物理上共享同一片 LPDDR5X",而是实现了硬件级缓存一致性:
地址翻译路径:GPU 通过 ATS(Address Translation Services)发出地址翻译请求 → GPU MMU → 系统 MMU → 返回物理地址。GPU 的 L2 Cache(24MB)使用物理标记(Physical Tag),直接放置在系统物理地址空间。CPU 和 GPU 线程可以同时、透明地访问同一块物理内存,粒度到缓存行。
缓存一致性协议:基于 ARM AMBA CHI(Coherent Hub Interface),支持 CXL 互操作。CPU 可以缓存行粒度地缓存 GPU 内存,GPU 同样可以缓存 CPU 内存。不需要 cudaMemcpy,不需要页面迁移。
这意味着什么:一个 120B 参数的模型(约 240GB FP16),不再需要拆成"CPU 加载一部分、GPU 加载一部分、推理时来回搬运"。整个模型常驻统一内存池,推理时 CPU 和 GPU 各自访问需要的部分,带宽瓶颈消失。
| 场景 | 传统 PC(RTX 5090) | GB10 | 提升 |
|---|---|---|---|
| CPU→GPU 搬运延迟 | ~50μs (PCIe) | ~5μs (NVLink-C2C) | 10× |
| 最大本地模型 | ~70B(量化,显存放得下才行) | ~120B+(统一内存常驻) | 质的飞跃 |
| 并行 Agent 数 | 2-3 个(显存紧张) | 8-10 个 | 3×+ |
| 上下文窗口 | ~32K tokens(显存限制) | 百万级 tokens | 30×+ |
NVLink-C2C:不是 PCIe 的升级版,是另一种协议
NVLink-C2C 和 PCIe 不是同一类东西。关键差异:
| 维度 | PCIe 5.0 x16 | NVLink-C2C (GB10) |
|---|---|---|
| 带宽 | 64 GB/s 单向 | 600 GB/s 聚合(≈PCIe 的 5×) |
| 链路功耗 | ~6 pJ/bit | 1.3 pJ/bit(能效 4.6×) |
| 缓存一致性 | 无硬件级支持 | AMBA CHI 全一致性 |
| 物理层 | 差分信号 | 40 Gbps/pin 单端 |
| 用途 | 外设互联 | Die-to-Die 互联 |
NVLink-C2C 本质上是 die-to-die 互联协议,不是外设总线。在 GB10 中,它连接的是同一封装内的 S-dielet(系统小晶粒,含 CPU + 内存控制器)和 G-dielet(GPU 小晶粒)。600 GB/s 的带宽意味着 GPU 访问 CPU 侧内存的延迟和带宽,与访问自己的本地内存几乎没有区别。
FP4 Tensor Core:1 PFLOP 是怎么算出来的
第五代 Tensor Core 引入 FP4 精度(上一代 Hopper 是 FP8),这是算力跳到 1 PFLOP 的关键。
FP4 每个数只占 4 位,但精度损失是显然的。NVIDIA 的解决方案是 Micro-Tensor Scaling(第二代 Transformer Engine):将矩阵分块,每个块内独立计算缩放因子(scaling factor),用低精度 Tensor Core 模拟高精度矩阵运算。
实际上,FP4 模式下的有效精度接近 FP8,但带宽需求减半。这意味着同等内存带宽下,支持的模型规模翻倍——这正是 GB10 能以 128GB 内存跑 120B+ 模型的数学基础。
GB10 vs GH200:从数据中心到桌面的架构降维
| 维度 | GB10 (DGX Spark) | GH200 (Grace Hopper) |
|---|---|---|
| CPU | 20核 ARM (X925+A725) | 72核 ARM Neoverse V2 |
| GPU | Blackwell 6144 CUDA | Hopper H100/H200 |
| NVLink-C2C | 600 GB/s | 900 GB/s |
| 内存 | 128GB LPDDR5X @ 273 GB/s | 最高 512GB + HBM3 |
| AI 算力 | 1 PFLOP FP4 | 4 PFLOPs (H200) |
| TDP | 140W(芯片) | 最高 1000W |
| 价格 | $3,999 | ~$150,000 |
| 尺寸 | 桌面小型工作站 | 标准 19" 机架 |
GB10 不是 GH200 的缩水版——它是把 Grace Hopper 的架构理念(CPU+GPU 统一内存)从数据中心降维到桌面端的产物。$3,999 的价格对标 Mac Studio,但能本地跑 120B 模型这件事,Mac 做不到。
专题二:微软 ACS Agent 安全框架——Agent 的"防火墙"是如何工作的
黄仁勋 GTC 2026 中英精校完整版
ACS 的本质:不是网络防火墙,是"思维链防火墙"
传统防火墙拦截网络包。ACS(Agent Control Specification)拦截的是 Agent 的工具调用决策。
架构分为三层:
- 平台层:Agent 平台(如 Azure AI Foundry、Copilot Runtime)暴露标准化的中间件钩子
- 执行层:开源 SDK 读取声明式控制策略,在钩子点执行 allow/deny/modify 判定
- 企业层:行业定制分类器(金融合规、医疗隐私等)
五个运行时拦截点:
| 拦截点 | 时机 | 可执行动作 | 典型场景 |
|---|---|---|---|
| Pre-input | 用户输入到达 Agent 时 | 过滤敏感词、拒绝越狱提示 | 阻止 “ignore previous instructions” |
| Pre-tool | Agent 决定调用工具前 | allow/block/redact 工具调用 | 阻止 Agent 访问未授权的 API |
| Post-tool | 工具返回结果后 | 检查返回内容是否含敏感信息 | 拦截意外泄露的 PII 数据 |
| Pre-output | Agent 生成最终回复后 | 过滤有害内容、添加免责声明 | 阻止 Agent 输出系统提示词 |
| 子 Agent 调用 | Agent 派生子任务时 | 限制子 Agent 权限范围 | 防止权限提升攻击 |
每一个拦截点都是一次策略评估——由 Guardian Agent(一个确定性的规则引擎,非 LLM)执行,延迟在毫秒级。
MDASH:100+ Agent 协作的代码审计系统
这是微软内部实际在用的漏洞扫描系统,2026 年 5 月公开了技术细节。
四阶段流水线:
- 扫描(Scan):多个异构模型各自注入特定软件目标进行扫描(不同模型擅长发现不同类型的漏洞)
- 验证(Verify):SOTA 模型推理 + 蒸馏小模型作为低成本"辩手" + 另一个 SOTA 模型作为独立 Counterpoint——三方交叉验证
- 去重(Dedup):专门的领域 Agent 审计全流程,合并重复发现
- 证明(Prove):生成包含漏洞意见的完整报告,可注入外部分析数据库(CodeQL、内核调用约定、IRP 规则、锁不变量等)
战绩:CyberGym 公开基准 88.45%(188 个开源项目、1507 个真实漏洞),领先第二名约 5 个百分点。在 Windows 网络栈中发现了 16 个新漏洞(含 4 个 Critical RCE),对 tcpip.sys 的召回率达到 100%。
MCP 在 Windows 11 的内核级集成
Build 2026 的核心叙事不是新功能,而是将 MCP(Model Context Protocol)嵌入操作系统:
- MCP Registry:统一的、安全的 MCP 服务发现源
- 三大角色:MCP Host(AI 工具)、MCP Client(发起请求)、MCP Server(暴露应用能力)
- 安全控制:身份管理、环境隔离、同意门控(consent gating)
- 企业管控:通过 Azure API Management 统一管理、日志、监控和审计
这意味着 Windows 应用可以声明自己的 MCP 能力(“我是一个邮件客户端,允许 Agent 读取和发送邮件”),Agent 通过标准化协议访问,每次访问都经过 ACS 策略引擎的拦截和审批。
与 Google 的技术路线对比
| 维度 | 微软 (ACS + MCP) | Google (Managed Agents) |
|---|---|---|
| 安全模型 | 运行时 4 层拦截 + 确定性 Guardian | 托管沙箱 + Gemini 企业平台 |
| 沙箱技术 | Hyper-V 硬件虚拟化隔离 | 远程 Linux 环境 |
| Agent 协议 | MCP + A2A | MCP + A2A |
| 开源安全工具 | RAMPART, Clarity, MDASH, PyRIT | 较少公开 |
| 代码审计 | 100+ Agent 多模型协作 | 未公开 |
微软的策略是"操作系统级 Agent 安全栈"——从内核虚拟化(MXC)到应用层拦截(ACS)到持续测试(RAMPART),形成纵深防御。Google 的策略是"托管平台安全"——让 Agent 在 Google 控制的环境中运行,平台负责隔离。
专题三:MiniMax MSA 稀疏注意力——O(n²) 到 O(n log n) 的工程突破

MSA 不是线性注意力
MiniMax M3 的技术路线很明确:不走线性注意力的捷径,而是用块稀疏保持 Softmax 的全部表达能力。
M1 用过 Lightning Attention(线性注意力),M2 回归全注意力,M3 选择第三条路——块稀疏 GQA。
双分支架构:Index Branch + Sparse Branch
Step 1 — Index Branch(低成本扫描):
- 每个 GQA 组共享一个索引查询(Q_idx),对应一个共享的索引 Key(K_idx)——只有 一个头
- Q_idx × K_idx^T 的计算成本几乎为零(1 个头 × n × d_k,约为标准多头的 1/32)
- Block Max Pool:将 n 个 token 按块(如 64 token/块)聚合,取每块最大注意力分数
- TopK 选择:决定保留哪些 KV 块。在 100 万 token 下,每个查询仅选择约 6%-7% 的块
Step 2 — Sparse Branch(真实注意力计算):
- 使用标准的 GQA 注意力(Q ∈ ℝ^(n×H×d),K,V ∈ ℝ^(n×h×d))
- 仅对 Step 1 选中的块子集计算真实 Softmax 注意力
- 同一 GQA 组内查询头共享同一个 TopK 选择结果——一块 KV 只读一次、访存连续
- 可直接沿用 FlashAttention 风格的 GPU 核函数,零修改
复杂度分析
全注意力每次前向:O(n²·d),n=1M 时约为 10^12 次运算。
MSA:索引分支 O(n·d) + 稀疏分支 O(k·n·d),其中 k ≈ 0.06n。总复杂度 O(0.06·n²·d) → 约 16.7× 加速,官方报告的 decode 加速正好是 15.6×,prefill 加速 9.7×。
单 token 推理的 KV Cache 访问量从 M2 的全量扫描降至约 1/20。
三个刻意的"减法"设计
1. 选 GQA 而非 MLA: DeepSeek 的 MLA(Multi-head Latent Attention)压缩 KV Cache 很激进,但需要特殊的推理引擎适配。MSA 选 GQA,vLLM/SGLang/FlashAttention 核函数几乎零修改复用。
2. 只保留选择分支: DeepSeek NSA 有三路并行(压缩分支 + 选择分支 + 滑动窗口)。MSA 砍掉另外两路——滑动窗口被 RoPE + Attention Sink 替代,压缩分支被"单头 K + 块最大池化"吸收。
3. 块级选择 + 真实 K/V 计算: 不压缩 KV Cache。代价是 KV Cache 体积不变(内存换质量),好处是 Softmax 注意力表达能力完全保留。
与主流方案对比
| 方案 | Prefill 加速 | Decode 加速 | KV Cache | 核函数兼容性 |
|---|---|---|---|---|
| MHA(基准) | 1× | 1× | 标准 | 基准 |
| GQA | ~1× | ~1.5× | 标准 | 标准 |
| FlashAttention-3 | 2-3× | 2-4× | 标准 | 需适配 |
| DeepSeek NSA | 3-4× | 6-8× | 压缩 | 需适配 |
| DeepSeek DSA (MLA) | 5-6× | 7-9× | 大幅压缩 | 需特殊引擎 |
| MiniMax MSA | 9.7× | 15.6× | 标准 GQA | 零修改复用 |
100 万 token 上下文的工程实现
训练侧:稀疏模式必须进入梯度计算。如果只在推理时选块、训练时全注意力,推理时"检索头"会读到它从未在训练中见过的稀疏模式——直接乱码。MSA 的做法是预训练中就用块稀疏,让模型学会在稀疏条件下做注意力。
推理侧:算子层优化用了"KV outer gather Q"策略——以 KV 块为外层循环,聚合所有命中该块的查询。每块只从 HBM 读一次,访存连续。实测比开源 Flash-Sparse-Attention 快 4 倍以上。
训练数据:M3 将训练数据 Token 规模提升至 100 万亿量级(M2 约 38 万亿),通过交错数据(Interleaved Data)管线重构实现。
SWE-Bench Pro 59% 意味着什么
SWE-Bench Pro 不是"刷榜用的简单题"。公开集 731 个任务来自 11 个真实开源仓库,需要跨多文件编辑。沙盒配置 4C8G,超时 3 小时。模型接收完整代码库 + 自然语言描述 → 生成代码补丁 → 通过仓库测试套件。
M3 的 59% 意味着:接近六成的真实开源 bug,AI 能独立定位、理解、修复。这个数字距离开源社区把 AI 当作"常驻代码审查员"还有距离,但已经跨过了"能用在非关键路径上"的门槛。
本文技术细节来源:NVIDIA 官方 Blackwell 架构文档、Hot Chips 2025、agentcontrolstandard.ai、Microsoft Security Blog 2026-05-12、MiniMax 官方技术博客、Atlas Cloud 技术分析。所有对比数据来自各厂商公开文档和独立评测。