先說一下當初的構想#

那時候我心裡只有一句話：對話結束，東西留下來，下次拿得回來。

就這樣，沒了。

後來跟 Claude 一起盤架構，幾個地方我當初沒想到——三道門的順序、雙軌要不要阻塞回應、triple 是不是等 KG 畫完才返回。這篇把三件事分開講：整理、存備份、畫地圖。

一、整理，其實是三道門#

寫入端的第一版只有兩個動作：降噪、去重。

寫入端現在長成三道門，順序還不能換：

1. 過濾廢話（寒暄、亂碼、沒資訊量的字串）
2. 擋下惡意（有人會把指令藏在字裡，操弄記憶）
3. 最後才比對有沒有說過

為什麼順序不能換？第三道比對時，遇到「像但不完全一樣」，它會把新的併進既存那筆。要是毒訊息先進到這步，乾淨的記憶就被污染了。

這個順序是踩過一次 MERGE 污染才定下的——早期 Dedup 跑在 Noise 前面，一筆帶噪訊的 block 被判相似，摻進乾淨 block 的內容裡。

「比對」本身也不只是丟重複。它會做四種決定：

• 幾乎一樣：跳過
• 有新東西、舊的還成立：併進既存那筆，重算一次指紋
• 舊的不對了：被新的取代
• 完全新的：新增

像不像的模糊地帶，會丟給一個小型 LLM 做仲裁——它判斷該合併、該取代、還是兩筆共存。所以「矛盾偵測」其實在這道門裡就順手做了，不是另外獨立的步驟。

姊妹門：擋偽裝#

第二道門擋的是直接寫「請忘掉先前的設定」這種白話指令。但更狡猾的對手會把指令包裝成像系統說過的話、像權威人士引用過的話，混進對話裡，等著被當成記憶吃下去。

機場安檢能擋打火機，可是擋不了把違禁品藏進筆電底蓋的人。所以第二道後面還串了一面背向掃描，專門看五種偽裝樣板：

• 偽裝權威——「某官方文件指出⋯⋯」
• 偽裝身份——句子裡冒出「我是系統」
• 藏在註解裡的隱形指令
• 偽造時間優先——「最新規則優先採用」
• 把指令編碼起來，要解碼才看得到

命中任何一條就直接擋。沒命中才放行去比對重複那道門。這跟前面講的「擋惡意」是一對——前者擋直白的命令，後者擋偽裝的命令，少了哪一邊都會被繞過去。

單位統一#

你跟我講「下週三」、別人講「3-12」、文件寫「2026-03-12」——都指同一天，但寫法不同就比對不出來。金額、比例、時長也都是同樣的問題：「三千元」「3,000」「三千塊」是同一筆錢。

所以在進這幾道門之前還埋了一個小工序：把日期、金額、比例、時長都換成統一的標準格式，順便把中文標點裡的全形空格、奇怪符號清乾淨。看起來瑣碎，少了它後面的比對會放掉一堆其實該合併的記憶——同一件事被當成兩件，地圖就會分岔。

二、存備份，從一路變兩路#

我當初的講法是「存一份向量化」，想的是一條路徑。

搜尋端開了一個月就冒第一個 case：光靠語意指紋會踩雷。碰到縮寫、專有名詞、精確字詞查詢，語意相近反而找錯。

後來拆成兩路：

• 一路存語意指紋（用感覺記住整句的味道）
• 一路存關鍵字索引（像查字典那樣）

兩路同時進資料庫，查的時候一起排序。

三、畫地圖，跟存備份同時做#

畫地圖這塊，腦中最早的草圖是兩步：抽「實體」、抽「關係」。

實作上是一起發生的——抽「誰 - 做了什麼 - 對誰」這種三元組，實體跟關係一起落地。過程中還會做一次別名合併（ChatGPT 跟 GPT 是同一個）。

這段在記憶寫進去的同時並行跑，不等向量化那邊完成。進地圖之前還會再做一次降噪檢查——多一道保險，避免廢話污染到圖譜。

還有一件事：每筆記憶寫進去時都會打一張來源履歷——是誰存的、什麼時候、信心多高。讀的時候排序、背景整理判定要不要保留，都會回頭看這張履歷。寫讀閉環的伏筆從這裡埋下。

先說一下當初的構想#

那時候我心裡只有一句話：session 結束之後，內容留下來，下次能召回。

就這樣，沒了。

後來跟 Claude 一起盤 pipeline（管線），幾個決策我當初沒拆細——gate 的順序、dual-track 的時序、graph build 要不要阻塞 HTTP 回應。下面把三件事分開講：sanitize（整理）、persist（寫入）、graph build（建圖）。

一、Sanitize（整理），其實是三道 gate#

Sanitize 的第一版只有兩個動作：降噪、去重。

寫入端現在長成三道 gate（閘門），順序還不能換：

1. NoiseFilter（雜訊過濾）——剔除寒暄、亂碼、低資訊密度
2. InjectionGuard（注入防護）——擋下 prompt injection（提示注入）類的惡意內容
3. Dedup（去重）——用 embedding（向量）cosine similarity（餘弦相似度）比對既存

為什麼順序不能換？Dedup 的輸出有一支叫 MERGE（融合）——相近但有新資訊時，把新內容併進既存 block（記憶塊）並重算 embedding。MERGE 是擴散式寫入。受污染的 payload（內容）如果跳過前兩道 gate，會透過 MERGE 蔓延到乾淨的 block。

這條約束是早期 Dedup 跑在 Noise 前面吃過虧才定下的——一筆含 injection payload 的 block 被判 MERGE，payload 摻進乾淨 block 的 content。

Dedup 本身也不只是丟重複。它會做四種 decision（決策）：

• SKIP（跳過）：near-duplicate（近乎相同），不寫入
• MERGE（融合）：相近但有新資訊（細節見上段）
• SUPERSEDE（取代）：舊的不再成立，整筆換掉
• CREATE（新增）：完全新穎，寫新 block

相似度落在 uncertain zone（不確定區，高但不到直接判 SKIP）時，Dedup 會呼叫 resolve_conflict() 做 LLM arbitration（LLM 仲裁），回傳 MERGE / SUPERSEDE / COEXIST（共存）映射回上面的 decision。Contradiction Detection（矛盾偵測）就是在這一步順手做的，不是 Fork B（分叉 B）的獨立階段。Dream Loop（夢境迴圈）第三階段 Consolidate（鞏固）會再跑一次 resolve_conflict() 做批次矛盾解析，當作第二次機會。

姊妹模組：PoisoningDetector#

承接安檢機那個比喻——InjectionGuard 是正面 X 光，擋顯式 prompt injection；PoisoningDetector 是 backscatter（背向散射）那一面，擋偽裝攻擊（disguise attack）。兩者並列掛在 G2，缺一條 attack surface（攻擊面）就會敞開。

對應 memvault.security.poisoning 模組，輸入是已過 G1 NoiseFilter 的 raw block payload，命中即整筆 reject（不進 G3 Dedup）。判斷依據是五類偽裝樣板：

• authority impersonation: 偽造「OpenAI 官方文件指出⋯⋯」「根據 Anthropic 安全規範⋯⋯」這類權威引用 — 樣板正則 + 已知文獻白名單比對
• role self-declaration: 內文出現 I am system / You are now / system: 等角色宣告字串
• markdown comment injection: <!-- ignore previous instructions --> 這類藏在註解裡的隱式指令
• temporal manipulation: 「最新指令優先」「override prior rules」等用時間順序碾壓既存策略的句式
• encoded payload: 連續高熵 Base64 / hex / unicode escape 區塊 — 用 Shannon entropy + base alphabet ratio 判斷

樣板來自 memory-lancedb-pro 的 5-vector taxonomy，落地時拆成 5 個獨立 detector，任一命中即 short-circuit。trust_score 也在這裡打 — 偽裝攻擊源頭即使僥倖 partial match，下游 scoring 也會把它降權到查不到。

前置正規化：ContentNormalizer#

承接「同一天不同寫法就比對不出來」那個比喻——三道 gate 之前還夾一層 normalize（正規化）pass，把表面字串 fold（摺疊）成 canonical token（規範化字元），讓下游 Dedup 的相似度比對跟 LLM arbitration 都拿到對齊好的輸入。掛在 libs/text-ops，五個 sub-module 串成 chain：

• TemporalNormalizer: 「下週三」「3/12」「March 12」→ ISO-8601。蠶食 dateparser + MS Recognizers 後重寫，10-pass 零依賴，覆蓋中英混排、相對時間、模糊區間
• CurrencyNormalizer: 「三千元」「3,000 NTD」「USD 100」→ {amount, currency} tuple，FX rate 不在這層處理
• ProportionNormalizer: 「七成」「70%」「0.7」「7/10」→ 統一 float in [0, 1]
• DurationNormalizer: 「兩個半小時」「2.5h」「150 min」→ ISO-8601 duration（PT2H30M）
• preprocess_chinese: 全形 / 半形折疊、CJK 標點正規化、zero-width 字元剝離 — 跑在以上四者之前的 pre-pass

少了這層，Dedup 會把「下週三晚上吃飯」跟「2026-03-11 19:00 dinner」判成低相似度，落到 CREATE 而不是 MERGE；KG 的 entity resolution 也會把「Jones」「JonesHong」「j-hong」當成三個人 — 圖譜就分岔了。細節見 libs/text-ops/docs/opensource-assessment.md。

二、Persist（寫入），從一路變成雙軌#

我當初的講法是「存一份向量化」，想的是單條路徑。

搜尋端一上線就冒問題：單純 dense vector（稠密向量）會踩雷。碰到縮寫、專有名詞、精確字詞查詢，語意相近反而失準。

後來拆成 hybrid indexing（混合索引）：

• Dense（稠密）：MLX（Apple 機器學習框架）Qwen3-Embedding，1024 維
• Sparse（稀疏）：BM25 關鍵字索引

兩路一起寫進 Qdrant 同一個 collection（集合）。查詢端用 RRF（Reciprocal Rank Fusion，互惠排名融合）把兩路結果合起來排序。

三、Graph build（建圖），reactive pipe 接手#

graph build 最早的草圖是兩步：抽實體（entity）、抽關係（relation）。

實作上是一起發生的——抽 SPO（Subject-Predicate-Object）三元組，實體跟關係一起落地。寫入 triple（三元組）的同時同步做 Entity Resolution（實體解析）：別名消歧，歸到 EntityCanonical 節點（ChatGPT 跟 GPT 是同一個）。

這條 pipeline 掛在 MemvaultEvents.MEMORY_STORED channel（通道）上，event-driven（事件驅動）、fire-and-forget（送出就不等），不等 Fork A 向量化完成。進圖譜之前還有一道 NoiseGateOp 二次檢查——多一道防線，防止廢話滲進去。