Tới nội dung chính
Z-CMS is being built in the open on GitHub. Tham gia cộng đồng

Tất cả bài viết

AI Plugin hoạt động bên trong Z-CMS như thế nào

15 thg 7, 2026 · Z-SOFT Admin · Đọc 4 phút

Đưa AI vào CMS mà không khóa platform vào một provider

AI là platform capability, không phải API call trong controller

CMS hiện đại cần AI writer, summary, translation, SEO metadata, classification, moderation, semantic search và chatbot. Nếu mỗi plugin gọi provider trực tiếp, API key bị phân tán, cost khó kiểm soát, privacy không minh bạch và platform bị lock-in.

AI Gateway

Luồng chuẩn là AI Plugin → Z-CMS AI SDK → AI Gateway → Policy Engine → Provider Adapter → AI Provider. Plugin chỉ gọi cms.ai; Gateway chọn provider, model, quota, policy, retry, fallback, cache và audit.

Provider abstraction

Z-CMS định nghĩa interface chung cho generateText, generateObject và generateEmbedding. Adapter có thể kết nối OpenAI, Azure OpenAI, Anthropic, Gemini, Ollama hoặc local model. Plugin business logic không đổi khi administrator chuyển provider.

AI Plugin
    ↓
Z-CMS AI SDK
    ↓
AI Gateway
    ↓
Policy Engine
    ↓
Provider Adapter
    ↓
AI Provider

Tenant-level AI settings và secret management

Mỗi tenant có thể chọn provider, model, region, monthly budget và policy external transfer. API key nằm trong secure secret store; plugin không bao giờ đọc credential trực tiếp.

AI permission và purpose declaration

Plugin khai báo ai:text:generate, ai:embedding:generate hoặc ai:file:analyze. Mỗi request khai báo purpose như seo-description, translate-content hoặc content-moderation để Gateway chọn model, token limit, prompt template và policy phù hợp.

const result = await cms.ai.generateObject({
  purpose: "seo-metadata",
  input: article.content,
  schema: seoMetadataSchema
});

Prompt registry và structured output

Thay vì để mọi plugin tự tạo system prompt không kiểm soát, Z-CMS có prompt registry có version. Với structured output, plugin cung cấp JSON schema; Gateway validate response và retry khi output không hợp lệ.

Quota và cost control

Usage được theo dõi theo tenant, plugin, user, purpose, provider và model. Policy có warning threshold và hard limit. Plugin không thể bypass quota vì không được gọi provider trực tiếp.

Data privacy và PII redaction

Content có thể được phân loại Public, Internal, Confidential hoặc Restricted. Policy quyết định external AI có được phép hay phải dùng local model. Gateway có thể redact email, phone, customer ID, token và thông tin nhạy cảm trước khi gửi.

Human approval và async job

AI-generated content có rủi ro cao nên tạo draft để editor review thay vì publish tự động. Tác vụ dài như translation hoặc batch classification chạy qua background job, giữ nguyên tenant context, plugin identity và permission scope.

Semantic search và RAG

Embedding API cho phép xây semantic search. RAG pipeline retrieve document, áp dụng tenant filter và permission filter, build context rồi mới gọi model. AI assistant không được làm lộ content mà user không có quyền xem.

Plugin isolation, fallback và audit

AI plugin vẫn chạy trong V8 Isolate và chỉ truy cập AI Capability Bridge. Fallback provider phải tuân thủ privacy policy; tenant local-only không được tự động fallback ra public cloud. Mỗi operation ghi audit metadata nhưng có thể không lưu raw prompt nếu policy yêu cầu.

Kết luận

AI integration cho plugin cần provider abstraction, secure credential, tenant configuration, permission, quota, privacy, structured output, async job, semantic search, RAG, fallback và audit. Z-CMS AI SDK giúp developer tập trung vào feature thay vì tự xây lại toàn bộ hạ tầng AI.

Key takeaways

  • Security boundary phải được enforce trong Core, không dựa vào thiện chí của plugin.
  • Lifecycle, permission, tenant context và observability là các phần của cùng một platform contract.
  • Developer experience tốt chỉ bền vững khi runtime và supply chain được thiết kế an toàn từ đầu.

GitHub: https://github.com/zscontributor/z-cms
Website: https://z-cms.org