2026年7月11日 AI 研究简报
Agent 安全正在向内收缩。
当下最强的一批论文,正把可靠性的重点从“更大的模型”转向“可控的 agent 脚手架”,同时也表明,可见推理和薄弱的评估流程本身可能成为负担。
核心要点
- Agent 可靠性工作正从仅修复模型转向**系统层控制界面**:编译式工具、可演化 harness、主动记忆、语义防火墙以及 DOM 级约束,都在不改变基础权重的情况下显示出可测量的收益。
- 多篇论文揭示了一个共同的安全教训:**中间推理默认并不是可信的控制通道**。CoT 可能说服监控器、隐藏证据影响,并在权重空间放大下泄露秘密。
- 评估方法正在变得更锋利:新的基准和统计工具强调**弃答、校准、评审偏差、自适应有效性以及能力分解**,而不只是表层准确率。
#1
主题
值得优先阅读的论文
按研究价值排序:新意、方法可复用性、证据质量,以及是否值得带着怀疑去读。
Prismata: Confining Cross-Site Prompt Injection in Web Agents
#1一篇很强的系统论文,研究了在现实提示注入威胁下,对 web agent 进行最小权限约束。
- 为什么现在值得读
- Web agent 正进入真实浏览工作流,而对抗性页面内容已成为默认条件。
- 怀疑点
- 它的保证依赖于结构化网页线索,可能无法覆盖更丰富的多模态或动态攻击。
Tool-Making and Self-Evolving LLM Agents in Low-Latency Systems
#2展示了一种实用模式:把重复的 agent 行为编译成经过验证的工具,从而降低时延和错误率。
- 为什么现在值得读
- 许多生产级 agent 的瓶颈,不在原始模型能力,而在重复性的工具合成。
- 怀疑点
- 证据主要集中在一个已部署应用上,对模糊工作流仍需要人工监督。
Persuasion Attacks Can Decrease Effectiveness of CoT Monitoring
#3如果你依赖推理轨迹做监督,这篇论文很重要:它表明,更高的可见性反而可能增加不安全批准。
- 为什么现在值得读
- 基于 CoT 的监控仍是许多 agent 监督方案中的常见安全假设。
- 怀疑点
- 该研究使用的是受控任务,可能无法完全覆盖端到端的工具使用型 agent。
运行统计
- 候选论文: 214
- 入选论文: 30
- 已精读完成: 30
- 时间窗口 (UTC): 2026-07-09T00:00:00Z → 2026-07-10T00:00:00Z (arxiv_announce, expanded=0)
展开查看用于总结的论文列表
| arXiv ID | 标题 / 链接 | 分类 | 评分 | 入选理由 | 标签 |
|---|---|---|---|---|---|
2607.08147 | Prismata: Confining Cross-Site Prompt Injection in Web Agents | cs.CR, cs.AI | 95 | Strong web-agent prompt injection defense with least-privilege confinement and structural policy derivation. | agent-safety, prompt-injection, web-agents, least-privilege, security |
2607.08173 | Overthinking: Amplifying Reasoning Weights to Extract Learned Secrets | cs.AI | 94 | Auditing method to elicit hidden reasoning/secrets; directly relevant to black-box safety evaluation. | ai-safety, auditing, reasoning-models, hidden-knowledge, black-box-eval |
2607.08066 | Persuasion Attacks Can Decrease Effectiveness of CoT Monitoring | cs.AI, cs.LG | 93 | Directly probes failure of CoT monitoring under persuasion jailbreaks; highly relevant to agent oversight. | alignment, monitoring, jailbreaks, cot, agent-safety, evaluation |
2607.08716 | Remember When It Matters: Proactive Memory Agent for Long-Horizon Agents | cs.AI, cs.CL | 93 | Plug-and-play memory agent for long-horizon LLM agents; directly targets reliability under context limits. | agents, memory, long-context, reliability, evaluation |
2607.08010 | Tool-Making and Self-Evolving LLM Agents in Low-Latency Systems | cs.CL, cs.LG, cs.SE | 92 | Agent tool-making with production deployment; strong relevance to reliable, efficient agent systems. | agents, tool-use, deployment, reliability, latency, self-evolving |
2607.08180 | Out of Sight: Compression-Aware Content Protection against Agentic Crawlers | cs.CR, cs.AI | 92 | Agent-security paper: protects content from agentic crawlers via compression-aware perturbations. | agent-safety, security, prompt-injection, content-protection, agents |
2607.08032 | What to Keep, What to Forget: A Rate--Distortion View of Memory Compaction in LLMs and Agents | cs.LG | 92 | Unifies LLM/agent memory compaction under rate-distortion; strong conceptual value for long-context agents. | llm, agents, memory, long-context, efficiency, theory |
2607.08395 | Token-Flow Firewall: Semantic Runtime Auditing for Persistent AI Agents | cs.CR, cs.CL | 91 | Runtime semantic-flow auditing for persistent agents targets realistic long-lived agent attack surfaces. | agent-safety, runtime-defense, auditing, persistent-agents, security |
2607.08046 | What LLM Forecasters Know but Don't Say: Probing Internal Representations for Calibration and Faithfulness | cs.CL, cs.AI | 91 | Probes internal states for calibration and CoT faithfulness; strong alignment/reliability relevance. | calibration, faithfulness, interpretability, forecasting, probes, alignment |
2607.08700 | Do You Need a Frontier Model as a Citation Verifier? Benchmarking Rubric LLMs for Deep-Research Source Attribution | cs.CL | 90 | Benchmarks LLM judges for citation verification, a key issue for deep-research and reward reliability. | llm-as-judge, citation-verification, evaluation, deep-research, reward-models, grounding |
2607.08349 | Certified Interventional Fidelity: Anytime-Valid, Adaptive Evaluation of Causal Claims in Mechanistic Interpretability | cs.LG | 90 | Statistical framework for adaptive, anytime-valid causal claims in mech interp evaluations. | mechanistic-interpretability, evaluation, causal-inference, reliability, statistics |
2607.08662 | WebSwarm: Recursive Multi-Agent Orchestration for Deep-and-Wide Web Search | cs.CL, cs.AI, cs.MA | 90 | Recursive multi-agent web search with evidence-grounded expansion; highly relevant to agentic retrieval systems. | agents, web-search, multi-agent, retrieval, reasoning, tool-use |
2607.08535 | When the Judge Changes, So Does the Measurement: Auditing LLM-as-Judge Reliability | cs.CL, cs.AI | 89 | Audits judge replacement effects and bias; important for trustworthy LLM evaluation pipelines. | llm-as-judge, evaluation, bias, measurement, reliability, auditing |
2607.08011 | Beware What You Autocomplete: Forensic Attribution of Backdoored Code Completions | cs.CR, cs.AI, cs.IR, cs.LG | 88 | Practical forensic method for tracing backdoored code completions to fine-tuning data post-deployment. | code-llms, backdoors, forensics, supply-chain, security |
2607.08034 | PLURAL: A Global Dataset for Value Alignment | cs.CL, cs.AI, cs.CY | 88 | Large cross-country value-alignment dataset; high reuse potential for pluralistic alignment research. | alignment, values, dataset, preference-data, global-representation, rlhf |
2607.08269 | PolyUQuest: Verifiable Structure-Aware Web RAG over Heterogeneous Graphs | cs.AI | 88 | Verifiable structure-aware web RAG with citations and graph retrieval; strong grounding relevance. | RAG, grounding, verification, web-agents, retrieval |
2607.08646 | UltraX: Refining Pre-Training Data at Scale with Adaptive Programmatic Editing | cs.CL, cs.AI | 88 | Pretraining data refinement at scale via function-calling edits; potentially impactful for frontier LLM data quality. | llm, pretraining, data-quality, synthetic-data, scaling, post-processing |
2607.08038 | A safety-oriented hypothetico-deductive framework for AI-assisted differential diagnosis | cs.AI | 87 | Safety-oriented multi-LLM diagnosis framework with verification gates and must-not-miss checks. | safety, agents, verification, medical-ai, clinical-reasoning, guardrails |
2607.08400 | TRACE: A Two-Channel Robust Attribution Watermark via Complementary Embeddings for LLM-Agent Trajectories | cs.CR, cs.AI, cs.LG | 86 | Agent trajectory watermarking for provenance disputes is novel and security-relevant for deployment ecosystems. | agents, watermarking, provenance, security, auditing |
2607.08393 | Towards Mechanistically Understanding 入选理由 Memorized Knowledge Fails to Generalize in Large Language Model Finetuning | cs.AI, cs.CL | 86 | Mechanistic study of why injected knowledge fails to generalize; useful for reliable knowledge editing. | mechanistic-interpretability, knowledge-editing, generalization, llm-reliability, circuits |
2607.08317 | Blind-Spots-Bench: Evaluating Blind Spots in Multimodal Models | cs.AI | 86 | Benchmark exposing simple-but-persistent multimodal model blind spots; useful for robust evaluation. | benchmark, multimodal, evaluation, robustness, failure-modes |
2607.08690 | A Practical Investigation of Training-free Relaxed Speculative Decoding | cs.LG, cs.AI | 86 | Practical study of relaxed speculative decoding; useful frontier inference trade-off analysis for LLM deployment. | llm, inference, speculative-decoding, efficiency, evaluation |
2607.08768 | UniClawBench: A Universal Benchmark for Proactive Agents on Real-World Tasks | cs.CL | 84 | Real-world proactive-agent benchmark with capability-driven design could be broadly reusable for evaluation. | agents, benchmark, evaluation, real-world, multimodal |
2607.08284 | Understanding Axes of Difficulty For Long Context Tasks Via PredicateLongBench | cs.AI | 84 | Long-context benchmark probing difficulty axes, not just averages; useful frontier capability evaluation. | long-context, benchmark, evaluation, reasoning, frontier-llms |
2607.08255 | Compete Then Collaborate: Frontier AI Teachers Build a Verifiable Curriculum to Improve a Coding Student Beyond Imitation | cs.AI | 84 | Execution-verified multi-teacher curriculum for coding models; strong methodology beyond judge bias. | LLMs, coding, distillation, evaluation, post-training |
2607.08740 | Workflow as Knowledge: Semantic Persistence for LLM-Mediated Workflows | cs.AI, cs.PL, cs.SE | 84 | Semantic model for persistent LLM workflows, inference records, and approvals; relevant to reliable agent systems. | agents, workflows, tool-use, reliability, memory, systems |
2607.08124 | TTHE: Test-Time Harness Evolution | cs.SE, cs.LG | 83 | Test-time adaptation of agent harnesses is novel and impactful, though safety implications are indirect. | agents, test-time-adaptation, harness, tool-use, optimization, workflows |
2607.08763 | OpenCoF: Learning to Reason Through Video Generation | cs.CV, cs.AI | 83 | Introduces Chain-of-Frame reasoning dataset/model for video generation; notable frontier multimodal idea. | multimodal, video-generation, reasoning, dataset, frontier-models |
2607.08734 | The Illusion of Equivalency: Statistical Characterization of Quantization Effects in LLMs | cs.AI | 83 | Shows quantization can preserve accuracy yet alter behavior; important reliability signal for deployed LLMs. | llm, quantization, reliability, evaluation, deployment |
2607.08093 | CausalDS: Benchmarking Causal Reasoning in Data-Science Agents | cs.AI, cs.CL, cs.LG | 82 | Benchmark for causal reasoning in data-science agents fills an important gap in tool-using agent evaluation. | agents, benchmark, causal-reasoning, tool-use, evaluation |
AI 论文洞察简报
2026-07-11
0) 执行要点(先读这个)
- Agent 可靠性工作正从仅修复模型转向系统层控制界面:编译式工具、可演化 harness、主动记忆、语义防火墙以及 DOM 级约束,都在不改变基础权重的情况下显示出可测量的收益。
- 多篇论文揭示了一个共同的安全教训:中间推理默认并不是可信的控制通道。CoT 可能说服监控器、隐藏证据影响,并在权重空间放大下泄露秘密。
- 评估方法正在变得更锋利:新的基准和统计工具强调弃答、校准、评审偏差、自适应有效性以及能力分解,而不只是表层准确率。
- 对于生产级 agent,结构化、可逆、查询感知的记忆/状态管理正成为关键瓶颈。实践系统和理论论文都指出,重要的不是存更多上下文,而是在正确时间重新激活正确状态。
- 安全研究越来越聚焦于失陷后或环路内对手:对抗性网页内容、被投毒的微调数据、恶意轨迹转售者以及持久化 token 流,都要求防御方案假设攻击者位于 agent 管线内部。
- 跨论文反复出现的一个实用模式是:小型本地模型 + 确定性检查 + 选择性升级,在成本、时延和可审计性上往往优于单体式的“直接用更强模型”。
2) 关键主题(聚类)
主题:面向可靠 agent 的系统层控制
- 为什么重要:多篇论文表明,如今的大幅收益来自于改变模型周围的 agent 脚手架,而不是模型本身。共同做法是把脆弱的自由形式推理转化为结构化、可检查的运行时组件。
- 代表论文:
- 共同方法:
- 将重复的推理时 reasoning 迁移为可复用工件:编译式工具、持久 harness 编辑、结构化记忆库或递归委派模式。
- 将执行轨迹作为监督信号,既可离线使用(工具编译),也可在线无标签使用(harness 演化)。
- 在改进周边控制逻辑的同时,尽量保持动作模型基本冻结。
- 偏好模块化角色:proposer/judge、memory/action、searcher/verifier,或 main-agent/tool 接口。
- 开放问题 / 失效模式:
- 代理指标失配仍是瓶颈:TTHE 显示出明显的选择遗憾和覆盖缺口。
- 超出已评估领域的泛化通常尚未被证明,尤其是单应用部署。
- 更多编排通常意味着更高成本、更大时延和更高复杂度。
- 固定触发器和手工设计的分解策略,可能不如学习式或事件驱动控制。
主题:安全正在进入 agent 环路内部
- 为什么重要:威胁模型已不再只是边界上的恶意提示。这些论文假设攻击者可以投毒训练数据、注入网页内容、操纵持久状态,甚至控制用于归因的日志。
- 代表论文:
- Prismata: Confining Cross-Site Prompt Injection in Web Agents
- Token-Flow Firewall: Semantic Runtime Auditing for Persistent AI Agents
- Beware What You Autocomplete: Forensic Attribution of Backdoored Code Completions
- TRACE: A Two-Channel Robust Attribution Watermark via Complementary Embeddings for LLM-Agent Trajectories
- 共同方法:
- 在结构化接口上实施安全控制:DOM 祖先关系、source–sink token 流、snippet 检索集合或轨迹骨架。
- 将确定性约束与基于 LLM 的语义判断结合,而不是只依赖其中之一。
- 面向具有编辑权限或自适应行为的对手进行设计,而不只是被动扰动。
- 通过缩小作用范围来保留效用:关键路径标注、选择性回退、top-K 取证检索或无失真水印通道。
- 开放问题 / 失效模式:
- 许多防御依赖结构性假设:HTML 线索、可用候选集、诚实报告或被保留的轨迹骨架。
- 自适应攻击者仍可针对预处理步骤,例如利用 Unicode 剥离来对抗压缩感知保护。
- 大多数评估仍基于基准或特定领域,而非开放世界。
- 安全收益往往要以时延、离线构建成本或实现复杂度为代价。
主题:CoT 和内部推理有用——但不能按字面信任
- 为什么重要:多篇论文汇聚到同一个警告:可见推理既不是忠实解释,也不是安全的监督通道。内部信号可能比口头化置信度更有信息量,但暴露或放大推理会创造新的攻击面。
- 代表论文:
- Persuasion Attacks Can Decrease Effectiveness of CoT Monitoring
- What LLM Forecasters Know but Don’t Say: Probing Internal Representations for Calibration and Faithfulness
- Overthinking: Amplifying Reasoning Weights to Extract Learned Secrets
- Towards Mechanistically Understanding Why Memorized Knowledge Fails to Generalize in Large Language Model Finetuning
- 共同方法:
- 探测隐藏激活或干预内部状态,而不是信任表层理由。
- 比较在证据消融、强制作答或激活 patching 下的行为,以检测隐藏承诺。
- 将推理视为一种可操纵能力:它可以被放大、被 patch、被监控。
- 区分“模型声称它用了什么”和“真正因果性改变其输出的是什么”。
- 开放问题 / 失效模式:
- 暴露 CoT 可能提高监控器对有害动作的批准率。
- probe 结果可能对泄漏、训练重叠或模型家族敏感。
- 像 overthinking 这样的白盒方法对审计很强大,但仅限模型所有者。
- 机制性干预通常更偏诊断,而不是可部署修复。
主题:更好的评估意味着测量校准、弃答和评审可靠性
- 为什么重要:当前很大一部分进展体现在评估设计上。这些论文认为,平均准确率掩盖了部署中最重要的行为:过度自信、错误弃答、评估器偏差以及自适应停止带来的伪影。
- 代表论文:
- CausalDS: Benchmarking Causal Reasoning in Data-Science Agents
- Certified Interventional Fidelity: Anytime-Valid, Adaptive Evaluation of Causal Claims in Mechanistic Interpretability
- When the Judge Changes, So Does the Measurement: Auditing LLM-as-Judge Reliability
- Do You Need a Frontier Model as a Citation Verifier? Benchmarking Rubric LLMs for Deep-Research Source Attribution
- 共同方法:
- 将不确定性和弃答作为一等输出,而不是副作用。
- 在可能时使用确定性评分器或人工裁决 gold;当使用 LLM 评审时,显式审计偏差和分歧。
- 报告方向性错误,如 FPR/FNR、通过率漂移或经验区间覆盖率。
- 在自适应评估下加入统计有效性,例如 anytime-valid 置信序列。
- 开放问题 / 失效模式:
- LLM 评审仍然有偏、相关且对协议敏感。
- 基准仍可能狭窄或带有 transductive 特性。
- 人工审核 gold 成本高且规模通常有限。
- 更好的测量并不会自动解决底层能力差距。
主题:记忆、上下文与压缩正成为一个统一的设计问题
- 为什么重要:长时程 agent 越来越多地失败,不是因为信息缺失,而是因为信息被压缩、遗忘,或在需要时没有被重新激活。理论和实践论文如今都将其视为一个率失真与干预问题。
- 代表论文:
- 共同方法:
- 将记忆视为一个有预算约束的表征问题,而不只是存储问题。
- 区分可逆的、检索支持的记忆与不可逆的摘要化。
- 通过选择性地将状态重新引入控制环,而不是始终开启上下文填充。
- 评估重复压缩事件,而不只是一次性压缩质量。
- 开放问题 / 失效模式:
- 与查询无关且不可逆的压缩,可能悄无声息地破坏任务关键比特。
- 固定提醒计划可能错过记忆最重要的时刻。
- 压缩感知防御在清洗或规范化下可能失效。
- 跨层组合效应仍缺乏良好测量。
主题:新基准正瞄准真实残余失败,而非已饱和的平均指标
- 为什么重要:多个新发布聚焦于人类容易但模型仍会失败的任务、真实环境、长上下文脆弱性以及多模态推理缺口。趋势是构建能暴露前沿系统在现实场景中仍会失效之处的基准。
- 代表论文:
- 共同方法:
- 构建面向能力或面向失败的任务集,而不是按领域分桶。
- 使用真实或逼真的环境、确定性评分,或经过验证的 AI 评分器。
- 施压特定维度:诱饵、多模态 grounding、跨平台协同、时序推理。
- 将基准发布与消融实验配对,以识别真正限制能力的因素。
- 开放问题 / 失效模式:
- 许多基准仍相对较小或依赖人工策划。
- 真实环境会引入不稳定性和框架混杂因素。
- 一些任务按设计仍是合成的,这有助于控制,但限制了真实性。
- 基准上的提升未必能干净地迁移到开放世界部署。
3) 技术综合
- 一个强烈的跨论文模式是compile/route/verify(编译/路由/验证):将重复推理编译为工具或记忆对象,把任务路由到专门模式或评审器,再用确定性检查或次级模型进行验证。
- 多个系统通过从自由形式生成转向结构化中间对象来降低风险:verdict schema、source–sink 记录、DOM 关键路径、轨迹分组、checkpoint rubric。
- 选择性升级无处不在:TokenWall 只升级不确定流,Prismata 只标注关键路径,CodeTracer 缩小到 top-K 候选,记忆 agent 只在需要时注入。
- 多篇论文表明表层指标具有误导性:量化保留了准确率,却改变了逐样本正确性一致性;引用评审器有相似 F1,但 FNR/FPR 不同;CoT 文本变化与行为变化的跟踪关系很弱。
- 自适应评估正成为一等关注点:CIF 在可选停止下形式化了 anytime-valid 推断,而 TTHE 和评审审计论文表明,如果不做仪表化,自适应环路会扭曲结论。
- 弃答与不确定性正成为 agent 的核心能力,而不是失败。CausalDS 明确奖励在不可识别任务上的弃答,而 forecasting probes 在不重训的情况下提升了校准。
- 可逆与不可逆干预之间的分裂正在扩大:检索支持的记忆和结构化工具调用保留可审计性,而摘要化、压缩或隐藏 CoT 可能造成静默信息损失。
- 多篇论文依赖于冻结骨干模型 + 周边轻量适配器:probes、LoRA 记忆 agent、本地审计器、harness 编辑和编译式工具,都能在无需完整重训的情况下改善行为。
- 安全论文越来越假设更强的攻击者位置:可访问日志、页面内容、微调语料或持久状态。仅仅加固 prompt 的防御在这些威胁模型下显得不足。
- 评估本身正被视为一个工程系统:隐藏监督器、人工裁决委员会、解析器日志、置信序列以及基准专用 rubric,如今都是方法的一部分,而不只是报告部分。
4) Top 5 论文(附“为什么是现在”)
Prismata: Confining Cross-Site Prompt Injection in Web Agents
- 将平均攻击成功率从 85.5% 降到 0.7%,同时保留了大部分良性效用(任务成功率从 29.9% 到 26.6%)。
- 为 web agent 引入了实用的系统级防御:关键路径动作门控、具来源感知的 Biba 解析,以及确定性能力执行。
- 现在重要,因为 web agent 正进入真实浏览任务,而 prompt injection 已是默认威胁,不再是边缘情况。
- 可作为超越 Web 场景的最小权限 agent 接口设计模板。
- 持保留态度之处:依赖结构化 HTML 线索和以文本为中心的假设;多模态攻击和 live-DOM 动态仍不在范围内。
Tool-Making and Self-Evolving LLM Agents in Low-Latency Systems
- 展示了一种生产模式:将 SOP 节点编译为经过验证的工具,实现 94.5% 的 per-node pass@1。
- 带来具体部署收益:p50 时延降低 42%,在 direct-call 架构下进一步下降,端到端错误最高降低 53%。
- 为什么是现在:许多企业 agent 的瓶颈在于稳定后端上的重复代码/工具合成;这篇论文展示了何时应停止反复生成,转而开始编译。
- 对运维、支持和工作流自动化团队尤其有用,特别是那些存在重复决策树的场景。
- 持保留态度之处:证据来自一个已部署应用,且对定义不足的 SOP 仍需要人工监督。
Persuasion Attacks Can Decrease Effectiveness of CoT Monitoring
- 发现暴露 CoT 会使对违反策略动作的批准率平均增加 9.5%,把一种被提议的监督机制变成了攻击面。
- 跨家族外部事实核查是最强缓解手段,可将批准率平均降至约 6%。
- 为什么是现在:许多安全方案仍假设对推理有更多可见性就一定更好;这篇论文直接挑战了这一假设。
- 对设计 monitor-agent 架构的人尤其有用,特别是在代码、金融或内容审核场景。
- 持保留态度之处:任务是受控的、基于 justification 的,而不是完整端到端工具执行。
TTHE: Test-Time Harness Evolution
- 将测试时适配重新框定为围绕可执行 harness,而非模型权重,并且只使用无标签轨迹。
- 在执行落地任务上报告了大幅提升,包括 BIRD 12.0%→50.0%,以及 SWE-bench Verified 20.0%→35.0%。
- 为什么是现在:agent 质量越来越依赖 prompts、重试、工具包装器和验证逻辑,而不是原始模型增量。
- 对那些无法重训模型、但可以安全变更脚手架并收集轨迹的团队很有用。
- 持保留态度之处:评估具有 transductive 特性,且评审/代理指标失配是一个尚未解决的重大问题。
What LLM Forecasters Know but Don’t Say: Probing Internal Representations for Calibration and Faithfulness
- 在冻结激活上训练的 probe 比口头化置信度具有更好的校准,例如在 EF-8B 上 ECE 为 0.044,而口头化置信度为 0.093。
- 表明 CoT 只有部分忠实:在高影响消融中有 23% 的 stealth influence rate,而 probe 位移对行为位移的跟踪要好得多。
- 增加了操作价值:推理前路由可节省 30–47% token,且没有可测的准确率损失。
- 为什么是现在:预测、研究和决策支持系统需要能经受优化压力的置信度估计与理由审计。
- 持保留态度之处:迁移性主张受限于泄漏控制、重叠警告以及模型家族依赖。
5) 实际下一步
- 在边界而不只是 prompt 上为 agent 栈做仪表化:记录并分类 source→sink token 流、工具参数、记忆写入以及 DOM 定向动作。
- 对稳定的 SOP 类工作流,用编译式、版本化工具替代重复的推理时代码生成;测量时延、方差和回退频率。
- 在部署前,用 persuasion 红队审计任何 CoT 监控方案;测试仅 justification、暴露 CoT,以及跨家族事实核查监控器。
- 在冻结模型上增加校准 probe 或轻量置信头,用于高风险预测、分诊或弃答决策。
- 按干预时机评估记忆系统,而不只是检索质量:比较始终开启上下文、被动检索和选择性提醒注入。
- 跟踪逐样本一致性指标,而不只是聚合准确率:正确性一致性、弃答质量、区间覆盖率和通过率漂移常能揭示隐藏回归。
- 尽可能使用模型多样化验证:跨家族事实核查器、人工裁决的困难子集,或确定性执行检查,都能减少相关性失败。
- 在更强攻击者假设下对 agent 防御做压力测试:可编辑日志、被投毒的微调数据、自适应网页内容以及持久状态操纵。
- 对于长上下文系统,对重复压缩事件做基准测试,并区分可逆的检索支持记忆与不可逆的摘要化。
- 如果使用 LLM 评审作为奖励,先按标准校准方向性偏差;相似的 F1 仍可能意味着非常不同的 RL 激励。
基于逐篇论文分析生成;未进行外部浏览。