2026年7月13日 AI 研究简报
控制正在移出提示词。
今天的论文表明,更可靠的 AI 系统越来越来自显式契约、有界动作、过程感知评估,以及围绕路由、工具和验证器构建的结构性防御。
核心要点
- **当控制从自由形式提示转移到显式结构中时,Agent 系统正变得更有用**:多篇论文表明,相比仅依赖提示词行为,受限动作空间、确定性验证器、工具门控检索或代码拥有的契约都能带来收益。
- **评估正从最终答案准确率转向过程有效性**:今天最强的基准论文衡量的是动作轨迹、资源使用、长期记忆效应、路由成本、区域覆盖缺口或内部推理轨迹,而不只是最终输出。
- **安全研究正越来越多地瞄准编排层**:路由元数据、提示词/工具边界、浏览器/API 拦截以及合规流水线,正在成为一等攻击面和防御点。
#1
主题
值得优先阅读的论文
按研究价值排序:新意、方法可复用性、证据质量,以及是否值得带着怀疑去读。
An AI agent for treatment reasoning over a biomedical tool universe
#1值得打开一读,因为它为生物医学推理中经 RL 训练、主动寻证的工具使用提供了一个具体蓝图。
- 为什么现在值得读
- 高风险 Agent 部署需要比通用的工具增强提示更强的证据。
- 怀疑点
- 工具的可靠性和覆盖范围可能主导结果,而真实临床影响尚未通过前瞻性研究证明。
From Prompts to Contracts: Harness Engineering for Auditable Enterprise LLM Agents
#2它提供了一种互补的工程模式,将 Agent 行为转化为清单、验证器和可追踪契约。
- 为什么现在值得读
- 从演示走向部署的团队,比起更好的提示词,更需要可审计的控制界面。
- 怀疑点
- 该研究更强调在有界设置中的契约执行,而不是广泛的领域正确性。
Wrong Before Right: Late Rescue and Interface Failure in Aligned Language Models
#3它将内部推理动态与压缩条件下的真实部署脆弱性联系起来,提供了一个可复用的可靠性视角。
- 为什么现在值得读
- 随着压缩模型被更广泛部署,仅看输出准确率已无法捕捉重要的内部失效模式。
- 怀疑点
- 证据在最小对设置上最强,未必能完全迁移到开放式生成。
运行统计
- 候选论文: 2072
- 入选论文: 30
- 已精读完成: 30
- 时间窗口 (UTC): 2026-07-10T00:00:00Z → 2026-07-11T00:00:00Z (weekend_backlog_sat, expanded=0)
展开查看用于总结的论文列表
| arXiv ID | 标题 / 链接 | 分类 | 评分 | 入选理由 | 标签 |
|---|---|---|---|---|---|
2607.04640 | Wrong Before Right: Late Rescue and Interface Failure in Aligned Language Models | cs.CL | 93 | Mechanistic alignment study links late-layer rescue to real errors across 17 LMs. | alignment, interpretability, reliability, mechanistic, llms |
2606.28692 | An AI agent for treatment reasoning over a biomedical tool universe | cs.AI | 92 | Agentic biomedical reasoning with RL over 212 tools; strong frontier-agent relevance and concrete setup. | agents, tool-use, reinforcement-learning, biomedical, reasoning |
2606.30807 | Off the Rails: Hijacking the Scoring Head in Generative End-to-End Driving Planners with Safety-Violating Adversarial Perturbations | cs.RO, cs.CR, cs.CV | 92 | Adversarial attack on generative driving planners exposes a concrete safety-critical failure mode. | adversarial-robustness, autonomous-driving, safety, security, evaluation |
2607.08285 | Psychological Competence as a Missing Dimension in AI Evaluation | cs.AI | 91 | Introduces a missing eval dimension for human-facing AI: psychological competence and interaction effects. | ai-safety, evaluation, human-ai-interaction, reliability, alignment |
2607.08282 | Multi-Agent Firewall Architecture for Privacy Protection of Sensitive Data in Interactions with Language Models | cs.CR, cs.AI, cs.MA | 90 | Open-source LLM privacy firewall with interception plus multi-agent leakage prevention. | LLM-security, privacy, data-leakage, multi-agent, firewall, prompt-injection |
2607.08288 | From Legacy Documentation to OSCAL: An MCP-Based Agent Pipeline for Threat-Informed Continuous Compliance in Critical Infrastructure | cs.CR, cs.AI | 90 | MCP multi-agent compliance pipeline with source-verified retrieval targets hallucination risk. | agents, security, compliance, hallucination, retrieval |
2607.08054 | Who Analyses the Analyser? Self-Validating LLM Hazard Analysis with Constitutional Meta-STPA | cs.LG, cs.AI | 90 | Directly targets safety of LLM-assisted hazard analysis with self-auditing STPA loop. | ai-safety, hazard-analysis, auditability, llm-reliability, governance |
2606.30801 | Using AI Agents to Automate Black-Box Audits of Personalization Algorithms at Scale | cs.CL, cs.CY, cs.LG, cs.SI | 90 | AI agents for scalable black-box audits of personalization; strong societal and auditing relevance. | agents, auditing, evaluation, personalization, safety |
2607.05001 | TACTIC-KG: Toward Small Agent Teams for Cyber Threat Intelligence Knowledge Graph Construction | cs.CR, cs.AI, cs.LG, cs.MA | 90 | Agentic CTI KG pipeline with verification/curation; strong security relevance and practical modularity. | agents, cybersecurity, knowledge-graphs, information-extraction, evaluation |
2606.28900 | MedEvoEval: Evaluating Continual Evolution of Doctor Agents through Simulated Clinical Episodes | cs.AI, cs.CL | 90 | Longitudinal benchmark for evolving doctor agents; strong agent evaluation relevance. | agents, evaluation, medical-ai, longitudinal, benchmark |
2606.29399 | LLM-Guided Planning for Multi-hop Reasoning over Multimodal Nuclear Regulatory Documents | cs.AI | 89 | Agentic long-doc reasoning with tools, KG state, and strong faithfulness/accuracy on nuclear documents. | agents, rag, long-context, grounding, evaluation, safety-critical |
2607.08499 | Cross-seed explainability using Procrustes-conditioned Joint End-to-end Top-K Sparse Autoencoders | cs.CL | 89 | Mechanistic interpretability on cross-seed feature universality; reusable SAE method for LLM analysis. | interpretability, mechanistic-interpretability, sparse-autoencoders, bert, feature-alignment |
2607.08017 | Can We Trust LLM's Logic? Quantifying Uncertainty, Coherence, and Robustness via a Graph-Based Framework | cs.CL, cs.AI | 89 | Graph-based reasoning fidelity/UQ for LLMs targets coherence and adversarial robustness. | llm-evaluation, uncertainty, reasoning, robustness, graph-based |
2606.30555 | Linguistic Firewall: Geometry as Defense in Multi-Agent Systems Routing | cs.AI, cs.MA | 88 | Targets MAS routing security by defending against agent misrepresentation and hidden backdoors. | multi-agent, routing, security, agent-evaluation, backdoors, LLM-agents |
2607.08028 | From Prompts to Contracts: Harness Engineering for Auditable Enterprise LLM Agents | cs.AI, cs.CL, cs.SE | 88 | Auditable LLM-agent harness moves behavior into contracts, schemas, traces, and validation. | agents, auditing, enterprise, reliability, guardrails |
2606.30887 | Training Therapeutic Judges and Multi-Agent Systems for Human-Aligned Mental Health Support | cs.CL, cs.AI, cs.MA | 88 | Judge-model plus multi-agent refinement for mental-health support; alignment via actionable evaluation. | alignment, judge-models, multi-agent, mental-health, evaluation, human-aligned |
2606.28925 | Multi-Agent Routing as Set-Valued Prediction: A WildChat Benchmark and Cost-Aware Evaluation | cs.LG, cs.AI, cs.IR, cs.MA | 88 | Useful benchmark for multi-agent/tool routing with cost-aware evaluation on realistic prompts. | agents, benchmark, tool-routing, evaluation, cost-aware |
2606.30059 | From Failure Taxonomy to Intervention: A Diagnostic Methodology for Industry-Scale AVLM in Video and Live-Streaming Platform Moderation | cs.LG | 88 | Diagnostic framework for AVLM moderation failures with targeted interventions for safety deployment. | multimodal, moderation, safety, diagnostics, deployment |
2607.08522 | Stop Guessing When to Stop Testing: Efficient Model Evaluation with Just Enough Data | cs.LG | 88 | Adaptive sequential testing could cut eval cost while preserving reliability across model comparisons. | evaluation, benchmarking, statistics, efficiency |
2607.01977 | OntoLearner: A Modular Python Library for Ontology Learning with Large Language Models | cs.AI | 88 | LLM ontology-learning framework with 180 ontologies, benchmarks, and reusable infrastructure. | llm, knowledge, benchmark, framework, ontology |
2606.29354 | When LLMs Develop Languages: Symbolic Communication for Efficient Multi-Agent Reasoning | cs.AI, cs.NE | 88 | Multi-agent symbolic communication for reasoning efficiency; novel agentic inference idea. | llm, multi-agent, reasoning, test-time, efficiency |
2606.29871 | AI Training Manager: Bounded Closed-Loop Control of Adaptive Training Recipes | cs.AI | 88 | Bounded LLM controller for training recipes is agentic and safety-aware via constrained actions. | llm-agents, training, control, safety, reliability |
2606.31307 | When the Database Fails: Prompting LLM Dialogue Agents for Safe Recovery in Task-Oriented Dialogue | cs.CL | 87 | Directly studies safe recovery from DB failures to reduce hallucinated task-agent actions. | dialogue-agents, safety, hallucination, grounding, reliability, prompting |
2606.31474 | TabPATE: Differentially Private Tabular In-Context Learning Without Public Data | cs.LG | 87 | Targets privacy leakage in in-context learning with DP defense and explicit membership inference threat. | privacy, differential-privacy, in-context-learning, membership-inference, tabular |
2606.29687 | A Machine-Verified Proof of a Quantum-Optimization Conjecture | quant-ph, cs.AI, cs.LG, cs.LO, math.OC | 87 | LLM-assisted, Lean-verified proof is a notable reliability milestone for agentic formal reasoning. | llm-agents, formal-verification, reasoning, reliability, theorem-proving |
2607.08665 | Resample or Reroute? Budget-Aware Test-Time Model Selection for Large Language Models | cs.LG | 87 | Budget-aware LLM routing vs resampling is practical for reliable, cost-constrained deployment. | llm-serving, routing, test-time-compute, verification, reliability |
2607.04907 | Medi-Gemma: A Hybrid Clinical Decision Support System Integrating Deterministic EMR Analytics and Retrieval-Augmented Generation | cs.AI | 87 | Clinical LLM system explicitly targets hallucination via deterministic EMR analytics plus RAG orchestration. | llm-reliability, rag, hallucination, clinical-ai, agents |
2606.29403 | Self-Organized Conformal Prediction: Reducing Regional Coverage Gaps with Unsupervised Group Discovery | stat.ML, cs.AI, cs.LG | 87 | Targets subgroup undercoverage in conformal prediction; strong reliability/safety value. | reliability, uncertainty, conformal-prediction, safety, calibration |
2606.29493 | Faults in Our Formal Benchmarking: Dataset Defects and Evaluation Failures in Lean Theorem Proving | cs.AI | 86 | Important benchmark audit exposing certified defects and eval failures in LLM theorem proving. | evaluation, benchmarks, theorem-proving, reliability, formal-methods, audit |
2607.07196 | Validate the Dream Before You Trust Its Verdict: Admissibility for World-Model Simulators | cs.RO, cs.AI, cs.LG, cs.SE | 86 | Argues world models need accreditation before safety verdicts; strong eval framing. | world-models, safety, evaluation, robotics, verification |
AI 论文洞察简报
2026-07-13
0) 执行要点(先读这个)
- 当控制从自由形式提示转移到显式结构中时,Agent 系统正变得更有用:多篇论文表明,相比仅依赖提示词行为,受限动作空间、确定性验证器、工具门控检索或代码拥有的契约都能带来收益。
- 评估正从最终答案准确率转向过程有效性:今天最强的基准论文衡量的是动作轨迹、资源使用、长期记忆效应、路由成本、区域覆盖缺口或内部推理轨迹,而不只是最终输出。
- 安全研究正越来越多地瞄准编排层:路由元数据、提示词/工具边界、浏览器/API 拦截以及合规流水线,正在成为一等攻击面和防御点。
- 临床和安全关键领域正收敛到混合架构:确定性分析 + 检索 + 有界生成 + 安全检查,这一模式在治疗推理、EMR 支持、监管审查和心理健康支持中反复出现。
- 便宜、本地或小模型系统在良好分解下也能竞争:LoRA 专门化小型 Agent、微调编码器和模块化流水线,常常在路由、CTI 图构建和审核诊断上击败更大的单体基线。
- 一个反复出现的开放问题是验证器质量:无论是治疗评审器、路由、基于图的推理审计,还是重采样 vs 重路由策略,系统性能都越来越依赖评估器或验证器的质量与校准。
2) 关键主题(聚类)
主题:面向高风险领域的有界 Agent 系统
- 为什么重要:这里最强的应用系统并不信任单次 LLM 运行。它们将任务分解为证据收集、确定性计算、受约束动作和可审计轨迹——尤其是在医疗、监管和合规领域。
- 代表性论文:
- An AI agent for treatment reasoning over a biomedical tool universe
- LLM-Guided Planning for Multi-hop Reasoning over Multimodal Nuclear Regulatory Documents
- Medi-Gemma: A Hybrid Clinical Decision Support System Integrating Deterministic EMR Analytics and Retrieval-Augmented Generation
- From Legacy Documentation to OSCAL: An MCP-Based Agent Pipeline for Threat-Informed Continuous Compliance in Critical Infrastructure
- 共同方法:
- 用基于工具、文档树或结构化状态的迭代规划,替代单次 RAG。
- 将精确计算和权威检索保持为确定性;把生成保留给综合总结。
- 在输出到达用户之前加入显式安全或导出闸门。
- 产出可检查的轨迹或知识图谱,而不是不透明答案。
- 开放问题 / 失效模式:
- 即使下游检索是确定性的,上游抽取错误仍会传播。
- 工具/库覆盖范围限制可能会悄然封顶性能。
- 若干系统展示了很强的功能行为,但前瞻性或真实世界验证仍有限。
- 一些重规划流水线的成本/延迟仍然较高。
主题:评估正在变得过程感知、长期化和自适应
- 为什么重要:仅看输出的基准越来越无法捕捉部署中真正重要的行为:Agent 如何收集证据、如何消耗资源、如何随时间变化,或如何在压缩和分布异质性下失败。
- 代表性论文:
- MedEvoEval: Evaluating Continual Evolution of Doctor Agents through Simulated Clinical Episodes
- Stop Guessing When to Stop Testing: Efficient Model Evaluation with Just Enough Data
- Wrong Before Right: Late Rescue and Interface Failure in Aligned Language Models
- Self-Organized Conformal Prediction: Reducing Regional Coverage Gaps with Unsupervised Group Discovery
- 共同方法:
- 对中间轨迹做仪表化,而不只是记录最终答案。
- 在顺序式或长期协议下评估,而不是固定的一次性测试。
- 使用局部化或群组感知诊断,暴露隐藏失效区域。
- 将模型内部行为与下游鲁棒性结果联系起来。
- 开放问题 / 失效模式:
- 模拟情节和自动评审器未必能干净地迁移到真实实践。
- 一些诊断更偏描述性,而不是完整保证。
- 顺序评估依赖近似 i.i.d. 行为等假设。
- 内部指标可能难以与自由形式生成质量建立联系。
主题:路由、编排和验证器驱动推理正成为核心优化目标
- 为什么重要:系统质量中越来越大的一部分,来自在成本约束下选择正确的模型、工具、Agent 集合或推理路径。这正在成为 ML 系统设计中的一个独立层。
- 代表性论文:
- Multi-Agent Routing as Set-Valued Prediction: A WildChat Benchmark and Cost-Aware Evaluation
- Resample or Reroute? Budget-Aware Test-Time Model Selection for Large Language Models
- When LLMs Develop Languages: Symbolic Communication for Efficient Multi-Agent Reasoning
- AI Training Manager: Bounded Closed-Loop Control of Adaptive Training Recipes
- 共同方法:
- 将编排形式化为一个关于成本、效用和验证器信号的优化问题。
- 使用轻量学习评分器或确定性后处理层,而不是纯零样本路由。
- 复用紧凑的中间表示或符号协议,以降低 token 成本。
- 通过 schema、阈值或动作表面来限制控制器权限。
- 开放问题 / 失效模式:
- 当验证器质量下降时,收益往往会崩塌。
- 模拟效用函数可能与端到端用户结果不匹配。
- 离线演化或路由校准可能成本高昂。
- 顺序自适应策略即使改善成本-质量权衡,也可能伤害延迟表现。
主题:安全防御正从内容过滤转向结构性控制
- 为什么重要:多篇论文认为,当攻击面是架构层时,提示词级防御过于薄弱:例如路由元数据、浏览器/API 外泄路径、基准测试 harness,或不安全的规划器评分头。
- 代表性论文:
- Linguistic Firewall: Geometry as Defense in Multi-Agent Systems Routing
- Multi-Agent Firewall Architecture for Privacy Protection of Sensitive Data in Interactions with Language Models
- From Prompts to Contracts: Harness Engineering for Auditable Enterprise LLM Agents
- Off the Rails: Hijacking the Scoring Head in Generative End-to-End Driving Planners with Safety-Violating Adversarial Perturbations
- 共同方法:
- 尽可能将不受信任的自然语言移出关键控制路径。
- 插入确定性验证器、清单或本地检查层。
- 将下游选择头和编排逻辑视为攻击面。
- 使用显式对抗或故障注入协议进行评估,而不是温和基准。
- 开放问题 / 失效模式:
- 结构性防御通常假设受信任的离线校准或受信任嵌入。
- 强防御可能增加延迟或运维复杂度。
- 在自适应或白盒设置下,一些攻击仍然有效。
- 在协议、浏览器或部署环境上的覆盖通常仍不完整。
主题:评审器、批评器和元评估器正成为一等系统组件
- 为什么重要:许多系统现在依赖学习型评估器来指导改进、路由或安全分析。这带来了杠杆——但也引入了一个本身必须被审计的新依赖。
- 代表性论文:
- Training Therapeutic Judges and Multi-Agent Systems for Human-Aligned Mental Health Support
- Can We Trust LLM’s Logic? Quantifying Uncertainty, Coherence, and Robustness via a Graph-Based Framework
- Who Analyses the Analyser? Self-Validating LLM Hazard Analysis with Constitutional Meta-STPA
- Using AI Agents to Automate Black-Box Audits of Personalization Algorithms at Scale
- 共同方法:
- 围绕多维 rubric 训练或构造评审器,而不是单一标量偏好。
- 将评估器输出作为改进或治理的主动控制信号。
- 加入对抗探针、清单或元分析,以验证评估器本身。
- 分离生成模型与评估模型,以减少奖励黑客或偏差。
- 开放问题 / 失效模式:
- 评审器质量通常受限于领域,且标注成本高。
- 词汇级或启发式验证器可能漏掉释义或细微失效。
- 基于 Agent 的审计在人类真实性方面仍有疑问。
- 如果评审器漂移,强依赖评估器会使流水线变得脆弱。
3) 技术综合
- 多篇论文收敛到一种 先生成再验证(generate-then-verify) 模式,但最强版本会让验证变成确定性的或外部扎根的,而不是再来一次自由形式 LLM 调用。
- 动作空间限制 是反复出现的安全原语:MedEvoEval 的四种动作、AI Training Manager 的有界 JSON 更新、企业 harness 验证器,以及监管 browse/read/search 工具,都在减少失控行为。
- 多个系统表明 规划优于单纯检索:FSAR 论文在相同树/工具条件下,单独测得状态条件规划带来 +38.0 点增益;ATHENA-R1 则通过学习寻证策略而非仅仅拥有工具访问,超过了工具使用基线。
- 验证器质量如今是跨领域瓶颈变量:RoR 的收益会随着验证器质量下降而缩小,治疗式改进依赖评审器保真度,基于图的推理审计则依赖分解质量。
- 在安全关键场景中,混合式确定性 + 生成式架构 趋势明显:表格用确定性分析,标识符用确定性检索,而 LLM 只用于综合或有界规划。
- 多篇论文用 压缩的操作性表示 替代重文本推理:符号 LSF、动态子 KG、manifest/claims、用于局部校准的 SOM 单元,以及用于路由的行为算子。
- 成本感知评估与推理 正从隐式变为显式:加权路由、顺序测试、受 token 预算约束的符号推理,以及预算感知的重采样/重路由,都在资源约束下优化效用。
- 鲁棒性研究正越来越 接口特定:wrong-dip 暴露了压缩下内部接口脆弱性,DERAIL 针对规划器评分头,而 TOD 恢复则针对 DB 边界而非通用幻觉。
- 一个值得注意的方法论分化正在出现:一边是 面向真实性的基准(实时 X 审计、临床情节、企业轨迹),另一边是 面向保证的基准(保形有效性、DP、机器验证证明);目前很少有论文同时结合两者。
- 小型专用模型加上良好分解,往往优于更大的单体模型,这表明在许多应用场景中,系统设计目前比原始模型规模是更大的杠杆。
4) Top 5 论文(附“为什么是现在”)
A Machine-Verified Proof of a Quantum-Optimization Conjecture
- 解决了关于 ring of disagrees 上深度为 p 的 QAOA 的 Farhi–Goldstone–Gutmann 猜想,证明其精确近似比为 ((2p+1)/(2p+2))。
- 引入了一条新的解析路径:从 QAOA 模态动力学通向 SU(2)/QSP 多项式插值。
- 展示了一种先生成再认证的工作流,其中 Claude Fable 5 帮助产出证明,而 Lean 4 对其进行了机械验证。
- 为什么是现在:这是一个罕见案例,LLM 辅助对真正非平凡的定理作出了贡献,同时最终产物又是机器可检验的。
- 怀疑点 / 局限性:语义鸿沟仍然存在——人类仍必须确保形式化陈述与预期的非形式猜想一致。
An AI agent for treatment reasoning over a biomedical tool universe
- 在 212 个生物医学工具上训练了一个寻证式治疗 Agent,使用大规模合成轨迹加上带科学反馈的 RL。
- 在报告设定下,DrugPC 达到 94.7%,TreatmentPC 达到 82.9%,优于 GPT-5 和其他推理/工具基线。
- 包含盲法专家偏好研究,以及对生成不良事件假设的观察性 EHR 验证。
- 为什么是现在:这是最清晰地表明“仅有工具访问还不够”的论文之一;真正的差异化在于学到的证据收集策略。
- 怀疑点 / 局限性:性能依赖工具覆盖与可靠性,而 EHR 验证是观察性的,不是前瞻性的。
Wrong Before Right: Late Rescue and Interface Failure in Aligned Language Models
- 识别出“wrong-dip”现象:中间层会短暂偏向错误答案,随后由后期层挽救输出。
- 表明高 dip 样本在结构压缩下失败的概率高出 3–7 倍,而量化失败在很大程度上对 dip 不敏感。
- 展示了一种 dip 正则化 LoRA 干预,可降低因果 dip 并提升压缩保真。
- 为什么是现在:随着模型压缩和部署优化加速,仅看输出层面的评估越来越不足以捕捉内部脆弱性。
- 怀疑点 / 局限性:证据在最小对任务和 LoRA 规模干预上最强,对广泛自由形式生成的支持还不充分。
Linguistic Firewall: Geometry as Defense in Multi-Agent Systems Routing
- 用基于受信任基准查询经验学习得到的行为算子,替代基于文本的路由决策。
- 在描述注入测试中实现了接近零的 ASR,而文本路由基线在这些测试中被严重劫持。
- 将路由安全重新定义为:把不受信任语言移出控制路径,而不是试图清洗它。
- 为什么是现在:多 Agent 系统正在快速扩散,而路由元数据正成为一个现实攻击面。
- 怀疑点 / 局限性:该防御假设存在受信任的离线校准流水线和可信嵌入。
From Prompts to Contracts: Harness Engineering for Auditable Enterprise LLM Agents
- 展示了如何将企业 Agent 行为从提示词迁移到 manifest、提升后的 claims、验证器和轨迹工件中。
- 在 270 次真实模型运行中,代码拥有的检查始终通过,而模型组合输出则随提供商而变化。
- 在消融实验中,该 harness 阻止了所有测试违规,同时比外部 guardrail 更好地保留了效用。
- 为什么是现在:许多企业团队卡在原型演示与可部署系统之间;这篇论文提供了一种跨越这一鸿沟的具体工程模式。
- 怀疑点 / 局限性:评估基于一个有界的公共数据切片,验证的更多是契约执行,而不是领域正确性。
5) 实际下一步
- 为过程而不只是输出做仪表化:记录工具调用、动作轨迹、检索范围、验证器结果和停止原因;多篇论文表明,这些能揭示被最终答案指标掩盖的失败。
- 将关键保证移入代码拥有层:对任何高风险工作流,使用 manifest、schema、确定性路由、精确分析和导出闸门。
- 显式审计你的验证器/评审器:如果系统用评审器做路由、改进或安全控制,在信任下游收益前,先测量其一致性、失效模式和漂移。
- 加入边界特定失效测试:DB 故障、错误领域检索、元数据注入、评分头扰动以及浏览器/API 泄漏,都是值得红队测试的具体接口。
- 直接评估成本-质量权衡:测试加权路由、顺序评估或预算感知的重采样/重路由,而不是假设固定基准规模或固定推理策略。
- 当任务需要多步证据收集时,优先选择学习型编排而非朴素工具访问;基准应测试模型是否知道该检索什么,而不只是工具是否可用。
- 对于安全关键 RAG,将确定性状态与叙事上下文分离:直接注入权威的最新状态事实,并将检索限制在有范围约束的记录或已验证来源内。
- 显式衡量子群体或区域失效:使用局部校准、留出迁移或 persona 条件审计,捕捉被全局平均值掩盖的可靠性缺口。
根据逐篇论文分析生成;未进行外部浏览。