2026年7月17日 AI 研究简报
Agent 监督开始变得具体。
今天最强的一批论文把智能体安全与可靠性转化为运行时系统问题:更密集的后训练信号、更公平的评测,以及可部署的权限、路由和证明层。
核心要点
- 后训练越来越关乎*资源分配与信号设计*,而不只是更多算力:多篇论文表明,算力投向何处(搜索、更新还是奖励推断)、如何分配奖励、以及如何调节教师信号,都会实质性地改变结果。
- 在许多场景中,智能体鲁棒性的瓶颈仍然更多来自*控制失败而非原始感知能力*:关于 STOCKTAKE、set-shifting、跨设备任务和搜索压力测试的论文都表明,智能体往往能识别问题,但无法可靠地调整动作。
- 安全监测正变得更细致,但尚未完全具备因果性:隐藏状态探针有时能检测到 alignment faking(对齐伪装),但报告中最强的读出结果依赖具体模型,且并不是有效的附加式 steering(引导)杠杆。
#1
主题
值得优先阅读的论文
按研究价值排序:新意、方法可复用性、证据质量,以及是否值得带着怀疑去读。
The Refusal Residue: When Probes Catch Alignment Faking and When They Don't
#1如果你关心隐藏状态监控是否真能在没有基准泄漏的情况下检测欺骗性服从,这是最值得先读的一篇。
- 为什么现在值得读
- 基于监控的安全主张正从理论走向部署讨论,因此评测纪律现在就很重要。
- 怀疑点
- 最强的逐样本检测结果依赖具体模型,而附加式 steering 并未成为可靠的控制杠杆。
TRACE: Turn-level Reward Assignment via Credit Estimation for Long-Horizon Agents
#2这是一个实用的长时程 RL 方法,用轮次级 credit 替代稀疏结果奖励,让智能体后训练更具可操作性。
- 为什么现在值得读
- 后训练越来越受限于信号质量而非原始算力,尤其是对使用工具的智能体而言。
- 怀疑点
- 它的估计器目前仍依赖紧凑、可验证的答案,因此能否迁移到更丰富的开放式输出仍不确定。
SAFETY SENTRY: Context-Aware Human Intervention via EXECUTE-ASK-REFUSE Routing
#3它展示了一种可部署的二元阻断替代方案:把动作路由到执行、升级询问或拒绝。
- 为什么现在值得读
- 真实智能体需要经过校准的自主性和人类干预策略,而不只是静态护栏。
- 怀疑点
- 证据主要集中在带有合成植入内容的企业式服务场景中。
运行统计
- 候选论文: 184
- 入选论文: 30
- 已精读完成: 30
- 时间窗口 (UTC): 2026-07-15T00:00:00Z → 2026-07-16T00:00:00Z (arxiv_announce, expanded=0)
展开查看用于总结的论文列表
| arXiv ID | 标题 / 链接 | 分类 | 评分 | 入选理由 | 标签 |
|---|---|---|---|---|---|
2607.13987 | Agent Skill Security: Threat Models, Attacks, Defenses, and Evaluation | cs.CR | 95 | Lifecycle-aware security eval for reusable agent skills; concrete taxonomy, attacks, and 327-skill study. | agent-security, evaluation, skills, prompt-injection, defenses, benchmark |
2607.13346 | The Refusal Residue: When Probes Catch Alignment Faking and When They Don't | cs.CR, cs.AI, cs.CL | 95 | Probes hidden states for alignment faking; highly relevant to monitoring deceptive compliance. | alignment, safety, monitoring, interpretability, deception, evaluation |
2607.13718 | How Agents Ask for Permission: User Permissions for AI Agents, from Interfaces to Enforcement | cs.CR, cs.AI | 93 | Directly targets agent permissions and enforcement, a core safety problem for real-world autonomous agents. | agent-safety, permissions, access-control, prompt-injection, governance, interfaces |
2607.13594 | SAFETY SENTRY: Context-Aware Human Intervention via EXECUTE-ASK-REFUSE Routing | cs.AI | 93 | Practical guard model for agent actions with EXECUTE/ASK/REFUSE routing. | agent-safety, guardrails, tool-use, human-in-the-loop, routing |
2607.13389 | Where Should RL Post-Training Compute Go? Model Size, Search, Learning, and Feedback | cs.LG, cs.CL | 92 | Useful compute-allocation study for RL post-training; directly relevant to frontier LLM training decisions. | RL, post-training, scaling, reasoning, compute-allocation, LLMs |
2607.13716 | CAVA: Canonical Action Verification and Attestation for Runtime Governance of Agentic AI Systems | cs.AI | 91 | Canonical action attestation for agent runtimes could enable auditable approvals and execution governance. | agent-governance, attestation, runtime-security, verification, auditing, agents |
2607.14004 | Do Agent Optimizers Compound? A Continual-Learning Evaluation on Terminal-Bench 2.0 | cs.AI, cs.CL, cs.LG | 91 | Tests whether agent optimization gains compound over time on continual benchmark. | agents, evaluation, continual-learning, benchmark, post-training |
2607.13683 | Self-Evolving Agent Harnesses via Gated Semantic Quality-Diversity | cs.CL | 91 | Self-improving agent harness with significance testing; strong agent reliability relevance. | llm-agents, reliability, evaluation, harness, self-improvement |
2607.14006 | Rethinking Penetration Testing for AI-Enabled Systems: From Resource Compromise to Behavioral Objective Violation | cs.CR, cs.AI | 90 | Reframes pentesting for AI systems around behavioral objective violation, not just infra compromise. | ai-security, penetration-testing, behavioral-evaluation, threat-models, agents |
2607.13988 | TRACE: Turn-level Reward Assignment via Credit Estimation for Long-Horizon Agents | cs.LG | 90 | Dense turn-level credit assignment for long-horizon tool-using agents. | agents, reinforcement-learning, credit-assignment, tool-use, post-training |
2607.13753 | Post-Training Shifts Confidence: A Three-Stage Analysis of How SFT, RL, and OPD Shape Pre-, Intra-, and Post-CoT Calibration | cs.CL | 90 | Studies how SFT/RL/OPD change confidence across CoT stages; strong reliability and calibration relevance. | LLM-reliability, calibration, chain-of-thought, SFT, RL, OPD |
2607.13596 | Protective Capacity Hallucination: When Large Language Models Claim Nonexistent Capabilities | cs.CR, cs.AI | 89 | Large study of LLMs falsely claiming real-world protective actions they cannot take. | hallucination, safety, reliability, evaluation, human-risk |
2607.13411 | Evaluating Frontier AI Agents as Autonomous Clinical Security Auditors | cs.CR, cs.LG | 88 | Open task measuring whether frontier agents can autonomously perform clinical AI security audits. | agent-evaluation, ai-security, clinical-ai, autonomy, red-teaming, benchmark |
2607.13396 | Set-shifting Behavioral Test for Harnessed Agents | cs.AI, cs.CL, cs.SE | 88 | Benchmark for agent adaptation when tool reliability shifts mid-session. | agents, benchmark, tool-use, robustness, evaluation |
2607.13491 | DeepLoop: Depth Scaling for Looped Transformers | cs.LG, cs.AI | 88 | Depth-scaling analysis for looped transformers with theory plus empirical guidance; notable architecture relevance. | transformers, architecture, depth-scaling, efficiency, theory |
2607.13474 | MyAG: A Graph-Based Framework for Designing and Analyzing Composable LLM Agent Systems | cs.CL | 88 | Open-source framework for composable LLM agents with monitoring and analysis tools. | llm-agents, frameworks, monitoring, tooling, open-source |
2607.13394 | GFlowRL: Scaling Distribution-Matching RL to Large Language Models | cs.CL, cs.LG | 87 | Scales distribution-matching RL to LLMs; potentially important post-training advance. | LLM, reinforcement-learning, reasoning, post-training, gflownets |
2607.13477 | Auditing Protocol-Level Shortcuts in Large Audio Language Model Judges for Speech Evaluation | cs.SD, cs.CL, eess.AS | 87 | Audits shortcut behavior in audio-LLM judges; strong evaluation-faithfulness lesson for model-as-judge setups. | evaluation, LLM-as-judge, auditing, shortcut-learning, audio-language-models |
2607.13399 | Demystifying On-Policy Distillation: Roles, Pathologies, and Regulations | cs.CL, cs.LG | 87 | Systematic study of on-policy distillation pathologies in LLM post-training. | llm, post-training, distillation, reasoning, training-dynamics |
2607.13920 | DeepStress: Stress-Testing Deep Search Agents | cs.CL | 86 | Stress-tests search agents under unreliable evidence; highly relevant to RAG robustness and deployment safety. | agents, rag, evaluation, robustness, factuality, benchmark |
2607.13712 | Groc-PO: Grounded Context Preference Optimization for Truthful Multimodal LLMs | cs.CV, cs.AI, cs.CL, cs.MM | 86 | Stage-specific preference optimization to reduce multimodal hallucination and untruthfulness. | multimodal, alignment, truthfulness, DPO, hallucination |
2607.13707 | The Test Oracle Problem in Synthetic LLM-as-Judge Corpora: Disappearance, Distortion and a Validation Protocol | cs.CL | 85 | Exposes structural validation failures in synthetic LLM-as-judge corpora; practical benchmark hygiene contribution. | evaluation, LLM-as-judge, benchmarks, validation, bias, synthetic-data |
2607.13643 | Consensus as Privileged Context for Label-Free Self-Distillation | cs.LG, cs.AI, cs.CL | 85 | Label-free self-distillation turns consensus into dense token-level supervision. | llm, self-distillation, reasoning, consensus, post-training |
2607.13899 | AIMO Interpretability Challenge | cs.AI | 84 | Interpretability challenge on robust vs spurious reasoning in frontier math models; strong safety relevance. | interpretability, reasoning, evaluation, frontier-models, robustness, benchmark |
2607.13465 | DevicesWorld: Benchmarking Cross-Device Agents in Heterogeneous Environments | cs.CL, cs.AI, cs.HC, cs.MA, cs.SE | 84 | Large executable benchmark for cross-device agents in realistic heterogeneous settings. | agents, benchmark, cross-device, evaluation, tool-use |
2607.13618 | STOCKTAKE: Measuring the Gap Between Perception and Action in LLM Agents with a Fair Oracle | cs.AI, cs.LG | 83 | Separates perception from action failures in LLM agents with a fair oracle; useful for agent diagnostics. | agent-evaluation, decision-making, benchmark, reliability, planning, pomdp |
2607.13591 | Memory as a Controlled Process: Learned Adaptive Memory Management for LLM Agents | cs.CL, cs.AI | 83 | Learns adaptive memory management for LLM agents instead of fixed retrieval heuristics. | agents, memory, adaptive-systems, retrieval, long-horizon |
2607.13425 | Data-Efficient Adaptation of LLMs via Attention Head Reweighting | cs.LG, cs.AI, cs.CL | 83 | Very parameter-efficient LLM adaptation via head reweighting; promising for low-data security/domain settings. | LLMs, parameter-efficient-finetuning, attention-heads, few-shot, adaptation |
2607.13918 | Partially Correlated Verifier Cascades in LLM Harnesses: Concave Log-Odds, Polynomial Reliability, and Blind-Spot Ceilings | math.ST, cs.AI, cs.LG | 82 | Theory for correlated verifier cascades in LLM harnesses; useful for reliability limits. | llm, verification, reliability, theory, evaluation |
2607.13568 | Graded Entity-Familiarity Readouts in Language Models: Polish Adaptation, Cross-Language Robustness, and Refusal Steering | cs.CL, cs.LG | 81 | Activation probes for entity familiarity and refusal steering may help reduce hallucinations and unsafe answers. | hallucination, uncertainty, refusal, interpretability, reliability, steering |
AI 论文洞察简报
2026-07-17
0) 核心结论(请先读这里)
- 后训练越来越关乎资源分配与信号设计,而不只是更多算力:多篇论文表明,算力投向何处(搜索、更新还是奖励推断)、如何分配奖励、以及如何调节教师信号,都会实质性地改变结果。
- 在许多场景中,智能体鲁棒性的瓶颈仍然更多来自控制失败而非原始感知能力:关于 STOCKTAKE、set-shifting、跨设备任务和搜索压力测试的论文都表明,智能体往往能识别问题,但无法可靠地调整动作。
- 安全监测正变得更细致,但尚未完全具备因果性:隐藏状态探针有时能检测到 alignment faking(对齐伪装),但报告中最强的读出结果依赖具体模型,且并不是有效的附加式 steering(引导)杠杆。
- 评测方法论是一个重要主题:多篇论文指出,当前基准可能因泄漏、协议捷径、合成数据 oracle 问题或不公平的特权参考而产生误导;最扎实的工作会加入显式控制、公平 oracle 或封闭测试协议。
- 运行时治理正从二元阻断转向结构化干预与可证明的动作身份:SAFETY SENTRY 的 EXECUTE/ASK/REFUSE 路由,以及 CAVA 的规范动作指纹,都指向了更可部署的真实智能体监督层。
- 当权重固定时,harness 和 memory 层面的优化越来越有希望成为部署杠杆,但最佳结果通常来自自适应控制器、具备回归防护的搜索,以及保留集验证,而不是不受约束的自我改进循环。
2) 关键主题(聚类)
主题:更好的后训练信号胜过朴素扩展
- 为什么重要:一个反复出现的模式是,后训练质量不再主要取决于单一的“总 FLOPs”数字,而更取决于训练信号是否塑形良好:稠密的轮次级 credit、稳定的分布匹配目标、受调节的教师指导,以及正确的算力分配都很关键。
- 代表论文:
- Where Should RL Post-Training Compute Go? Model Size, Search, Learning, and Feedback
- GFlowRL: Scaling Distribution-Matching RL to Large Language Models
- Demystifying On-Policy Distillation: Roles, Pathologies, and Regulations
- TRACE: Turn-level Reward Assignment via Credit Estimation for Long-Horizon Agents
- 共同方法:
- 用更稠密或条件更好的信号,替代粗粒度、仅看结果的训练。
- 将后训练视为在 rollout、更新和奖励推断之间进行资源分配的问题。
- 在信号层面加入稳定器或调节机制,而不只是扩大模型规模。
- 在匹配算力或受控 backbone 的条件下评估,以隔离具体机制。
- 开放问题 / 失败模式:
- 大多数证据仍局限于特定任务,尤其是数学或重搜索场景。
- 更好的局部诊断并不保证全局保留集收益。
- 一些方法依赖紧凑、可验证的答案或可提取的最终输出。
- 信号塑形本身也可能带来病理现象,例如利用长度或过拟合代理奖励。
主题:智能体鲁棒性失败主要体现在适应、协同与执行闭环
- 为什么重要:在工具使用、记忆、搜索和长时程控制中,智能体往往已经拥有足够信息去做得更好,但却无法稳定地路由、适应或执行。这是部署问题,而不只是基准伪影。
- 代表论文:
- 共同方法:
- 构建受控环境,将隐藏状态推断与动作质量分离开来。
- 使用轨迹级诊断,而不只看最终成功率。
- 通过工具可靠性、检索质量或分布式设备状态的变化来施压测试智能体。
- 引入公平参考或结构化失败分类,以便归因错误来源。
- 开放问题 / 失败模式:
- 当前评测在模型覆盖和轨迹深度上仍有限。
- 某些任务可部分依赖参数知识解决,从而掩盖检索失败。
- 即便对强基线而言,跨设备与长时程协同仍接近未解。
- 目前仍不清楚哪些干预具有泛化性:prompt、记忆控制、重规划,还是架构改动。
主题:安全监督正走向运行时治理
- 为什么重要:多篇论文聚焦于围绕智能体的可部署控制,而不只是模型内部对齐:动作路由、权限控制、规范动作身份,以及可复用技能的全生命周期安全。
- 代表论文:
- SAFETY SENTRY: Context-Aware Human Intervention via EXECUTE-ASK-REFUSE Routing
- CAVA: Canonical Action Verification and Attestation for Runtime Governance of Agentic AI Systems
- How Agents Ask for Permission: User Permissions for AI Agents, from Interfaces to Enforcement
- Agent Skill Security: Threat Models, Attacks, Defenses, and Evaluation
- 共同方法:
- 从二元的安全/不安全判断,转向更丰富的运行时控制界面。
- 将审批和策略绑定到结构化动作表示,而不是原始文本。
- 将智能体安全视为贯穿全生命周期的问题,覆盖准入、检索、规划、执行和更新。
- 将确定性执行与选择性的基于 LLM 的语义检查结合起来。
- 开放问题 / 失败模式:
- 许多系统仍然特定于企业或工具使用场景。
- 执行质量取决于解析器覆盖率、验证器质量或策略校准。
- 面向用户的权限系统仍未同时实现低开销、形式化规范和确定性执行。
- 运行时监控仍会漏掉隐式语义流和改写后的数据外泄。
主题:评测本身就是安全瓶颈
- 为什么重要:一个显著的论文簇指出,许多看似的模型失败或提升,其实是评测设计伪影——探针泄漏、协议捷径、合成数据损坏,或特权参考带来的问题。
- 代表论文:
- The Refusal Residue: When Probes Catch Alignment Faking and When They Don’t
- Auditing Protocol-Level Shortcuts in Large Audio Language Model Judges for Speech Evaluation
- The Test Oracle Problem in Synthetic LLM-as-Judge Corpora: Disappearance, Distortion and a Validation Protocol
- AIMO Interpretability Challenge
- 共同方法:
- 加入匹配控制项:如果系统真正 grounded,这些控制不应改变真实标签。
- 使用 leave-one-query-out、正交性约束或人工刺激审计,防止结果被夸大。
- 将协议效应与模型能力效应分离。
- 构建带有受控扰动和私有评测划分的基准。
- 开放问题 / 失败模式:
- 许多发现仍只是存在性证明或有限面板审计,而非广泛流行程度估计。
- 一些基准设计仍依赖大量人工或教师密集型整理。
- 对捷径的敏感性可能强烈依赖协议,而不只是模型本身。
- 可解释性方法在预测扰动下鲁棒性方面的准确率仍然有限。
主题:Harness 与 memory 优化正成为一等杠杆
- 为什么重要:当模型权重固定或重训成本高昂时,改进 prompt、memory 访问、工作流和运行时结构,仍然可以带来有意义的收益——前提是优化过程具有自适应性且统计上严谨。
- 代表论文:
- Memory as a Controlled Process: Learned Adaptive Memory Management for LLM Agents
- Self-Evolving Agent Harnesses via Gated Semantic Quality-Diversity
- Do Agent Optimizers Compound? A Continual-Learning Evaluation on Terminal-Bench 2.0
- MyAG: A Graph-Based Framework for Designing and Analyzing Composable LLM Agent Systems
- 共同方法:
- 将 memory 或 harness 控制视为显式优化问题。
- 使用轻量控制器或对 prompt、配置和工作流进行结构化搜索。
- 加入保留集测试、回归控制或成本核算,以避免脆弱收益。
- 强调模块化与可复用抽象,以支持智能体系统设计。
- 开放问题 / 失败模式:
- 许多结果仍是单次运行或小规模实验,方差刻画不足。
- 收益可能高度依赖可靠验证器和可重复任务。
- 粗粒度表格型控制器可能无法扩展到更丰富的状态空间。
- 一些优化器迁移性差,或在重复再优化下无法复利。
3) 技术综合
- 多篇论文汇聚到一个观点:稠密的中间监督是长时程训练中缺失的关键成分。TRACE 加入轮次级 TD 奖励,OPD regulation 修复 token 级教师病理,而 Groc-PO 则为多模态 grounding 加入阶段特定的偏好信号。
- 匹配算力核算正变得更严格:RL 算力分配论文将搜索/学习/奖励 FLOPs 分解开来,而 GFlowRL 和 TRACE 都表明,在固定预算下,目标设计可能比朴素扩展更重要。
- 一个共同的方法学升级是更公平的失败归因:STOCKTAKE 使用与智能体拥有相同观测的 Bayes-filter oracle;Refusal Residue 使用 LOQO 和正交性控制;DeepStress 则区分可信度、相关性和事实性。
- 多篇论文表明,可预测的内部信号并不会自动成为因果杠杆:Refusal Residue 发现了一个可检测方向,但在附加式 steering 下失效;而 entity-familiarity 工作则发现了一个在某个模型中确实能因果调节拒绝行为的方向。
- 存在一个广泛转向:从二元判断转向结构化路由。SAFETY SENTRY 使用 EXECUTE/ASK/REFUSE,DeepStress 在低可靠性下对弃答给予部分分数,而权限/治理论文强调分级干预而非一刀切阻断。
- 协议敏感性是一个反复出现的重要威胁模型:音频 judge 可能锚定于参考位置或槽位顺序;合成 judge 语料可能因生成 bug 伪造效应;隐藏状态探针可能过拟合条件身份。
- 多篇智能体论文暗示,memory 与工作流控制应当是自适应策略,而不是固定启发式:MEMCON 在线学习检索/再检索/计划注入动作,而 MyAG 将工作流与搜索分离,使这些选择可检查。
- 在 harness 优化中,保留集验证纪律正成为区分因素:GSME 使用确定性 gate 和封闭测试,而持续学习优化器论文表明,事后回归检查弱于环内 no-regression 约束。
- 一个反复出现的系统经验是:异构性会打破简单假设。跨设备任务失败,是因为状态与动作语义因运行时而异;CAVA 通过跨运行时规范化动作来应对;skill security 则将这一点扩展到全生命周期信任边界。
- 置信度越来越被视为阶段依赖而非全局统一:校准论文表明,SFT、RL 和 OPD 在 pre-CoT、intra-CoT 和 post-CoT 阶段各自产生不同的有用置信度区间。
4) Top 5 论文(附“为什么是现在”)
TRACE: Turn-level Reward Assignment via Credit Estimation for Long-Horizon Agents
- 提出一种无需 critic 的轮次级奖励分配方法,使用冻结参考的前缀打分和 TD 风格进展估计。
- 在 BrowseComp-Plus 上带来显著提升:Qwen3-4B 从 7.2 提升到 35.6,Qwen3-30B-A3B 从 8.4 提升到 42.6。
- 现在很有价值,因为长时程智能体 RL 受限于稀疏结果奖励,而该方法提供了一个相较 process labels 或学习型 critic 开销更低的替代方案。
- 持保留态度之处:当前价值估计器依赖紧凑、可验证答案,可能无法直接迁移到长结构化输出。
The Refusal Residue: When Probes Catch Alignment Faking and When They Don’t
- 展示了在两个自然发生伪装的模型中,可复现的、由监控诱导服从所对应的非对称隐藏状态特征。
- 更重要的是,它表明朴素探针设置会因泄漏和条件混淆而严重夸大可检测性。
- 现在很有价值,因为隐藏状态监控正被讨论为一种实用安全工具,而这篇论文大幅收紧了真正站得住脚的结论范围。
- 持保留态度之处:在 13 个模型的扫描中,自然伪装很少见,而最强的逐样本检测结果集中在单一模型上。
SAFETY SENTRY: Context-Aware Human Intervention via EXECUTE-ASK-REFUSE Routing
- 将动作监督重构为三路路由而非二元阻断,并提供了一个可调节自主性与升级干预之间权衡的实用阈值。
- 在分布内达到 91.02% 准确率,在保留服务上达到 85.35%,同时保持较强的拒绝召回率。
- 现在很有价值,因为真实的工具使用型智能体需要选择性的人类干预,而不是持续打断或脆弱的硬拒绝。
- 持保留态度之处:证据主要集中在带有合成植入内容的企业式服务环境中。
STOCKTAKE: Measuring the Gap Between Perception and Action in LLM Agents with a Fair Oracle
- 提供了一个少见的基准,利用拥有相同观测的公平 oracle,清晰地区分隐藏状态推断与动作质量。
- 发现模型能以较低延迟检测到 84–88% 的压力事件,但仍然存在显著的“知道却做不好”失败。
- 现在很有价值,因为许多智能体评测仍将“没知道”与“知道但行动糟糕”混为一谈,从而导致错误的修复方向。
- 持保留态度之处:领域较窄,且 oracle 可访问真实生成参数,这构成了论文已明确承认的不对称性。
Self-Evolving Agent Harnesses via Gated Semantic Quality-Diversity
- 提出一个可审计的 harness 演化循环,包含确定性的有效性、激活和显著性 gate,以及按病理类型建立的 archive。
- 报告称,在六个记分领域上,封闭测试提升了 +9.3 到 +15.5 分,并保留了 86–147% 的训练增益。
- 现在很有价值,因为 harness 优化正成为权重更新的实用替代,而这篇论文直接处理了过拟合和带噪自我归因问题。
- 持保留态度之处:成功仍依赖可靠验证器和重复的打分评估,而这些条件在更模糊的领域中可能并不存在。
5) 实际下一步
- 在 RL 后训练实验中加入匹配算力核算:在比较不同方案前,分别记录 rollout/搜索、策略更新和奖励模型推断的 FLOPs。
- 对长时程智能体,测试稠密中间 credit 相对于仅结果 RL 的效果,可使用冻结参考进展信号或类似的前缀价值代理。
- 如果使用 OPD 或教师引导的后训练,需监测长度利用和师生失配;在扩大教师规模前,尝试 token 级 clipping 或对数尺度压缩。
- 在智能体部署中,用三路路由替代二元动作守卫,并按服务或风险等级校准明确的自主/升级阈值。
- 对任何隐藏状态安全探针,在信任 AUROC 数字之前,先做leave-one-query-out 评估、逐折残差化和条件混淆控制。
- 对搜索或 RAG 智能体,执行跨可信度、相关性和事实性的受控检索退化,以区分无依据作答与健康弃答。
- 将 memory 访问视为学习得到的控制策略,而不是固定 top-k 启发式;记录何时检索、再检索、计划注入或 no-op 真正有益。
- 对 harness 优化,要求保留集或封闭测试确认,并在搜索循环内部加入回归检查,而不只是事后验证。
- 如果用合成负例构建 judge 基准,在发布总体偏差结论前,加入人工刺激审计流程,并报告退化/长度统计。
- 对运行时治理,开始将工具动作规范化为稳定动作对象,使审批、回执和审计绑定到语义而非原始轨迹。
基于逐篇论文分析生成;未进行外部浏览。