2026年7月18日 AI 研究简报
Agent 安全开始走向结构化。
今天最强的一批论文认为,可靠的 Agent 需要显式控制平面、与证据绑定的执行方式,以及针对持久化上下文攻击、多语言偏差和动态工具环境的新评测。
核心要点
- Agent 可靠性研究正从“更好的模型”转向“更好的运行时/控制平面”:多篇高质量论文表明,基于证据门控的执行、显式状态、语义化工具层以及结构化监控,相比更换新的基础模型更能带来收益。
- 持久化上下文如今已成为一类一等安全边界。多篇论文显示,日志、记忆文件、MCP 服务器、安装说明文档,甚至预训练网页评论,都可能成为可跨会话或跨流水线持续生效的注入通道。
- 评测方法正在被大幅修订:静态成功率、成对准确率以及逐题正确率,反复被证明无法预测真实部署行为。新工作主张采用过程级安全、跨版本鲁棒性、成本感知的安全评测、因果检索效用以及基于 regret 的不确定性指标。
#1
主题
值得优先阅读的论文
按研究价值排序:新意、方法可复用性、证据质量,以及是否值得带着怀疑去读。
FlowGuard: From Signals to Evidence for MCP Security Detection
#1这是一个面向工具使用型 Agent 的具体安全方法,用运行时证据和裁决式探测取代了基于语义的模糊怀疑。
- 为什么现在值得读
- 在成熟安全实践尚未建立之前,MCP 正在成为默认的 Agent 工具层。
- 怀疑点
- 黑盒探测会漏掉部分内部漏洞,也可能带来运营层面的扫描权衡。
LLM Evaluators are Biased across Languages
#2它表明,即使成对准确率看起来依然很强,多语言评审器的阈值也可能出现严重失准。
- 为什么现在值得读
- 许多对齐、安全和产品流水线仍然依赖跨语言的绝对评估器分数。
- 怀疑点
- 按语言校准能有所帮助,但依赖可靠的语言识别,而且未必能干净地泛化。
MemPoison: Uncovering Persistent Memory Threats and Structural Blind Spots in LLM Agents
#3它为记忆投毒提供了强有力的基准和分类体系,使持久化 Agent 上下文成为一类一等安全问题。
- 为什么现在值得读
- 越来越多的 Agent 开始保留跨会话记忆,使攻击面从一次性提示注入扩展出去。
- 怀疑点
- 基准覆盖范围仍可能低估自适应攻击者以及现实世界中多样化的记忆管理方式。
运行统计
- 候选论文: 215
- 入选论文: 30
- 已精读完成: 30
- 时间窗口 (UTC): 2026-07-16T00:00:00Z → 2026-07-17T00:00:00Z (arxiv_announce, expanded=0)
展开查看用于总结的论文列表
| arXiv ID | 标题 / 链接 | 分类 | 评分 | 入选理由 | 标签 |
|---|---|---|---|---|---|
2607.14651 | MemPoison: Uncovering Persistent Memory Threats and Structural Blind Spots in LLM Agents | cs.CR, cs.AI | 96 | Strong agent-memory security benchmark; persistent prompt poisoning taxonomy and broad model evaluation. | agent-safety, prompt-injection, memory, benchmark, security, evaluation |
2607.15143 | Setup Complete, Now You Are Compromised: Weaponizing Setup Instructions Against AI Coding Agents | cs.CR, cs.HC, cs.SE | 96 | Systematic study of setup-doc supply-chain attacks on coding agents; highly actionable agent security risk. | agent-security, coding-agents, supply-chain, prompt-injection, evaluation |
2607.15218 | When Words Are Safe But Actions Kill: Probing Physical Danger Beyond Text Safety in Hidden-State Risk Space | cs.AI, cs.CR | 94 | Separates text vs physical danger in LLM states; probe cuts overblocking for embodied safety. | agent-safety, embodied-agents, safety-evaluation, interpretability, risk-detection |
2607.14754 | FlowGuard: From Signals to Evidence for MCP Security Detection | cs.CR | 93 | Evidence-grounded MCP security detection for tool-using agents; highly relevant to deployment safety. | agent-safety, MCP, tool-use, security, monitoring, runtime-detection |
2607.15267 | Pretraining Data Can Be Poisoned through Computational Propaganda | cs.AI, cs.CL | 93 | Shows realistic web-scale pretraining poisoning via public interfaces; introduces inclusion analysis. | data-poisoning, pretraining, security, web-scale, dataset-curation |
2607.14642 | MCPEvol-Bench: Benchmarking LLM Agent Performance Across Dynamic Evolutions of MCP Servers | cs.AI, cs.SE | 93 | Benchmark for LLM agents under evolving MCP tools; highly relevant to agent robustness and evaluation. | agents, tool-use, MCP, benchmark, robustness, evaluation |
2607.14570 | Democratizing Agent Deployment Safety: A Structural Monitoring Approach | cs.AI, cs.CR | 92 | Practical monitoring for coding-agent sabotage under task success; strong real-world safety relevance. | agent-safety, monitoring, coding-agents, sabotage, deployment, security |
2607.14543 | SafeRelBench: A Spatial-Relation-Aware Benchmark for Process-Level Safety in VLM-Driven Embodied Agents | cs.RO, cs.AI | 91 | New benchmark for process-level embodied safety via spatial relations, beyond static refusal tests. | benchmark, embodied-agents, vlm, safety-evaluation, robotics |
2607.15166 | MedFailBench: A Clinician-Built Open-Source Benchmark for Medical AI Safety Boundary Inspection | cs.AI, cs.CL | 91 | Clinician-built benchmark targets medical AI safety boundary failures, not just accuracy. | AI-safety, medical-ai, benchmark, failure-analysis, evaluation |
2607.14528 | Controlled Reformulation Testing for Logical Consistency in Large Language Models | cs.CL, cs.AI | 91 | Benchmark for logical consistency under reformulations; strong reliability signal for LLM evaluation. | llm-eval, reliability, logical-consistency, benchmark |
2607.14611 | Bad Memory: Evaluating Prompt Injection Risks from Memory in Agentic Systems | cs.CR, cs.AI, cs.MA | 90 | Direct evaluation of prompt injection via persistent memory in real agentic systems and frontier models. | agent-safety, prompt-injection, memory, agents, security, evaluation |
2607.14480 | LLM Evaluators are Biased across Languages | cs.CL | 90 | Shows multilingual bias in LLM judges/reward models, a key reliability and alignment issue. | evaluation, reward-models, LLM-as-a-judge, multilingual, bias, alignment |
2607.15081 | DataShield: Uncovering Risky Fine-Tuning Data Across LLMs Through Consensus Subspace Alignment | cs.CR | 89 | Identifies risky fine-tuning data across LLMs using consensus safety subspaces; useful for alignment. | alignment, fine-tuning, data-filtering, safety, representation-learning |
2607.14573 | Alipay-PIBench: A Realistic Payment Integration Benchmark for Coding Agents | cs.AI, cs.SE | 89 | Realistic coding-agent benchmark with risk-aware scenarios and deterministic checks; high agent relevance. | agents, coding-agents, benchmark, security, evaluation |
2607.15263 | Beyond Success Rate: Cost-Aware Evaluation of Offensive and Defensive Security Agents | cs.CR, cs.AI | 88 | Cost-aware evals for offensive/defensive security agents add realistic deployment metrics beyond success. | security-agents, evaluation, cost-aware, red-teaming, blue-team, agents |
2607.15253 | Bridge Evidence: Static Retrieval Utility Does Not Predict Causal Utility in Multi-Step Agentic Search | cs.IR, cs.CL | 88 | Finds static retrieval utility misses causal utility in multi-step agentic search trajectories. | agents, retrieval, RAG, evaluation, causal-analysis, search |
2607.14493 | Context Contamination in LLM Analysis of Network Security Logs: Poison with Passive Prompt Injection and Mitigation Evaluation | cs.CR | 87 | Passive prompt injection in SOC log analysis is concrete, realistic, and benchmarked across production LLMs. | prompt-injection, security, logs, benchmark, LLM-deployment, defenses |
2607.14890 | Proof-or-Stop: Don't Trust the Agent, Trust the Evidence -- Loop Engineering for Verifiable Evidence-Gated Lifecycle Control | cs.AI, cs.SE | 87 | Evidence-gated lifecycle control for coding agents offers concrete guardrail mechanism, not just prompting. | coding-agents, guardrails, verification, agent-control, software-engineering |
2607.15200 | Mask-Aware Policy Gradients for Diffusion Language Models | cs.CL, cs.AI, cs.LG | 87 | RL for diffusion language models with new policy-gradient decomposition; notable frontier progress. | LLMs, diffusion-language-models, reinforcement-learning, reasoning, coding |
2607.15193 | Plover: Steering GUI Agents through Plan-Centric Interaction | cs.AI | 87 | Plan-centric GUI agent with explicit supervision and correction; useful for safer agent control. | agents, gui-agents, oversight, planning, human-in-the-loop |
2607.14888 | Innocuous-Seeming Data, Latent Ideology: Ideological Generalisation in Finetuned LLMs | cs.LG, cs.AI, cs.CL, cs.CY | 86 | Shows finetuning can induce broad ideological shifts from narrow data; important alignment risk signal. | alignment, finetuning, value-drift, ideology, generalization, safety |
2607.15257 | SearchOS-V1: Towards Robust Open-Domain Information-Seeking Agent Collaboration | cs.AI, cs.IR | 86 | Multi-agent search framework with explicit shared state to reduce loops and improve grounded search. | agents, multi-agent, search, tool-use, grounding, citations |
2607.14443 | Tactile: Giving Computer-Using Agents Hands and Feet | cs.AI | 85 | Improves computer-use agents with grounded UI actions and verification cues; practical agent reliability. | computer-use-agents, tool-use, ui-grounding, reliability, open-source |
2607.14566 | Fully Automated End-to-End Adversary Emulation from MITRE ATT\&CK Based Cyber Threat Intelligence Using LLMs | cs.CR | 85 | Automates CTI-to-adversary emulation with failure recovery; notable dual-use agent security relevance. | cybersecurity, agents, adversary-emulation, automation, dual-use |
2607.14952 | LongStraw: Long-Context RL Beyond 2M Tokens under a Fixed GPU Budget | cs.LG, cs.DC | 84 | Enables million-token RL post-training under fixed GPU budget; important for long-context agents. | long-context, rl-post-training, efficiency, agents, infrastructure |
2607.14817 | Evaluating Epistemic Uncertainty: Beyond OOD Detection and Active Learning | cs.LG, cs.AI | 84 | Reframes epistemic uncertainty evaluation around regret, with implications for reliable deployment. | uncertainty, reliability, evaluation, selective-prediction, theory |
2607.15161 | On-Policy Delta Distillation | cs.LG, cs.CL | 84 | New on-policy distillation signal targeting reasoning transfer; potentially impactful post-training method. | llm-training, distillation, reasoning, post-training, rl |
2607.14673 | Project Kaleidoscope: Contextual, Human-Aligned Evaluation for Real-World AI Applications | cs.AI, cs.HC | 82 | Contextual, human-aligned eval workflow for real deployments; useful for governance and reliability gating. | evaluation, human-in-the-loop, deployment, governance, LLM-judges, reliability |
2607.14811 | Is External Database Protection Static in Retrieval-Augmented Generation? Rethinking Privacy Preservation under Dynamic Queries | cs.CR | 82 | Prompt-aware differential privacy for RAG tackles dynamic query-dependent leakage, a real deployment issue. | RAG, privacy, differential-privacy, security, retrieval |
2607.14561 | MARS: Multi-hop Adaptive Retrieval and SPARQL Generation for KGQA | cs.CL | 82 | Structured KG retrieval to reduce hallucination without fine-tuning; useful grounded QA design. | RAG, knowledge-graphs, hallucination, grounding, QA |
AI 论文洞察简报
2026-07-18
0) 核心结论(请先阅读)
- Agent 可靠性研究正从“更好的模型”转向“更好的运行时/控制平面”:多篇高质量论文表明,基于证据门控的执行、显式状态、语义化工具层以及结构化监控,相比更换新的基础模型更能带来收益。
- 持久化上下文如今已成为一类一等安全边界。多篇论文显示,日志、记忆文件、MCP 服务器、安装说明文档,甚至预训练网页评论,都可能成为可跨会话或跨流水线持续生效的注入通道。
- 评测方法正在被大幅修订:静态成功率、成对准确率以及逐题正确率,反复被证明无法预测真实部署行为。新工作主张采用过程级安全、跨版本鲁棒性、成本感知的安全评测、因果检索效用以及基于 regret 的不确定性指标。
- 对 Agent 构建者而言,实践模式已经很清晰:将 grounding / acting / verification 分离,把声明绑定到新鲜证据上,维护显式的失败记忆/状态,并在安装、工具调用、合并等高风险动作前加入确定性的预执行检查。
- 跨语言与跨领域校准仍是重大盲点。即使成对准确率看起来不错,评估器分数仍会随语言而漂移;而一些看似“无害”的小规模微调,也可能在几乎不损失能力的情况下诱发广泛的意识形态漂移。
- 长时程系统的进展越来越由系统设计驱动:显式搜索状态、以计划为中心的修复、自适应知识图谱检索,以及固定预算下的长上下文 RL,所针对的都是部署瓶颈,而非仅仅提升基准分数。
2) 关键主题(聚类)
主题:Agent 控制平面正变得显式化并与证据绑定
- 为什么重要:一个反复出现的结论是,当执行状态、证据和生命周期声明被外置,而不是留在模型自由文本中时,Agent 的失败会更少。这对桌面使用、代码 Agent 和长时程搜索尤其重要,因为静默漂移会不断累积。
- 代表性论文:
- Tactile: Giving Computer-Using Agents Hands and Feet
- Proof-or-Stop: Don’t Trust the Agent, Trust the Evidence – Loop Engineering for Verifiable Evidence-Gated Lifecycle Control
- SearchOS-V1: Towards Robust Open-Domain Information-Seeking Agent Collaboration
- Plover: Steering GUI Agents through Plan-Centric Interaction
- 共同方法:
- 将 observation、grounding、action 和 verification 分离,而不是把执行视为一个不透明的单步过程。
- 将状态外置为结构化工件:候选 UI 目标、证据回执、覆盖图、失败记忆、可编辑计划。
- 基于与当前源或环境状态绑定的、机器可检查的证据来门控状态转换。
- 加入显式恢复循环:重新规划、回滚、停滞检测,或人类引导的局部修复。
- 开放问题 / 失败模式:
- 当应用暴露的反馈较差,或证据陈旧/噪声较大时,验证仍然薄弱。
- 大规模动态状态空间可能压垮压缩或排序机制,掩盖后续仍然相关的项目。
- 一些攻击会完全绕过可观测工件,从而限制结构化监控器的作用。
- 人在回路中的修复结果,可能高估普通用户的实际可恢复性。
主题:持久化上下文攻击正在超出经典提示注入的范畴
- 为什么重要:攻击面已不再只是当前提示词。不受信任的文本可以持久存在于日志、记忆文件、安装文档、MCP 元数据或抓取的网页内容中,并在之后以很高的成功率操纵模型或 Agent。
- 代表性论文:
- Context Contamination in LLM Analysis of Network Security Logs: Poison with Passive Prompt Injection and Mitigation Evaluation
- Bad Memory: Evaluating Prompt Injection Risks from Memory in Agentic Systems
- MemPoison: Uncovering Persistent Memory Threats and Structural Blind Spots in LLM Agents
- Setup Complete, Now You Are Compromised: Weaponizing Setup Instructions Against AI Coding Agents
- 共同方法:
- 对完整生命周期建模:写入、保留、检索、触发与执行。
- 使用真实基底而非玩具提示:SOC 日志、基于文件的记忆、软件包安装工件、多记录记忆存储。
- 评估分层防御而非单一过滤器:提示加固、写入时检查、输出验证、来源重加权、确定性钩子。
- 衡量持久性与跨会话效应,而不仅仅是一次性越狱成功率。
- 开放问题 / 失败模式:
- 即便攻击成功率大幅下降,对混淆型、组合型或长上下文攻击仍存在残余风险。
- 许多防御假设来源可可靠追踪,或语言可可靠识别,而这两点本身都可能被攻击。
- 合成工作区和基准攻击集,可能低估自适应对手。
- 向受信任记忆或语料中植入向量,往往只是被假设,而未被完整建模。
主题:安全评测正从“信号”转向“扎实证据”和“运营成本”
- 为什么重要:安全 Agent 和扫描器在 headline success 上可能看起来很强,但实际部署时可能过于昂贵、噪声过大,或很容易被反射信号欺骗。这里更好的论文会直接衡量运行时证据、预算和部署权衡。
- 代表性论文:
- FlowGuard: From Signals to Evidence for MCP Security Detection
- Democratizing Agent Deployment Safety: A Structural Monitoring Approach
- Beyond Success Rate: Cost-Aware Evaluation of Offensive and Defensive Security Agents
- Fully Automated End-to-End Adversary Emulation from MITRE ATT&CK Based Cyber Threat Intelligence Using LLMs
- 共同方法:
- 用运行时证据、结构化差异或执行回执,替代仅靠语义可疑性的判断。
- 在固定误报率或固定预算的操作点上进行评估。
- 区分进攻侧扩展能力与防守侧效率;在 SOC 场景中,工具使用纪律比单纯能力更重要。
- 构建包含执行与恢复在内的端到端流水线,而不仅仅评估生成质量。
- 开放问题 / 失败模式:
- 黑盒扫描器仍会漏掉仅白盒可见或需要多步规避的漏洞。
- 被信任的 LLM 评分阶段本身仍是攻击面。
- 一些基准分数受到先验知识污染,尤其是在公开 SOC 数据集上。
- 恢复机制能改善执行,但并不保证对原始威胁情报的忠实性。
主题:基准测试正在暴露标准指标遗漏的隐藏鲁棒性缺口
- 为什么重要:多篇论文表明,常见指标验证的是错误的东西:成对评估器准确率会漏掉语言偏差,逐题准确率会漏掉逻辑不一致,静态检索效用会漏掉因果桥接价值,而任务成功率会漏掉过程安全。
- 代表性论文:
- LLM Evaluators are Biased across Languages
- Controlled Reformulation Testing for Logical Consistency in Large Language Models
- SafeRelBench: A Spatial-Relation-Aware Benchmark for Process-Level Safety in VLM-Driven Embodied Agents
- Bridge Evidence: Static Retrieval Utility Does Not Predict Causal Utility in Multi-Step Agentic Search
- 共同方法:
- 定义一个与部署相关的指标,以捕捉隐藏失败模式:接受率差异、家族一致性、过程级安全、反事实轨迹效用。
- 使用受控干预或匹配条件,而不是宽泛的总体分数。
- 分析机制层结构:不确定性、逻辑算子、空间关系、实体传播。
- 证明即使标准验证分数仍然很高,与部署相关的行为也可能急剧恶化。
- 开放问题 / 失败模式:
- 许多基准仍是合成的、模板生成的,或基于模拟器。
- 一些缓解措施只是部分有效,例如按语言偏移校准或仅靠提示词的安全指导。
- 反事实评估可能成本高昂且依赖具体模型。
- 如何将基准发现转化为训练目标,仍未解决。
主题:数据与训练流水线正成为被低估的安全杠杆
- 为什么重要:安全性可能在部署前就因微调数据、预训练语料投毒或失配的蒸馏信号而退化。多篇论文表明,小的数据选择也能在保留表面能力的同时,引发巨大的行为偏移。
- 代表性论文:
- 共同方法:
- 直接检查训练数据或教师信号,而不是只做事后输出分析。
- 使用具备迁移感知的表示或分阶段纳入模型,来估计跨架构和跨流水线的风险。
- 将行为偏移与能力保留进行对比,以展示隐藏的安全退化。
- 提出轻量干预:样本过滤、片段掩码、中性数据混合、基于 delta 的奖励。
- 开放问题 / 失败模式:
- 在不同训练范式、语言和领域上的普适性仍然有限。
- 一些方法依赖已对齐的源模型、精心整理的参考集或基础检查点。
- 中性数据混合可以减弱但未必能消除有害漂移。
- 纳入与投毒估计依赖具体的抓取与整理流水线。
3) 技术综合
- 在 Tactile、Proof-or-Stop、SearchOS 和 Plover 中,出现了一个强烈的系统模式:把关键状态从自由形式的模型文本中移出,放入带类型且有来源信息的工件中,再让模型围绕这些工件运作。
- 多篇安全论文收敛到具备生命周期意识的威胁模型:攻击不只在输入时评估,而是贯穿摄取、存储、检索、执行和事后验证。
- 反事实评估正变得核心:agentic retrieval 中的 omission replay、记忆投毒中的 MID,以及基于证据门控的生命周期检查,都在追问究竟是什么真正导致了下游行为。
- 多篇论文表明,代理指标会危险地过于乐观:成对评审准确率、静态检索效用、逐题正确率和任务成功率,都会掩盖部署失败。
- 运行时证据优于单纯的语义可疑性。FlowGuard 的裁决式探测、IFG 的结构化差异,以及 Proof-or-Stop 的回执,都减少了对模型自我报告的依赖。
- 提示工程有帮助,但并不稳定:增加推理努力会提升某些逻辑一致性分数,却会损害量词推理;风险感知提示可提升具身安全,但会牺牲任务完成;安全提示能恢复部分来源攻击检测,但对版本检查帮助有限。
- 持久记忆是多种 Agent 架构共享的薄弱点,无论其基底是平面文件、事实存储、层级笔记还是检索日志。
- 工具生态如今被视为动态环境。MCPEvol-Bench 表明接口演化会削弱规划与推理,而 FlowGuard 和 Tactile 则把工具/运行时语义视为一等对象。
- 多篇论文倾向于把 LLM 限定在确定性脚手架中的有界角色:LLM 负责排序、判断或提议,而 schema、哈希、规则和回执负责强制可接受性。
- 长上下文进展越来越取决于执行策略,而不只是模型架构本身:LongStraw 用重放时间换取有界内存,使得在固定 GPU 预算下运行 2M+ token 的 GRPO 风格训练成为可能。
4) 前 5 篇论文(附“为什么是现在”)
- Tactile: Giving Computer-Using Agents Hands and Feet
- 将桌面使用重新定义为一个以动作为 grounding 的接口问题,强调显式的 targetability、actionability、verifiability 和 auditability。
- 在一个可复用、兼容 MCP 的运行时中,结合了辅助功能语义、OCR 和视觉回退。
- 在 macOSWorld 风格任务上带来多 Agent 增益,其中 Codex 的总体表现从 41.06% 提升到 50.00%。
- 现在很有用,因为许多团队正遭遇仅依赖截图控制栈所带来的可靠性天花板。
- 保留意见:当前优势主要集中在 macOS 场景;当应用反馈较弱时,验证仍然困难。
- LLM Evaluators are Biased across Languages
- 显示在 23 种语言上,pointwise 分数存在系统性漂移,在 1–5 量表上约为 0.4–0.5。
- 证明了 >90% 的成对准确率,仍可能在全局阈值下伴随高达 43 个百分点的接受率差异。
- 将这一效应与不确定性联系起来,同时表明即便控制了不确定性,语言身份本身仍然重要。
- 现在很有用,因为多语言安全过滤器、奖励模型和审计通常依赖绝对阈值。
- 保留意见:按语言偏移校准的缓解方式只是部分有效,而且依赖可靠的语言识别。
- Context Contamination in LLM Analysis of Network Security Logs: Poison with Passive Prompt Injection and Mitigation Evaluation
- 为 SOC 日志分析中的被动提示注入提供了一个现实的基准和分类体系。
- 发现 GPT-4o、Claude 3.5 Sonnet 和 Llama-3-70B 的基线攻击成功率都很高,平均达到 83.4%。
- 表明分层防御可将 ASR 降至 8.4%,且对良性准确率的损失较小。
- 现在很有用,因为 SOC copilot 正从演示走向生产,而日志天然就是持久化注入的载体。
- 保留意见:对混淆型和长上下文攻击仍有残余风险,而且该基准使用的是研究者构造的对抗样本。
- FlowGuard: From Signals to Evidence for MCP Security Detection
- 将 MCP 扫描从“可疑文本”升级为“schema 有效探测 + 运行时证据裁决”。
- 在与执行相关的类别上取得了强劲的基准 F1,并且探测效率优于动态基线。
- 对 8,000 个 MCPZoo 服务器的真实扫描发现了 523 个问题,分布在 326 个服务器上;在抽样的 100 个服务器中,有 84 个被人工确认存在具体证据。
- 现在很有用,因为 MCP 正迅速成为默认的工具接口层,而其安全工具链仍不成熟。
- 保留意见:黑盒探测仍会漏掉仅内部可见的缺陷,并且探测本身带有运营风险。
- SearchOS-V1: Towards Robust Open-Domain Information-Seeking Agent Collaboration
- 将搜索状态外置为 frontier tasks、evidence graphs、coverage maps 和 failure memory。
- 将 WideSearch Item F1 提升到 80.3,将 GISA Set F1 提升到 76.5,其中 GISA 上有显著的 +13.4 增益。
- 消融实验表明,持续派发与层级技能同时提升了质量和效率。
- 现在很有用,因为长时程搜索 Agent 往往失败于状态丢失和重复劳动,而不是原始推理能力不足。
- 保留意见:当前性能依赖一个规模不小的预构建技能库,且结果仅在两个基准上、以 Max@3 方式报告。
5) 实际下一步
- 为 Agent 增加与证据绑定的执行层:对 merge、deploy、install 或 payment execution 等高影响动作,要求提供与来源绑定的回执、显式验证和带类型状态。
- 默认将持久化上下文视为不受信任。为记忆文件、日志、检索文档和 MCP 输出增加信任分层;对写入进行门控,并在检索时重新检查来源。
- 对代码 Agent,实现确定性的 pre-install hook,在任何安装命令运行前验证包名、注册表和脆弱版本。
- 在评测仪表盘中,用与部署相关的切片替代单一 headline metric:过程安全、家族一致性、跨语言阈值公平性、单位成功成本和跨版本稳定性。
- 对多语言评估器或奖励模型,按语言进行校准,并审计接受率差异,而不仅仅看成对一致性。
- 在检索 Agent 中,在重新训练排序器之前,先在采样轨迹上测试反事实 bridge utility;静态 reader 增益可能优化的是错误的文档。
- 对 GUI 和桌面 Agent,将语义化辅助功能 grounding 与 OCR/视觉回退结合起来,并把计划暴露为可编辑工件,以支持局部修复。
- 在 SFT 之前审计微调语料中的高风险样本或片段,尤其是在将已对齐模型适配到狭窄领域时;具备迁移感知的过滤或掩码看起来很有前景。
- 如果要训练长上下文 Agent,应优先投入执行栈工作——提示捕获、串行重放、检查点和内存核算——而不是先假设必须扩大集群。
根据逐篇论文分析生成;未进行外部浏览。