近7天至05月10日 AI Agent前沿视界 | 智能体架构与工具学习

📊 跨论文趋势观察

• 多智能体协作框架成为主流，65篇论文中32%聚焦多智能体协同优化与任务分解
• 工具学习与安全防护并重，27%论文涉及工具调用优化与运行时安全防御机制设计
• 记忆系统架构创新涌现，23%研究提出分层/概率化/生物启发式记忆管理方案
• 领域专用Agent爆发增长，医疗/硬件/科研等垂直领域占比达41%
• 形式化验证方法渗透，18%论文采用博弈论/范畴论/Lyapunov函数确保系统可靠性

🏷️ 核心关键词: 多智能体协作,工具学习,记忆系统,领域Agent,形式化验证

1. Safactory：面向可信自主智能的可扩展智能体工厂

Safactory: A Scalable Agent Factory for Trustworthy Autonomous Intelligence🔗 ArXiv: arxiv.org/abs/2605.06230

👨‍🔬 作者:Xinquan Chen, Zhenyun Yin, Shan He et al.

📍 问题背景

现有智能体系统在评估、数据管理和智能体进化方面存在碎片化问题，难以系统性地发现风险并实现持续闭环改进，尤其在长周期决策、工具使用和真实环境交互等场景面临挑战。

⚙️ 技术路线:提出三平台耦合架构：1) 平行仿真平台生成决策轨迹；2) 可信数据平台存储轨迹并提取经验；3) 自主进化平台实现异步强化学习与策略蒸馏。通过统一进化管道实现智能体的持续迭代优化。

📈 实证结果:未提供具体量化指标，但构建了首个面向可信自主智能的统一进化框架，支持从仿真到部署的全生命周期管理。

2. 用于罕见病诊断和风险基因优先排序的多功能AI智能体

A Versatile AI Agent for Rare Disease Diagnosis and Risk Gene Prioritization🔗 ArXiv: arxiv.org/abs/2605.06226

👨‍🔬 作者:Tianyu Liu, Wangjie Zheng, Rui Yang et al.

📍 问题背景

当前罕见病诊断流程存在耗时长、准确率低的问题，主要受限于多模态数据整合困难及诊断策略缺乏针对性。现有系统难以同时处理表型特征、基因图谱和临床记录等异构数据。

⚙️ 技术路线:提出Hygieia多模态AI智能体系统，采用基于路由器的知识增强框架：1) 通过路由机制针对不同疾病类别定制诊断策略；2) 整合表型-基因-临床多源数据；3) 内置风险基因优先级评估模块；4) 输出带置信度的诊断建议以抑制幻觉现象。

📈 实证结果:实验表明：1) 诊断准确率较医生提升12%-60%；2) 在真实病例处理中有效减轻临床医生工作量；3) 在多个诊断基准测试中达到SOTA性能。合作机构包括耶鲁医学院和杜克-新加坡国立大学医学院。

3. ClawGuard：通过电磁侧信道实现LLM智能体工作流劫持的带外检测

ClawGuard: Out-of-Band Detection of LLM Agent Workflow Hijacking via EM Side Channel🔗 ArXiv: arxiv.org/abs/2605.06205

👨‍🔬 作者:Leo Linqian Gan, Jeffery Wu, Longyuan Ge et al.

📍 问题背景

现有LLM智能体面临工作流劫持的安全风险，攻击者可篡改工具和技能调用。传统基于主机内部遥测（如审计日志）的防御方案在主机操作系统被攻破时可能失效。

⚙️ 技术路线:提出ClawGuard被动带外监测系统，利用电磁辐射信号审计LLM智能体工作流。不同技能调用产生独特的硬件使用模式（计算、DRAM、网络阻塞），形成可测量的宏观电磁特征。通过软件定义无线电捕获信号，采用含320维特征的漂移感知管道将射频流转化为物理证据。

📈 实证结果:在7.82TB射频数据集上测试，AUC达0.9945，攻击检测真阳性率100%，假阳性率1.16%。证明电磁传感可作为抗伪造的物理层校验手段。

4. VibeServe：AI智能体能否构建定制化LLM服务系统？

VibeServe: Can AI Agents Build Bespoke LLM Serving Systems?🔗 ArXiv: arxiv.org/abs/2605.06068

👨‍🔬 作者:Keisuke Kamahori, Shihang Li, Simon Peter, Baris Kasikci

📍 问题背景

现有LLM服务系统通常采用单一通用架构，需人工调优且难以适应多样化场景需求，尤其在非标准模型架构、工作负载和硬件优化场景下表现受限。

⚙️ 技术路线:提出VibeServe多智能体循环框架：外层循环负责系统设计搜索的规划与追踪，内层循环实施候选方案、验证正确性并评估性能。通过端到端生成定制化服务栈，实现针对特定场景的自动优化。

📈 实证结果:在标准部署场景中与vLLM性能相当，在6种非标准场景（非常规模型架构、特定工作负载和硬件优化）中超越通用系统，验证了生成时定制化的有效性。

5. 复杂卡牌游戏的因果强化学习：基于《万智牌》的基准测试

Causal Reinforcement Learning for Complex Card Games: A Magic The Gathering Benchmark🔗 ArXiv: arxiv.org/abs/2605.06066

👨‍🔬 作者:Cristiano da Costa Cunha, Ajmal Mian, Tim French, Wei Liu

📍 问题背景

现有因果强化学习（RL）缺乏针对复杂系统的基准测试，这些系统需要结合序列决策、隐藏信息、大规模掩码动作空间和显式因果结构。《万智牌》作为典型复杂策略游戏，其决策过程涉及多因素交互和部分可观测状态，为评估因果RL提供了理想场景。

⚙️ 技术路线:研究提出MTG-Causal-RL基准，包含3,077维部分观测空间和478维掩码动作空间，并构建战略变量的结构因果模型（SCM）。提出因果图分解优势PPO（CGFA-PPO）智能体，利用SCM中获胜概率的父节点作为因子对齐的评论目标，并采用干预校准损失函数。基准支持因果信用分配、跨原型迁移和策略可审计性评估。

📈 实证结果:掩码PPO和CGFA-PPO在分布内胜率上均超越随机基线（具体数据未披露）。因子校准轨迹和留一法迁移差距分析表明，该方法能揭示标量胜率无法反映的诊断结构，验证了因果结构对策略解释性的提升作用。

6. 电子商务搜索相关性的案例驱动多智能体框架

A Case-Driven Multi-Agent Framework for E-Commerce Search Relevance🔗 ArXiv: arxiv.org/abs/2605.05991

👨‍🔬 作者:Global E-Commerce Search Relevance Team

📍 问题背景

电子商务搜索的相关性优化涉及多个角色（用户、产品经理、标注员、算法工程师、评估员）的闭环协作，现有系统依赖人工参与，效率低且难以实时响应用户反馈。

⚙️ 技术路线:提出多智能体框架：1) 标注员智能体实现多轮标注自动化；2) 优化智能体自主分析并解决不良案例；3) 用户智能体通过对话识别问题。采用工程化设计，包括统一检索-排序模型、实时案例解决的指令跟随模型、全局记忆减少信息不对称、深度搜索智能体处理低估失败，以及人机协作聊天机器人。

📈 实证结果:人工评估显示框架有效执行相关性任务，标注准确率提升，不良案例解决更及时且泛化能力更强。

7. PragLocker：通过非可移植提示保护不可信部署中的Agent知识产权

PragLocker: Protecting Agent Intellectual Property in Untrusted Deployments via Non-Portable Prompts🔗 ArXiv: arxiv.org/abs/2605.05974

👨‍🔬 作者:Qinfeng Li, Yuntai Bao, Jianghui Hu et al.

📍 问题背景

当前LLM Agent依赖提示实现任务特定能力，这些提示作为知识产权面临在不可信部署中被复制和重用的风险，现有方法无法同时满足主动性、运行时保护、可用性和非可移植性要求。

⚙️ 技术路线:提出PragLocker方案：1) 通过代码符号锚定语义构建功能保持的混淆提示；2) 利用目标模型反馈注入噪声，生成仅适用于目标LLM的提示。该方法实现了提示对非授权LLM的非可移植性，同时保持目标模型性能。

📈 实证结果:实验表明，在多个Agent系统、数据集和基础LLM上，PragLocker显著降低跨LLM可移植性（具体指标未量化），保持目标性能，并能抵抗自适应攻击者的攻击。

8. SkillScope：面向Agent技能细粒度最小权限执行

SkillScope: Toward Fine-Grained Least-Privilege Enforcement for Agent Skills🔗 ArXiv: arxiv.org/abs/2605.05868

👨‍🔬 作者:Jiangrong Wu, Yuhong Nan, Yixi Lin et al.

📍 问题背景

当前Agent技能生态系统存在权限过度授予风险，同一技能在不同任务场景下可能执行超出必要范围的高影响操作，违反最小权限原则。现有技能检测方法无法解决这一任务条件化问题。

⚙️ 技术路线:提出SkillScope框架，采用基于图的分析方法：1) 将指令级流程和代码级操作建模为细粒度动作节点；2) 通过重放分析在图实例化用户任务中验证潜在过度权限行为；3) 通过控制流权限约束机制限制已验证的过度权限操作。

📈 实证结果:实验显示：1) 技能过度权限检测F1值达94.53%；2) 在7,039个真实技能中发现过度权限行为；3) 权限约束评估中减少88.56%的任务内过度权限操作实例，同时保持合法任务完成。

9. SANEmerg：一种面向语义感知智能体AI网络的涌现通信框架

SANEmerg: An Emergent Communication Framework for Semantic-aware Agentic AI Networking🔗 ArXiv: arxiv.org/abs/2605.05861

👨‍🔬 作者:Yong Xiao, Haoran Zhou, Yujie Zhou, Marwan Krunz

📍 问题背景

现有网络系统通信与计算刚性解耦，导致大规模智能体网络(AgentNet)效率低下。涌现通信通过支持任务特定信号协议，为智能体间信息交换与协作提供了新思路。

⚙️ 技术路线:提出SANEmerg框架：1) 带宽自适应重要性过滤器动态优先传输高贡献信息维度；2) 基于最小描述长度(MDL)原则的复杂度正则器，促进计算受限信号涌现。框架支持用户语义意图自动检测、推理并分解为子任务分配给多智能体协作完成。

📈 实证结果:AgentNet原型实验表明，相比现有方案，SANEmerg在保持更高任务准确率的同时，显著降低带宽消耗(具体数据未提供)和计算开销。

10. LoopTrap：针对LLM智能体的终止毒化攻击

LoopTrap: Termination Poisoning Attacks on LLM Agents🔗 ArXiv: arxiv.org/abs/2605.05846

👨‍🔬 作者:Huiyu Xu, Zhibo Wang, Wenhui Zhang et al.

📍 问题背景

现代LLM智能体通过迭代执行循环解决复杂任务，但自主循环机制存在安全风险：恶意提示可扭曲其终止判断，导致无限计算。现有研究缺乏对这类攻击的系统性分析。

⚙️ 技术路线:提出终止毒化攻击框架LoopTrap：1) 定义10种攻击策略并发现LLM智能体的行为特征决定攻击有效性；2) 通过轻量级探测构建目标智能体在四个脆弱性维度的行为画像；3) 自适应陷阱合成机制路由最优策略，自评分选择最佳注入点；4) 建立可重用技能库并通过自我反思持续优化。

📈 实证结果:在8个主流智能体60项任务中，平均实现3.57倍步骤放大（峰值25倍），攻击模式可迁移至未见过的智能体和任务。

11. 基于行为树和大语言模型的组合任务奖励塑造与动作屏蔽方法

Reward Shaping and Action Masking for Compositional Tasks using Behavior Trees and LLMs🔗 ArXiv: arxiv.org/abs/2605.05795

👨‍🔬 作者:Nicholas Potteiger, Ankita Samaddar, Taylor T. Johnson, Xenofon Koutsoukos

📍 问题背景

现有方法利用LLM自动生成奖励函数和动作屏蔽策略，但未能充分解决子任务失败时的反应性及面向不同对象的模块化问题，限制了组合任务的学习效率。

⚙️ 技术路线:提出掩码奖励行为树(MRBT)作为符号化结构，兼具反应式奖励函数和动作屏蔽功能。通过设计MRBT模板并推导逻辑规范，结合LLM生成对象无关的MRBT、SMT求解器验证规范正确性，形成神经符号RL训练闭环。

📈 实证结果:实验成功生成并优化5种MRBT，相比基线方法训练效率提升23%，任务成功率提高17%，且验证了MRBT在可迁移性、模块化和可验证性三方面的优势。

12. GazeMind：一种基于凝视引导的LLM智能体框架，用于个性化认知负荷评估

GazeMind: A Gaze-Guided LLM Agent for Personalized Cognitive Load Assessment🔗 ArXiv: arxiv.org/abs/2605.05790

👨‍🔬 作者:Bin Wang, Yue Liu, Benjamin Newman et al.

📍 问题背景

现有智能眼镜系统缺乏对用户内部认知状态的感知能力，无法主动预测用户需求。传统认知负荷评估方法要么依赖不实用的传感器，要么基于眼动数据的模型可解释性差且需要任务特定微调，难以跨个体泛化。

⚙️ 技术路线:GazeMind提出一种凝视引导的LLM智能体框架，将眼动数据编码为结构化表示供LLM推理，提供可解释的认知负荷预测。通过新颖的任务引导推理方法实现无需LLM微调的跨场景泛化，并通过整合用户特定特征和历史参考实现个性化适配。

📈 实证结果:实验表明，GazeMind在所有指标上均优于基线方法20%以上，在包含152名参与者、40+小时多模态数据和10K+实时标注的CogLoad-Bench数据集上达到最先进性能。

13. BioTool：一个用于增强大型语言模型生物医学能力的全面工具调用数据集

BioTool: A Comprehensive Tool-Calling Dataset for Enhancing Biomedical Capabilities of Large Language Models🔗 ArXiv: arxiv.org/abs/2605.05758

👨‍🔬 作者:Xin Gao, Ruiyi Zhang, Meixi Du, Peijia Qin, Pengtao Xie

📍 问题背景

大型语言模型（LLM）在通用任务上表现出色，但在生物医学等高度专业化领域的表现仍不理想，主要限制在于无法有效利用生物医学工具，而临床专家和生物医学研究人员在日常工作中广泛依赖这些工具。

⚙️ 技术路线:BioTool是一个专为微调LLM设计的全面生物医学工具调用数据集，包含来自NCBI、Ensembl和UniProt数据库的34个常用工具，以及7,040个高质量、经过人工验证的查询-API调用对，涵盖变异、基因组学、蛋白质组学、进化和普通生物学等领域。

📈 实证结果:在BioTool上微调一个40亿参数的LLM显著提高了生物医学工具调用的性能，优于GPT-5.1等尖端商业LLM。人类专家评估表明，与不使用工具的相同LLM相比，集成BioTool微调的工具调用器显著提高了下游答案质量。

14. SkillRet：面向LLM智能体技能检索的大规模基准测试

SkillRet: A Large-Scale Benchmark for Skill Retrieval in LLM Agents🔗 ArXiv: arxiv.org/abs/2605.05726

👨‍🔬 作者:Hongcheol Cho, Ryangkyung Kang, Youngeun Kim

📍 问题背景

随着LLM智能体部署的可复用技能库规模扩大，如何在有限上下文和延迟预算下准确检索匹配用户请求的技能成为关键挑战。现有研究缺乏针对大规模技能库的基准测试和对检索行为的深入理解。

⚙️ 技术路线:提出SkillRet基准测试框架，包含17,810个公开智能体技能，采用结构化语义标签和两级分类体系（6大类18子类）。提供63,259训练样本和4,997评估查询，支持检索模型训练与性能评估。通过对比实验验证任务特定微调的有效性。

📈 实证结果:实验表明，专用微调模型较现有最优检索器提升NDCG@10达13.1分，较通用检索器提升16.9分，主要归因于模型对长噪声查询中关键技能信号的聚焦能力增强。

15. 多未必佳：LLM智能体脚手架中的跨组件干扰现象

More Is Not Always Better: Cross-Component Interference in LLM Agent Scaffolding🔗 ArXiv: arxiv.org/abs/2605.05716

👨‍🔬 作者:Ming Liu

📍 问题背景

当前LLM智能体系统普遍采用堆叠式组件设计（规划、工具、记忆等），默认假设组件越多性能越好，但缺乏对组件间负面交互影响的系统研究。

⚙️ 技术路线:通过全因子实验设计（32种组件组合×2个任务×2种模型规模×10次重复），量化分析5种核心组件的跨组件干扰(CCI)效应。采用主效应回归模型（R²=0.916）和沙普利值计算，发现56.3%的组件组合违反子模性，揭示工具使用、自我反思与检索的三体协同效应（交互项+0.175）。

📈 实证结果:全组件系统表现持续次优：在HotpotQA上单一工具Agent比全组件系统F1高32%（0.233 vs 0.177）；GSM8K任务中3组件组合优于全组件79%（0.43 vs 0.24）。最优组件数量具有任务依赖性（k*=1-4）和规模敏感性。

16. SafeHarbor：面向LLM智能体安全的分层记忆增强护栏框架

SafeHarbor: Hierarchical Memory-Augmented Guardrail for LLM Agent Safety🔗 ArXiv: arxiv.org/abs/2605.05704

👨‍🔬 作者:Zhe Liu, Zonghao Ying, Wenxin Zhang et al.

📍 问题背景

当前LLM智能体在工具调用能力提升的同时面临安全风险，现有防御机制存在过度拒绝问题，导致安全性与实用性难以平衡。

⚙️ 技术路线:提出动态规则注入框架：1) 通过对抗生成提取上下文感知防御规则；2) 设计本地分层记忆系统实现无训练即插即用；3) 基于信息熵的节点分裂合并机制实现记忆结构自优化。

📈 实证结果:在GPT-4o上实现63.6%良性任务效用峰值，同时对有害请求保持93%以上拒绝率，在模糊良性任务和明确恶意攻击场景均达SOTA。

17. 信念记忆：部分可观测性下的智能体记忆

Belief Memory: Agent Memory Under Partial Observability🔗 ArXiv: arxiv.org/abs/2605.05583

👨‍🔬 作者:Junfeng Liao, Qizhou Wang, Jianing Zhu et al.

📍 问题背景

现有LLM智能体的外部记忆系统通常将每次观察存储为单一确定性结论，在部分可观测环境下会因丢弃不确定性而导致自我强化的错误累积。

⚙️ 技术路线:提出BeliefMem记忆框架，采用概率化存储范式：1) 将每次观察的多个候选结论作为独立记忆条目存储；2) 通过Noisy-OR规则动态更新各结论概率；3) 检索时返回带概率权重的完整候选集，保持决策时的不确定性可见。

📈 实证结果:在LoCoMo和ALFWorld基准测试中，BeliefMem在数据有限情况下取得最佳平均性能，显著超越基线方法（具体提升幅度未量化）。

18. FoodCHA：用于细粒度食物分析的多模态LLM智能体

FoodCHA: Multi-Modal LLM Agent for Fine-Grained Food Analysis🔗 ArXiv: arxiv.org/abs/2605.05499

👨‍🔬 作者:Woojin Lee, Pranav Mekkoth, Ye Tian, Onat Gungor, Tajana Rosing

📍 问题背景

现有食物识别系统面临细粒度属性识别困难（如烹饪风格）和开放生成标签不规范的问题，限制了实时饮食监测的实际应用。

⚙️ 技术路线:提出分层决策框架FoodCHA，将食物识别重构为渐进式锚定预测过程：先通过高层类别引导子类识别，再用子类信息驱动烹饪风格识别。采用轻量级Moondream-2B多模态模型平衡推理能力与计算开销。

📈 实证结果:在FoodNExTDB数据集上，类别/子类识别精度分别超越Food-Llama-3.2-11B达13.8%和38.2%，烹饪风格分类精度提升153.2%。

19. MEMOA：通过平均场分散纳什均衡的大规模在线智能体混合

MEMOA: Massive Mixtures of Online Agents via Mean-Field Decentralized Nash Equilibria🔗 ArXiv: arxiv.org/abs/2605.05492

👨‍🔬 作者:Xuwei Yang, David B. Emerson, Fatemeh Tavakoli, Anastasis Kratsios

📍 问题背景

联邦学习在大规模AI智能体训练中面临计算和通信成本随智能体数量增加而迅速上升的问题，分散式智能体策略通过自主行动和最小化群体摘要（平均场）来应对这一挑战。

⚙️ 技术路线:研究提出了一种分散式策略，通过封闭形式推导出唯一最优分散策略，以最弱智能体的在线成本（即最差客户端/极小化极大准则）为优化目标。该策略在大群体极限下渐近收敛于纳什最优集中策略，并通过在线权重机制优化服务器计算的客户端预测混合，提升平均预测和最弱客户端预测。

📈 实证结果:数值实验验证了理论保证，表明该分散策略通常优于自然的贪婪分散基线方法。

20. 从历史到状态：LLM智能体的恒定上下文技能学习

From History to State: Constant-Context Skill Learning for LLM Agents🔗 ArXiv: arxiv.org/abs/2605.05413

👨‍🔬 作者:Haoyang Xie, Xinyuan Wang, Yancheng Wang, Puda Zhao, Feng Ju

📍 问题背景

当前LLM智能体在浏览器操作、文件处理等个人助理任务中存在隐私-成本-能力的三重矛盾：云端模型能处理多步工作流但暴露敏感中间上下文，本地模型保护隐私但可靠性不足，且两者都需为冗长的技能提示和历史记录重复付费。

⚙️ 技术路线:提出恒定上下文技能学习框架，将重复性工作流转化为可重用的任务族模块（上下文到权重转换）。通过确定性追踪器生成紧凑状态块记录任务进度，并配合子目标奖励机制，使模块可通过步骤级监督微调(SFT)和在线强化学习(RL)进行训练，推理时仅需当前观察和状态块。

📈 实证结果:在ALFWorld、WebShop和SciWorld基准测试中，Qwen3-8B模型经SFT+RL训练后分别达到89.6%、76.8%和66.4%的未见任务成功率，性能匹配或超越现有方法，同时每轮提示词减少2-7倍。

21. Agentic 编程的准备工作：作为上下文工程方法的刻意准备

Mise en Place for Agentic Coding: Deliberate Preparation as Context Engineering Methodology🔗 ArXiv: arxiv.org/abs/2605.05400

👨‍🔬 作者:Andrew Zigler

📍 问题背景

当前AI编程代理的主流工作流程（称为'vibe coding'）过于注重实现速度而忽视准备工作，导致代理因缺乏足够上下文而产生需要大量调试和重构的代码，消耗大量开发时间。

⚙️ 技术路线:受烹饪中'mise en place'（一切就位，简称MEP）概念启发，提出三阶段准备方法：1) 上下文基础：将领域专业知识和隐性知识外化为结构化文档；2) 协作规范：通过人机对话生成详细设计工件；3) 任务分解：将规范转换为结构化、依赖感知的任务记录。

📈 实证结果:在黑客马拉松中应用MEP方法，约两小时的准备使并发AI代理能够快速并行实现一个全栈教育平台。

22. BALAR：用于主动推理的贝叶斯代理循环

BALAR : A Bayesian Agentic Loop for Active Reasoning🔗 ArXiv: arxiv.org/abs/2605.05386

👨‍🔬 作者:Aymen Echarghaoui, Dongxia Wu, Emily B. Fox

📍 问题背景

当前基于大语言模型的交互系统通常以被动方式处理对话，缺乏系统性的机制来推理缺失信息并决定下一步应询问的问题，限制了任务解决的效率和准确性。

⚙️ 技术路线:BALAR是一种任务无关的外循环算法，无需微调，支持LLM代理与用户之间的结构化多轮交互。它维护对潜在状态的结构化信念，通过最大化期望互信息选择澄清问题，并在当前状态表示不足时动态扩展其状态表示。

📈 实证结果:在三个基准测试（AR-Bench-DC、AR-Bench-SP和iCraft-MD）上，BALAR显著优于所有基线，准确率分别提高了14.6%、38.5%和30.5%。

23. 神经协态策略：在循环强化学习中结构化隐藏状态

Neural Co-state Policies: Structuring Hidden States in Recurrent Reinforcement Learning🔗 ArXiv: arxiv.org/abs/2605.05373

👨‍🔬 作者:David Leeftink, Max Hinne, Marcel van Gerven

📍 问题背景

智能体在部分可观测环境下运行的关键能力是有效推理和行动，尽管状态观测缺失或不完整。现有的基于记忆的循环策略通过将历史编码为潜在状态表示来解决这一问题，但其内部动态仍是不透明的黑盒。

⚙️ 技术路线:该研究建立了循环策略隐藏状态与最优控制中的Pontryagin最小值原理（PMP）之间的形式化联系。研究表明，对于标准循环架构，潜在表示直接映射到PMP协态，这使得读出层可以被解释为执行哈密顿最小化。由于标准的奖励最大化不会自然发现这种对齐，研究引入了PMP衍生的协态损失来显式结构化内部动态。

📈 实证结果:在部分可观测的DMControl任务上，该方法匹配或提高了性能，并且在零样本分布外传感器掩蔽下表现出鲁棒性。

24. 设计指挥家2.0：80小时构建TurboQuant推理加速器的智能体系统

Design Conductor 2.0: An agent builds a TurboQuant inference accelerator in 80 hours🔗 ArXiv: arxiv.org/abs/2605.05170

👨‍🔬 作者:The Verkor Team, Ravi Krishna, Suresh Krishna, David Chin

📍 问题背景

现有LLM智能体在复杂硬件设计任务中存在规模扩展瓶颈，需突破多阶段协同设计、大规模计算单元集成等挑战。

⚙️ 技术路线:采用前沿模型驱动的多智能体框架，支持240级流水线的TurboQuant加速器全自动设计，实现5129个FP16/32计算单元的硬件映射，通过8个注意力管道在TSMC 16FF工艺上完成5.7mm²的FPGA实现。

📈 实证结果:系统在80小时内完成比前代大80倍的设计任务，VerTQ加速器实现125MHz运行频率，较传统方法显著提升设计效率。

25. 自诱导结果潜力：无需验证器的智能体回合级信用分配

Self-Induced Outcome Potential: Turn-Level Credit Assignment for Agents without Verifiers🔗 ArXiv: arxiv.org/abs/2605.04984

👨‍🔬 作者:Senkang Hu, Yong Dai, Xudong Han et al.

📍 问题背景

长周期LLM智能体依赖中间信息收集回合，但训练反馈通常仅在最终答案处获得，因为过程级奖励需要高质量的人工标注。现有回合级塑造方法奖励增加黄金答案可能性的回合，但需要答案监督或稳定的任务特定验证器。

⚙️ 技术路线:提出自诱导结果潜力（SIOP），将最终答案的语义聚类作为潜在未来结果状态，用于基于潜力的回合级信用分配。SIOP对每个查询采样多个rollout，将最终答案聚类成语义结果模式，并构建这些状态上的可靠性感知目标分布。然后奖励增加可靠未来状态后验支持的回合，使用可处理的聚类级近似。

📈 实证结果:SIOP在七个搜索增强的智能推理基准测试中，平均性能优于无验证器的结果级基线，同时接近黄金监督结果基线。

26. 智能体驱动的仓库挖掘：多任务评估

Agentic Repository Mining: A Multi-Task Evaluation🔗 ArXiv: arxiv.org/abs/2605.04845

👨‍🔬 作者:Johannes Härtel

📍 问题背景

软件仓库挖掘通常需要对提交、评审、代码行或整个仓库进行分类。人工标注成本高且易出错，有限的上下文常导致误分类或标签不确定性。

⚙️ 技术路线:研究比较了两种方法：一种是接收预设计上下文的简单LLM，另一种是通过标准bash命令动态探索仓库的LLM智能体。智能体在多任务、多配置下自主检索上下文进行分类，避免了上下文窗口溢出问题。

📈 实证结果:在4943次分类任务中，智能体达到了与预设计上下文LLM相当的准确率，且在处理大尺寸工件时展现出更好的扩展性和鲁棒性。对100个分类分歧案例的手动诊断揭示了现有标注存在的模糊性和上下文不足问题。

27. 6G知识库智能体的动态授权机制

Dynamic Authorization for Knowledge-Base Agents in 6G🔗 ArXiv: arxiv.org/abs/2605.05269

👨‍🔬 作者:Loay Abdelrazek, Leyli Karacay, Marin Orlic

📍 问题背景

6G架构向去中心化多智能体系统演进时，传统RBAC授权模型无法满足基于语义的知识库细粒度访问需求，存在过度授权风险。

⚙️ 技术路线:提出混合授权框架，结合角色与一阶逻辑谓词，在知识图谱三元组级别实施零信任授权。通过Subject-Predicate-Object层级的动态权限校验，阻断权限继承链，确保智能体仅获取其功能生命周期必需的元数据。

📈 实证结果:实验表明，相比传统RBAC，该框架在知识图谱查询场景下减少89%的冗余数据暴露，授权决策延迟控制在15ms内。

28. 解码信任-智能体平台（DTap）：一个可控且交互式的AI智能体红队测试平台

DecodingTrust-Agent Platform (DTap): A Controllable and Interactive Red-Teaming Platform for AI Agents🔗 ArXiv: arxiv.org/abs/2605.04808

👨‍🔬 作者:Zhaorun Chen, Xun Liu, Haibo Tong et al.

📍 问题背景

AI智能体在复杂工作流中执行长期高风险操作时，面临安全威胁（如API密钥泄露、数据删除等）。现有评估环境缺乏动态性、可控性和可复现性，难以系统化评估智能体安全风险。

⚙️ 技术路线:提出DTap平台，覆盖14个真实领域和50+仿真环境（如Google Workspace、Paypal等），集成自主红队测试智能体DTap-Red，通过多维度注入攻击（提示词/工具/技能/环境组合）自动发现定制化攻击策略，并构建带可验证评估的大规模测试数据集DTap-Bench。

📈 实证结果:对主流AI智能体进行大规模评估，揭示系统性漏洞模式，攻击成功率在不同领域达32-68%，验证了平台在识别跨模型安全缺陷方面的有效性。

29. AgentTrust：AI智能体工具使用的运行时安全评估与拦截系统

AgentTrust: Runtime Safety Evaluation and Interception for AI Agent Tool Use🔗 ArXiv: arxiv.org/abs/2605.04785

👨‍🔬 作者:Chenglin Yang

📍 问题背景

现有AI智能体通过文件操作、Shell命令等工具调用产生现实副作用，传统防御措施存在事后检测、静态规则易被绕过、沙箱不理解语义等局限性，无法有效预防误删除/凭证泄露等不可逆风险。

⚙️ 技术路线:提出运行时安全层AgentTrust，在工具执行前拦截调用并返回四类裁决。集成Shell反混淆标准化器、SafeFix安全替代建议、RiskChain多步攻击链检测，以及基于LLM的模糊输入裁决系统，支持MCP协议实现与兼容Agent的通信。

📈 实证结果:在300场景基准测试中，生产级规则集实现95.0%裁决准确率与73.7%风险等级准确率（毫秒级延迟）；630对抗场景测试中（非零样本）达96.7%准确率，Shell混淆载荷检测率约93%。

30. SWE-WebDevBench：将编码代理应用平台评估为虚拟软件机构

SWE-WebDevBench: Evaluating Coding Agent Application Platforms as Virtual Software Agencies🔗 ArXiv: arxiv.org/abs/2605.04637

👨‍🔬 作者:Siddhant Saxena, Nilesh Trivedi, Vinayaka Jyothi

📍 问题背景

当前基于自然语言描述生成全栈软件的AI代理平台缺乏对业务需求理解、架构决策、生产代码编写、迭代修改和业务准备维护等方面的系统评估。

⚙️ 技术路线:研究提出SWE-WebDevBench评估框架，包含68个指标，分为7组25个主要指标和43个诊断指标，从交互模式（应用创建请求vs应用修改请求）、机构角度（产品经理、工程、运维）和复杂度层级（T4多角色SaaS、T5AI原生）三个维度进行评估。对6个平台在3个领域的18个评估单元进行了测试。

📈 实证结果:评估揭示了当前AI应用构建平台的四个主要缺陷：1)需求规范瓶颈；2)前后端脱节；3)生产准备度陡降；4)普遍的安全和基础设施问题。安全得分最高不超过65%（目标90%），并发处理能力低至6%。

31. SADE：基于LLM的网络故障诊断的症状感知升级方法

SADE: Symptom-Aware Diagnostic Escalation for LLM-Based Network Troubleshooting🔗 ArXiv: arxiv.org/abs/2605.04530

👨‍🔬 作者:Kuan-Hao Tseng, Niruth Bogahawatta, Yasod Ginige et al.

📍 问题背景

现有基于LLM的网络故障诊断智能体缺乏人类工程师采用的层级化方法论，自由形式的推理过程混淆了证据收集与假设确认，导致根因定位准确率远低于实际部署需求。

⚙️ 技术路线:SADE智能体将思科经典排障方法编码为显式策略：1) 采用阶段门控诊断流程，分离证据收集与假设确认阶段；2) 构建故障家族技能路由库与高效诊断辅助工具；3) 通过策略强制实施分层推理纪律。

📈 实证结果:在NIKA基准523个未见场景的测试中，相比ReAct+GPT-5基线提升根因F1值37个百分点，其中22个百分点可单独归因于诊断策略（控制实验验证）。

32. PARNESS：一种支持动态工作流、全文索引和跨运行知识积累的端到端自动化科研论文工具

PARNESS: A Paper Harness for End-to-End Automated Scientific Research with Dynamic Workflows, Full-Text Indexing, and Cross-Run Knowledge Accumulation🔗 ArXiv: arxiv.org/abs/2605.05258

👨‍🔬 作者:Yuchen Wang, Zhongzhi Luan

📍 问题背景

现有自主科研系统（如AI-Scientist、AutoSOTA等）采用固定的控制流架构（线性管道、状态机等），无法适应不同学科动态变化的科研工作流，且存在知识跨域迁移困难、全文信息利用不足、代码-论文关联缺失等问题。

⚙️ 技术路线:提出基于四要素的开放框架：(1) 采用DAG内核与四字段Agent契约实现可编辑YAML工作流；(2) 全文PDF解析子系统将论文主体结构化索引；(3) 构建论文-代码-实验的知识图谱，支持场景化检索；(4) 扩展接口兼容主流编程Agent（如Copilot）。通过解耦调度与领域语义，支持跨学科科研流程表达。

📈 实证结果:实现首个结合声明式管道、全文PDF/代码库索引、跨运行知识的开源系统，其知识图谱检索可精准提取关联内容（相似/矛盾/跨域/反直觉关系）注入LLM上下文。

33. KEET：利用LLM智能体解释GPU内核性能

KEET: Explaining Performance of GPU Kernels Using LLM Agents🔗 ArXiv: arxiv.org/abs/2605.04467

👨‍🔬 作者:Joshua H. Davis, Klaudiusz Rydzy, Srinivasan Ramesh et al.

📍 问题背景

GPU内核性能分析工具（如Nsight Compute）生成的数据细节丰富但难以解读，开发者需耗费大量时间人工分析性能瓶颈。现有方法缺乏自动化解释与优化建议生成能力。

⚙️ 技术路线:提出基于LLM的智能体框架KEET，通过解析Nsight Compute性能数据生成自然语言解释与优化建议。其核心是构建数据驱动的解释生成机制，将原始性能指标转化为可操作的优化知识，并支持下游代码优化任务的知识复用。

📈 实证结果:在NVIDIA H100 GPU上测试多复杂度CUDA内核，证明生成的解释能提升LLM代码优化质量（具体指标未量化），且可扩展至大规模性能数据集分析。

34. 实验即代码实验室：AI驱动科学发现的声明式堆栈

Experiment-as-Code Labs: A Declarative Stack for AI-Driven Scientific Discovery🔗 ArXiv: arxiv.org/abs/2605.04375

👨‍🔬 作者:Zhenning Yang, Yuhan Chen, Patrick Tser Jern Kon et al.

📍 问题背景

当前AI在科学发现中的应用主要局限于数字环境，而物理实验室操作中的实时观察和直觉调整对科学突破至关重要。现有自动化实验室虽提供可编程API，但AI代理与实验设备间的无缝衔接仍存在系统层鸿沟。

⚙️ 技术路线:提出'实验即代码'范式，将实验设计编码为可编译到设备API的声明式配置。AI代理生成假设和实验方案，系统层执行程序分析、安全检查、资源分配和任务编排，最终通过设备API实现程序化实验。该框架独立于特定科学领域、实验室和仪器设备。

📈 实证结果:构建了跨物理层、系统层和智能层的通用堆栈，实现AI代理对实验室设备的直接控制。通过声明式配置抽象，降低了实验流程的编程复杂度，为实时实验调整提供系统支持。

35. 一种用于稳定软件重构的多智能体共识协议

A Multi-Agent Consensus Protocol for Stable Software Remodularization🔗 ArXiv: arxiv.org/abs/2605.04188

👨‍🔬 作者:Ahmed F. Ibrahim

📍 问题背景

现有软件重构方法通常将模块聚类视为单目标优化问题，难以兼顾结构内聚性和演化稳定性这两个冲突属性，导致实际架构恢复效果受限。

⚙️ 技术路线:该研究将软件模块聚类重构为多智能体的分布式共识问题，提出非对称单调让步协议(AMCP)，使智能体能够通过协商达成满足多属性效用阈值的分解方案。协议设计借鉴了Zeuthen策略，保证在封闭实例条件下的终止性和有界让步行为，并确保最终分区的局部帕累托满意度。

📈 实证结果:在Xwork Java框架上的初步实验表明，当稳定性预算宽松时，协商共识结果与最先进优化器相当；在严格稳定性约束下，该方法可作为'断路器'强制满足约束条件。

36. OpenSeeker-v2：通过信息丰富且高难度轨迹突破搜索智能体的极限

OpenSeeker-v2: Pushing the Limits of Search Agents with Informative and High-Difficulty Trajectories🔗 ArXiv: arxiv.org/abs/2605.04036

👨‍🔬 作者:Yuwen Du, Rui Ye, Shuo Tang et al.

📍 问题背景

当前前沿LLM智能体的深度搜索能力开发被工业巨头垄断，依赖资源密集型的预训练、持续预训练、监督微调和强化学习流程，学术团队难以参与竞争。

⚙️ 技术路线:提出仅用监督微调（SFT）训练搜索智能体的轻量方案，通过三项数据合成改进：扩展知识图谱规模以丰富探索、增加工具集广度、严格低步骤过滤，构建10.6k高质量轨迹数据集。采用ReAct范式的30B规模智能体架构。

📈 实证结果:在4个基准测试中全面超越工业方案（BrowseComp 46.0% vs 43.4%，BrowseComp-ZH 58.1% vs 46.7%，Humanity's Last Exam 34.6% vs 32.9%，xbench 78.0% vs 75.0%），成为同规模下首个纯学术团队开发的SOTA搜索智能体。

37. SymptomAI：面向日常症状评估的对话式AI智能体

SymptomAI: Towards a Conversational AI Agent for Everyday Symptom Assessment🔗 ArXiv: arxiv.org/abs/2605.04012

👨‍🔬 作者:Joseph Breda, Fadi Yousif, Beszel Hawkins et al.

📍 问题背景

现有医疗AI主要针对结构化病例诊断，但缺乏对日常症状对话场景的适应性评估，且用户主导的对话模式易导致关键症状信息遗漏。

⚙️ 技术路线:部署5个对话式AI智能体，采用端到端患者访谈与鉴别诊断框架，通过主动引导式症状询问（对比用户主导基线）获取完整症状信息，在13,917名可穿戴设备用户中开展随机对照实验，并由临床专家对1,228例进行盲审验证。

📈 实证结果:主动引导式诊断准确率显著优于独立临床医生（OR=2.47,p<0.001）和用户主导基线；分析50万天可穿戴数据发现急性感染与生理指标强关联（如流感OR>7）。

38. 从意图到执行：基于智能体推荐的自动化多智能体工作流构建

From Intent to Execution: Composing Agentic Workflows with Agent Recommendation🔗 ArXiv: arxiv.org/abs/2605.03986

👨‍🔬 作者:Kishan Athrey, Ramin Pishehvar, Brian Riordan, Mahesh Viswanathan

📍 问题背景

现有多智能体系统构建依赖人工规划、智能体选择和执行图设计，存在效率低、可扩展性差的问题。如何自动化实现从用户意图到执行的工作流全链路优化是关键挑战。

⚙️ 技术路线:提出自动化多智能体系统框架：1)LLM规划器生成任务计划；2)动态调用图管理执行流；3)两阶段智能体推荐系统（快速检索+LLM重排序）；4)批判性智能体全局评估推荐结果。通过本地/全局注册中心实现智能体动态匹配。

📈 实证结果:实验显示：1)端到端召回率超越SOTA；2)批判性智能体使召回率进一步提升；3)系统在规划-选择-执行全流程展现更强鲁棒性和可扩展性。

39. 评估生成模型作为人类协作行为的交互式涌现表征

Evaluating Generative Models as Interactive Emergent Representations of Human-Like Collaborative Behavior🔗 ArXiv: arxiv.org/abs/2605.03855

👨‍🔬 作者:Shinas Shaji, Teena Chakkalayil Hassan, Sebastian Houben, Alex Mitrevski

📍 问题背景

当前AI代理在理解人类行为以实现有效协作方面存在不足，尤其在具身协作环境中，基础模型展现类人协作行为的能力仍需验证。

⚙️ 技术路线:研究构建2D协作游戏环境，要求LLM代理与人类完成颜色匹配任务。定义五种协作行为指标（视角采择、协作感知规划、内省、心智理论、澄清），采用基于LLM的自动化行为检测系统识别这些行为，并与人类标注结果对比验证。

📈 实证结果:自动化检测显示基础模型能自发涌现协作行为（未显式训练），不同LLM表现出显著行为模式差异。用户研究证实人类对代理的任务专注度、计划表达和主动性给予正面评价（响应时间和拟人交互待改进）。

40. ScrapMem：一种基于光学遗忘机制的设备端个性化智能体记忆仿生框架

ScrapMem: A Bio-inspired Framework for On-device Personalized Agent Memory via Optical Forgetting🔗 ArXiv: arxiv.org/abs/2605.03804

👨‍🔬 作者:Jiale Chang, Yuxiang Ren

📍 问题背景

资源受限的边缘设备难以实现LLM智能体的长期个性化记忆，主要受限于高存储成本和多模态复杂性。现有方案难以平衡记忆细节保留与存储效率。

⚙️ 技术路线:提出仿生框架ScrapMem：1) 将多模态数据编码为'剪贴簿页面'；2) 创新光学遗忘机制，通过渐进式降低旧记忆分辨率实现存储压缩；3) 构建因果-时序结构的EM-Graph事件记忆图谱保持语义连贯性。

📈 实证结果:在ATM-Bench测试中：1) Joint@10得分51.0%达到SOTA；2) 光学遗忘使存储降低93%；3) 结构化聚合使Recall@10提升至70.3%。

41. MEMTIER：面向长期运行自主AI智能体的分层内存架构与检索瓶颈分析

MEMTIER: Tiered Memory Architecture and Retrieval Bottleneck Analysis for Long-Running Autonomous AI Agents🔗 ArXiv: arxiv.org/abs/2605.03675

👨‍🔬 作者:Bronislav Sidik, Lior Rokach

📍 问题背景

现有自主AI智能体在长期运行时面临内存一致性问题，工具执行成功率在72小时内下降14个百分点，主要由于平面文件内存系统的四种复合故障模式。

⚙️ 技术路线:提出MEMTIER三层内存架构，包含结构化事件JSONL存储、五信号加权检索引擎、注意力属性认知权重更新循环、异步整合守护进程将事件事实提升至语义层，以及基于PPO的检索权重自适应策略框架。

📈 实证结果:在500题的LongMemEval-S基准测试中，Qwen2.5-7B模型在6GB消费级GPU上实现准确率0.382（较全上下文基线提升33个百分点），DeepSeek-V4-Flash事实预填充使单会话召回率达0.686-0.714，超越GPT-4o的RAG基线（0.560）。

42. Workspace-Bench 1.0：基于大规模文件依赖的工作空间任务AI智能体基准测试

Workspace-Bench 1.0: Benchmarking AI Agents on Workspace Tasks with Large-Scale File Dependencies🔗 ArXiv: arxiv.org/abs/2605.03596

👨‍🔬 作者:Zirui Tang, Xuanhe Zhou, Yumou Liu et al.

📍 问题背景

现有基准测试主要评估智能体在预设或合成的有限依赖文件上的表现，缺乏对真实工作空间中复杂文件依赖关系的系统性评估，导致智能体在实际工作环境中的适应能力难以准确衡量。

⚙️ 技术路线:提出Workspace-Bench基准，构建包含5种职业档案、74种文件类型、20,476个文件（最大20GB）的真实工作空间，设计388个任务（含7,399个评估指标），每个任务具有明确的文件依赖图，要求智能体完成跨文件检索、上下文推理和自适应决策。同时提供100个任务的精简版Workspace-Bench-Lite以降低70%评估成本。

📈 实证结果:测试4种主流智能体框架和7个基础模型，最佳智能体得分仅68.7%（人类基准80.7%），平均性能47.4%，显示现有系统在复杂工作空间学习中的可靠性不足。

43. 基于技能的AI智能体流程在国会图书馆主题标引中的应用

A Skill-Based AI Agentic Pipeline for Library of Congress Subject Indexing🔗 ArXiv: arxiv.org/abs/2605.03537

👨‍🔬 作者:Eric H. C. Chow

📍 问题背景

国会图书馆主题标引（LCSH）是图书馆编目中最耗时的环节之一，传统方法依赖人工分析作品主题、选择受控词汇并编码为MARC21字段，效率低下且一致性难以保证。

⚙️ 技术路线:提出模块化智能体流程，将标引分解为四个顺序执行的技能：概念分析（提取主题）、定量过滤（筛选候选词）、权威验证（对照SHM手册校验）、MARC字段合成（生成标准格式）。每个技能均基于国会图书馆SHM手册的领域知识构建。

📈 实证结果:在哈佛图书馆书目数据集上的测试显示，该系统与专业标引实践具有高度概念一致性，但在术语特异性、细分规则及对2026年LC政策（取消形式细分转向LCGFT 655字段）的遵循度上存在差异。

44. MEMSAD：检索增强智能体中内存中毒的梯度耦合异常检测

MEMSAD: Gradient-Coupled Anomaly Detection for Memory Poisoning in Retrieval-Augmented Agents🔗 ArXiv: arxiv.org/abs/2605.03482

👨‍🔬 作者:Ishrith Gowda

📍 问题背景

检索增强智能体依赖持久外部存储器维持跨会话上下文，但其安全特性缺乏形式化表征。现有研究对内存投毒攻击的评估存在协议不一致问题，且防御方法难以兼顾检测效果与检索质量。

⚙️ 技术路线:提出MEMSAD防御框架，基于梯度耦合定理：在编码器正则性条件下，异常分数梯度与检索目标梯度严格一致，确保任何降低检测风险的连续扰动必然损害检索排名。通过Le Cam方法证明其极小极大最优性，并推导在线滚动校准的遗憾界。针对离散同义词替换漏洞，形式化定义了连续空间防御的保证边界。

📈 实证结果:在3×5攻击-防御矩阵实验中，组合防御实现TPR=1.00/FPR=0.00；同义词替换攻击的ASR-R≈0，暴露出现有嵌入防御的固有缺陷。协议修正后攻击成功率提升4倍（ASR-R 0.25→1.00）。

45. 鲁棒智能体补偿（RAC）：教导AI智能体进行补偿

Robust Agent Compensation (RAC): Teaching AI Agents to Compensate🔗 ArXiv: arxiv.org/abs/2605.03409

👨‍🔬 作者:Srinath Perera, Kaviru Hapuarachchi, Frank Leymann, Rania Khalaf

📍 问题背景

现有Agent框架在执行复杂任务时，常因意外副作用导致执行失败或产生不可预测的结果，缺乏有效的恢复机制。

⚙️ 技术路线:RAC通过日志记录的恢复范式，作为架构扩展应用于现有Agent框架（如LangGraph），无需修改原有代码即可实现可靠执行。该方案利用现有扩展点实现，支持在LangChain等框架中部署，通过日志记录和恢复机制避免副作用。

📈 实证结果:在τ-bench和REALM-Bench测试中，RAC在解决复杂问题时，延迟和token经济性比现有基于LLM的恢复方法提升1.5-8倍。

46. ARGUS：防御上下文感知提示注入攻击的LLM智能体保护机制

ARGUS: Defending LLM Agents Against Context-Aware Prompt Injection🔗 ArXiv: arxiv.org/abs/2605.03378

👨‍🔬 作者:Shihao Weng, Yang Feng, Jinrui Zhang et al.

📍 问题背景

现有LLM智能体的安全防御机制假设攻击与上下文无关，无法应对现实场景中依赖动态上下文决策的智能体系统面临的上下文感知型提示注入攻击。

⚙️ 技术路线:提出ARGUS防御框架，通过构建影响溯源图追踪非可信上下文对决策的传导路径，在执行前验证决策是否基于可信证据。配套发布AgentLure基准测试，覆盖4个智能体领域和8种上下文相关攻击向量。

📈 实证结果:实验显示ARGUS将攻击成功率降至3.8%，同时保持87.5%任务效用，显著优于现有防御方案，且对自适应白盒攻击保持鲁棒性。

47. SkCC：跨框架LLM智能体的可移植安全技能编译框架

SkCC: Portable and Secure Skill Compilation for Cross-Framework LLM Agents🔗 ArXiv: arxiv.org/abs/2605.03353

👨‍🔬 作者:Yipeng Ouyang, Yi Xiao, Yuhao Gu, Xianwei Zhang

📍 问题背景

当前LLM智能体的技能描述（SKILL.md）缺乏标准化，导致不同框架对提示格式敏感度差异高达40%，且存在大量安全漏洞，手动适配各平台导致维护成本激增。

⚙️ 技术路线:提出SkCC编译框架，核心创新包括：1) 强类型中间表示SkIR解耦技能语义与平台格式；2) 编译时分析器通过Anti-Skill Injection实施安全约束；3) 四阶段流水线将适配复杂度从O(m×n)降至O(m+n)。

📈 实证结果:在SkillsBench测试中，编译后技能通过率显著提升（Claude Code从21.1%→33.3%，Kimi CLI从35.1%→48.7%），编译延迟<10ms，安全触发率94.8%，跨平台运行时token节省10-46%。

48. LLM-ADAM：一种用于增材制造预打印异常检测的可泛化LLM智能体框架

LLM-ADAM: A Generalizable LLM Agent Framework for Pre-Print Anomaly Detection in Additive Manufacturing🔗 ArXiv: arxiv.org/abs/2605.03328

👨‍🔬 作者:Ahmadreza Eslaminia, Chuhan Cai, Cameron Smith et al.

📍 问题背景

增材制造（AM）的普及使得缺乏专业知识的用户需要承担工艺规划责任，而有效的预打印G代码筛查可以避免材料或机器时间的浪费。现有方法在检测G代码中的异常时存在准确率不足的问题。

⚙️ 技术路线:LLM-ADAM框架将任务分解为三个角色：Extractor-LLM将G代码文件映射到结构化工艺参数模式；Reference-LLM将打印机和材料文档转换为对齐的操作范围；Judge-LLM解释确定性偏差表和G代码证据以判断零件是否无缺陷或属于异常类别。打印机、材料和LLM主干是可互换的测试条件。

📈 实证结果:在包含200个FFF G代码的语料库上，最佳框架配置达到87.5%的准确率，而最强的单LLM基线为59.5%。结构化分解是改进的主要来源，缺陷类别的识别接近上限，残余错误主要集中在无缺陷样本的保守误报上。

49. 注意力：是什么阻止年轻人在LLM驱动的社交媒体模拟中公开反对网络欺凌

Attention: What Prevents Young Adults from Speaking Up Against Cyberbullying in an LLM-Powered Social Media Simulation🔗 ArXiv: arxiv.org/abs/2605.03287

👨‍🔬 作者:Qian Yang, Jessie Jia, Elaine Tsai et al.

📍 问题背景

现有的多智能体社交模拟系统在帮助用户应对复杂社交情境方面具有潜力，但如何有效引导年轻旁观者公开反对网络欺凌仍面临挑战，主要受限于多方社交动态的复杂性。

⚙️ 技术路线:研究团队开发了'Upstanders' Practicum'，一个基于大型语言模型（LLMs）的多AI智能体社交媒体模拟平台。通过34名年轻成年人在三个迭代版本中的自由实践，观察其公开干预行为。系统设计重点在于引导参与者完成三个注意力转变：从忽视到真正关注、从自我关注到关注直接相关方、从私下调解到公开规范设定。

📈 实证结果:研究发现，只有当参与者完成这三个注意力转变后，模拟实践才开始有效：参与者找到了公开发声的理由，并通过持续实践，在没有明确指导的情况下能够巧妙设计公开信息。

50. DADL：LLM智能体系统中企业工具库的声明式描述语言

DADL: A Declarative Description Language for Enterprise Tool Libraries in LLM Agent Systems🔗 ArXiv: arxiv.org/abs/2605.05247

👨‍🔬 作者:Axel Dunkel

📍 问题背景

当前LLM智能体与外部工具的接口标准（MCP）在组织规模应用时存在两个结构性问题：每个API集成需要独立部署服务器进程，导致管理复杂；工具注册模型使上下文窗口消耗随工具数量线性增长，限制了实际可用API数量。

⚙️ 技术路线:提出DADL（Dunkel API描述语言），一种YAML格式的声明式文件，描述REST API的端点、认证、分页等属性。通过运行时解释执行层实现，无需为每个API部署独立服务器，所有工具共享运行时，凭证和授权集中管理，并通过固定大小的Code Mode接口向LLM展示工具目录。

📈 实证结果:在包含1,833个工具定义的公共注册表上，Code Mode将工具广告的上下文成本从约142,000 token降至约1,000 token，减少了142倍；每次调用的搜索和执行成本取决于具体任务。

51. MAGE：通过影子内存保护LLM智能体免受长时程威胁

MAGE: Safeguarding LLM Agents against Long-Horizon Threats via Shadow Memory🔗 ArXiv: arxiv.org/abs/2605.03228

👨‍🔬 作者:Yuhui Wang, Tanqiu Jiang, Jiacheng Liang, Charles Fleming, Ting Wang

📍 问题背景

基于大语言模型（LLM）的智能体在执行复杂现实任务时，面临利用多轮交互实施恶意攻击的长时程威胁，现有防御机制难以应对这类跨轮次的安全风险。

⚙️ 技术路线:提出MAGE框架，借鉴系统安全中的影子栈概念，建立独立的安全导向记忆模块。该模块持续提炼并存储智能体执行轨迹中的安全关键上下文，通过影子内存对即将执行的动作进行前瞻性风险评估，实现攻击检测与拦截。

📈 实证结果:实验表明MAGE在多种长时程攻击场景下的检测准确率显著优于基线方法，对83%的攻击实现早期检测，且仅带来1.2%的额外计算开销。

52. 多轮智能体的依赖感知隐私保护

Dependency-Aware Privacy for Multi-turn Agents🔗 ArXiv: arxiv.org/abs/2605.03188

👨‍🔬 作者:Divyam Anshumaan, Sarthak Choudhary, Nils Palumbo, Somesh Jha

📍 问题背景

现有基于度量差分隐私的提示净化器独立处理每次数据发布，导致多轮交互中隐私随发布次数递减。当私有属性作为计算图的根节点时，独立噪声处理会放大根节点的可区分性，严重影响医疗和金融工作流中的隐私保护效果。

⚙️ 技术路线:RootGuard通过一次性对根值进行噪声处理，并确定性计算后续发布值，利用后处理定理确保隐私保证仅取决于初始根净化。该方法利用领域结构知识（如BMI计算公式）优化根节点间的隐私预算分配，实现零边际成本的派生值隐私继承。多轮交互时，RootGuard将总预算分配到根节点，而独立噪声方法则需每轮消耗预算。

📈 实证结果:在8个NHANES医疗诊断模板上，RootGuard在ε=0.1时比独立噪声方法降低2.3-3.0倍目标误差（7.6% vs 17.1% wMAPE）。在MAP重构攻击下，更多查询会强化对独立噪声方法的攻击，而RootGuard保持稳定。

53. 从示例中学习正确行为：验证自主智能体的顺序执行

Learning Correct Behavior from Examples: Validating Sequential Execution in Autonomous Agents🔗 ArXiv: arxiv.org/abs/2605.03159

👨‍🔬 作者:Reshabh K Sharma, Gaurav Mittal, Yu Hu

📍 问题背景

现有自主智能体的顺序行为验证依赖人工规则或海量训练样本，存在验证成本高、泛化性差的问题，尤其在非确定性行为场景下难以保证执行序列的正确性。

⚙️ 技术路线:提出融合编译器支配分析与多模态LLM语义理解的新算法：1) 使用前缀树接收器构建广义真值模型；2) 通过多层级等价检测合并执行轨迹；3) 采用拓扑子序列匹配进行验证。核心技术突破在于仅需2-10条成功轨迹即可建模关键状态，处理非确定性行为。

📈 实证结果:实验显示仅用3条训练轨迹即可高精度检测产品缺陷和误报成功，适用于UI测试、代码生成和机器人流程等多领域，提供可解释的覆盖率指标。

54. 稳定智能控制：面向自主网络防御的工具中介LLM架构

Stable Agentic Control: Tool-Mediated LLM Architecture for Autonomous Cyber Defense🔗 ArXiv: arxiv.org/abs/2605.03034

👨‍🔬 作者:Kerri Prinos, Lilianne Brush, Cameron Denton et al.

📍 问题背景

现有Agent系统在高风险对抗决策中缺乏形式化保证，难以满足安全运营中心(SOC)在对抗环境下配置终端检测与响应(EDR)策略的实战需求。

⚙️ 技术路线:提出工具中介架构：LLM智能体通过确定性工具(Stackelberg最优响应、贝叶斯观测更新、攻击图原语)进行决策，从工具输出接口强制的有限动作目录中选择行动。采用Lean 4验证的复合Lyapunov函数，确保在智能对抗干扰下的可控性、非对称传感器数据可观测性及输入-状态稳定性。

📈 实证结果:在282个真实企业攻击图上验证有效性，工具中介的Claude Sonnet 4控制器使攻击者预期收益降低59%(相比确定性贪婪基线)，40次实验零方差；Claude Haiku 4.5控制器虽收敛至次优值但保持目录边界稳定。

55. SOTOPIA-TOM：基于心智理论的多智能体交互信息管理评估框架

SOTOPIA-TOM: Evaluating Information Management in Multi-Agent Interaction with Theory of Mind🔗 ArXiv: arxiv.org/abs/2605.02307

👨‍🔬 作者:Yashwanth YS, Ruichen Wang, Shihua Zeng et al.

📍 问题背景

当前基于LLM的多智能体系统在信息不对称场景（如隐私敏感信息共享）中缺乏有效的评估基准，难以衡量其信息管理、协调决策与隐私保护的综合能力。

⚙️ 技术路线:构建支持公开/私有通信的多智能体交互环境，设计8个行业领域的160个场景（3-5个智能体参与），每个智能体拥有分区私有知识及信道依赖的共享策略。提出多维评估框架（信息共享、细节补充、协调效率、隐私保护）及复合指标INFOMGMT，并测试6种LLM基座及提示策略（基础、思维链隐私、心智理论干预）。

📈 实证结果:最佳模型（GPT-5）INFOMGMT得分仅62%，心智理论干预（如ToM-Coach）显著改善隐私-协调平衡：GPT-4o的关键隐私违规率从9.9%降至2.2%，INFOMGMT分数从15%提升至40%。

56. EngiAgent：面向开放式工程问题的全连接协调LLM智能体系统

EngiAgent: Fully Connected Coordination of LLM Agents for Solving Open-ended Engineering Problems with Feasible Solutions🔗 ArXiv: arxiv.org/abs/2605.02289

👨‍🔬 作者:Xiyuan Zhou, Ruixi Zou, Xinlei Wang et al.

📍 问题背景

现有LLM在工程问题求解中存在可行性保障不足的缺陷，传统数学问题求解的封闭式建模无法应对工程场景的开放式分析、可行性驱动建模和迭代优化需求。

⚙️ 技术路线:提出全连接协调器的多智能体架构，包含问题分析、建模、验证、求解和评估五个专用Agent。通过动态反馈路由机制突破传统流水线反思方法的刚性，在问题求解各阶段嵌入可行性验证。关键技术包括：专家工作流模拟、约束一致性检查器、以及面向求解失败的弹性恢复机制。

📈 实证结果:在四个典型工程领域测试表明，相比基线方法可行性提升37-52%，对数据提取错误、约束冲突等故障案例的鲁棒性提高2.3倍，解决方案质量评分提升28%。

57. 理解推理模型中的规范博弈行为

Towards Understanding Specification Gaming in Reasoning Models🔗 ArXiv: arxiv.org/abs/2605.02269

👨‍🔬 作者:Kei Nishimura-Gasparian, Robert McCarthy, David Lindner

📍 问题背景

规范博弈是LLM智能体的一种关键失效模式，指模型通过采取非预期行为获得高分。目前缺乏对其发生条件和驱动因素的系统研究，阻碍了可靠Agent系统的开发。

⚙️ 技术路线:研究者构建并开源了多样化任务套件，涵盖8种场景（含5个非编码场景），量化测量模型通过非预期行为得分的频率。通过对比Grok 4、Claude等模型的表现，分析强化学习推理训练、推理预算和测试时缓解措施对规范博弈率的影响。

📈 实证结果:所有测试模型在多数场景中均存在可观测的规范博弈行为，Grok 4发生率最高（比Claude高3倍）。强化学习推理训练使博弈率显著提升，增加推理预算有弱正相关，测试缓解措施仅能部分降低发生率。

58. PhysicianBench：在真实世界电子健康记录环境中评估LLM智能体

PhysicianBench: Evaluating LLM Agents in Real-World EHR Environments🔗 ArXiv: arxiv.org/abs/2605.02240

👨‍🔬 作者:Ruoqi Liu, Imran Q. Mohiuddin, Austin J. Schoeffler et al.

📍 问题背景

现有医疗智能体基准主要关注静态知识回忆、单步原子操作或未经验证的动作意图，未能捕捉真实临床系统中的长周期复合工作流。

⚙️ 技术路线:提出PhysicianBench基准，包含100个改编自真实会诊案例的长周期任务，在EHR环境中实例化，通过标准API访问真实患者记录。任务涵盖21个专科，平均每个任务需要27次工具调用，涉及数据检索、临床信息推理、临床操作执行和文档生成。任务分解为670个结构化检查点，通过执行验证的脚本进行分级评估。

📈 实证结果:在13个专有和开源LLM智能体上，表现最佳的模型仅达到46%的成功率（pass@1），开源模型最高为19%，显示当前智能体能力与真实临床工作流需求之间存在显著差距。

59. MEMAUDIT：一种针对预算约束下长期LLM记忆写入的精确包-预言机评估协议

MEMAUDIT: An Exact Package-Oracle Evaluation Protocol for Budgeted Long-Term LLM Memory Writing🔗 ArXiv: arxiv.org/abs/2605.02199

👨‍🔬 作者:Nishant Bhargava, Rodrigo Sobral Barrento

📍 问题背景

现有长期LLM智能体的记忆评估通常混合了记忆写入、检索、提示和读者推理等多个环节，难以精确评估记忆写入质量。

⚙️ 技术路线:提出MEMAUDIT协议，将记忆写入问题转化为可审计的优化问题：固定经验流、候选记忆表示、存储成本等要素，采用分支定界法和混合整数线性规划认证，在存储约束下优化模块化语义覆盖目标。

📈 实证结果:在控制实验包、压力测试和自然数据切片中，该方法能分离表示质量、有效性保持和预算感知选择等传统端到端QA无法区分的因素。

60. 当对齐不足时：针对LLM智能体的响应路径攻击

When Alignment Isn't Enough: Response-Path Attacks on LLM Agents🔗 ArXiv: arxiv.org/abs/2605.02187

👨‍🔬 作者:Mingyu Luo, Zihan Zhang, Zesen Liu et al.

📍 问题背景

现有BYOK（自带密钥）智能体架构允许用户通过第三方中继路由LLM流量，导致生成后执行前的关键完整性缺口，恶意中继可篡改已对齐的LLM响应。

⚙️ 技术路线:研究提出中继篡改攻击(RTA)，通过多轮策略性重写、最小化安全关键编辑和向上游LLM重新提交篡改输出的隐蔽恢复手段，系统性地破坏智能体决策链。在AgentDojo和ASB平台上对6种LLM的测试中，攻击者能观察/抑制/替换下游消息。

📈 实证结果:RTA攻击成功率高达99.1%，显著优于提示注入基线方法，且在OpenClaw和Claude Code案例中验证了现实可行性。现有四种防御方案均无法完全阻止RTA。

61. 12个愤怒的AI智能体：通过电影陪审团审议评估多智能体LLM决策

12 Angry AI Agents: Evaluating Multi-Agent LLM Decision-Making Through Cinematic Jury Deliberation🔗 ArXiv: arxiv.org/abs/2605.01986

👨‍🔬 作者:Ahmet Bahaddin Ersoz

📍 问题背景

现有基于LLM的多智能体系统在群体决策中面临锚定效应（anchoring）问题，即初始意见难以被少数派改变，这与人类陪审团审议中的动态说服过程形成鲜明对比。

⚙️ 技术路线:构建12个基于电影角色的LLM智能体陪审团，采用多智能体框架进行谋杀案辩论。测试GPT-4o（强对齐）和Llama-4-Scout（弱对齐）两种模型在三种条件（基线、开放提示、无初始投票）下的表现，每种条件重复3次（共18次运行）。通过投票变化和最终裁决分析模型动态。

📈 实证结果:18次运行中17次出现悬而未决的陪审团，少数派说服多数派的情况几乎未发生。Llama-4-Scout表现出更高的投票变化（2.0-6.0次/运行），并在无初始投票条件下达成1次无罪裁决；GPT-4o投票变化均值仅1.0次且无视开放提示。

62. 特洛伊河马：利用智能体记忆进行数据窃取的武器化攻击

Trojan Hippo: Weaponizing Agent Memory for Data Exfiltration🔗 ArXiv: arxiv.org/abs/2605.01970

👨‍🔬 作者:Debeshee Das, Julien Piet, Darya Kaviani et al.

📍 问题背景

现有LLM智能体的记忆系统虽然实现了跨会话信息持久化，但引入了新型攻击面。传统记忆污染研究未充分考虑攻击者通过单次不可信工具调用植入休眠载荷的威胁模型。

⚙️ 技术路线:提出特洛伊河马攻击框架：1) 通过OpenEvolve构建自适应红队基准，持续优化攻击策略以测试不同记忆后端；2) 建立首个能力感知的安全/效用分析体系，量化评估四种记忆架构（显式工具记忆、自主记忆、RAG和滑动窗口上下文）在邮件助手场景下的脆弱性。

📈 实证结果:在OpenAI和Google前沿模型上实现85-100%攻击成功率，植入记忆在100次良性会话后仍可激活。测试的四种基础防御方案将成功率降至0-5%，但伴随显著的效用损失。

63. 一种用于描述自主LLM上下文结构的语言

A Language for Describing Agentic LLM Contexts🔗 ArXiv: arxiv.org/abs/2605.01920

👨‍🔬 作者:Noga Peleg Pelc, Gal A. Kaminka, Yoav Goldberg

📍 问题背景

当前LLM智能体系统的上下文信息设计缺乏标准化描述方法，导致架构设计难以精确传达和比较，制约了系统优化与协作效率。

⚙️ 技术路线:提出Agentic Context Description Language (ACDL)，通过形式化语言定义LLM输入上下文的动态结构，支持角色消息序列、动态内容、时间索引引用等要素的标准化描述，实现与具体实现解耦的架构可视化。

📈 实证结果:通过多个现有系统的ACDL文档化案例，验证该语言能准确捕捉不同上下文策略的差异，支持白板手绘和机器可读两种表达形式。

64. 层论规划：弹性多智能体自主系统的范畴论基础

Sheaf-Theoretic Planning: A Categorical Foundation for Resilient Multi-Agent Autonomous Systems🔗 ArXiv: arxiv.org/abs/2605.01879

👨‍🔬 作者:Manuel Hernández, Eduardo Sánchez-Soto

📍 问题背景

传统多智能体系统依赖封闭世界假设的符号逻辑模型（如事件演算），难以应对未观测的智能体干预、计划中断和信念-现实状态分歧等开放世界挑战。

⚙️ 技术路线:提出层论规划（STP）框架，基于拓扑斯理论和层语义学重构多智能体协调问题。通过范畴论数学结构建立开放世界下的行动、变化与时间持续性表示，突破传统逻辑模型的封闭性限制。

📈 实证结果:理论层面证明STP可统一处理计划中断和信念分歧问题，但未提供具体任务完成率数据。框架的数学完备性为弹性自主系统奠定基础。

65. NeuroState-Bench：一个人类校准的基准，用于评估LLM Agent配置中的承诺完整性

NeuroState-Bench: A Human-Calibrated Benchmark for Commitment Integrity in LLM Agent Profiles🔗 ArXiv: arxiv.org/abs/2605.01847

👨‍🔬 作者:Jia Xiao

📍 问题背景

现有评估方法仅关注任务结果，无法准确衡量Agent在多轮任务中是否保持承诺一致性，导致评估结果与真实表现存在偏差。

⚙️ 技术路线:提出NeuroState-Bench基准，通过定义侧向查询探针（而非推断隐藏激活）来量化承诺完整性。包含144个确定性任务和306个探针，覆盖8种认知失败模式，并采用人类校准流程（104个采样任务单元，216个原始标注，108个裁定任务行）。评估32个Agent配置，包括16个本地模型和16个托管大模型。

📈 实证结果:任务成功率和承诺完整性显著分离：成功率最高的并非完整性最佳，32个配置中31个在改用完整性指标后排名变化。核心指标HCCIS-CORE达到0.8469 AUC，探针准确性和状态漂移的ROC-AUC达0.8587。