多用户大语言模型智能体:从单主体到多主体决策的首次系统研究 Multi-User Large Language Model Agents
首次系统研究LLM智能体在多用户多主体场景下的局限
前置知识
单主体-代理问题(Single Principal-Agent Problem)
经济学经典框架:一个委托人将任务委派给一个代理人,代理人仅按单一效用函数 $u: A \to \mathbb{R}$ 优化。LLM 训练本质单主体:SFT 学单一条件分布 $p_\theta(y|x)$,RLHF 学单一标量奖励。
论文核心论证是当前 LLM 训练数据格式和优化目标都内嵌了单主体假设,这是导致多用户场景失效的根因。理解这一点才能看懂后文为何需要全新的多主体形式化。
多主体决策问题(Multi-Principal Decision Problem)
一个代理同时服务多个独立委托人,每个委托人 $u_i$ 拥有不同的效用函数 $U_i$、私有上下文 $C_i$ 和权威级别 $p_i$。代理必须最大化加权和 $\sum_{i=1}^{N} w_i U_i(a; C_i, p_i)$,同时遵守访问控制约束。
这是论文提出的全新形式化框架,区分于单主体设定。其加权社会目标、隐私约束、权威不对称是该论文后续所有协议和评估场景的数学基础。
RLHF 偏好学习(Reinforcement Learning from Human Feedback)
通过人类偏好训练奖励模型 $r_\phi$,目标为 $\max_\phi \mathbb{E}_{(x,y^+,y^-) \sim D_{pref}} \log\sigma(r_\phi(x,y^+) - r_\phi(x,y^-))$。该奖励反映“平均用户”观点,把多用户偏好聚合为单一标量信号。
论文论证 RLHF 进一步固化了单主体假设,奖励模型无法区分不同用户角色,这直接导致多用户场景中隐私保护和冲突仲裁能力不足。
访问控制与信息不对称(Access Control & Information Asymmetry)
在多用户系统中,每个用户维护权限范围内的私有上下文 $C_i$,默认对其他用户不可见。代理作为中介必须决定哪些信息可以跨用户共享,避免未授权披露。这源自经济学中的信息不对称问题(Holmström, 1979)。
论文三大基准场景之一(Cross-User Access Control)直接评估此能力,且发现多轮交互中隐私保护会随轮次增加而崩溃。
研究动机
现有 LLM 智能体本质上是为单主体场景设计的:SFT 数据采用单用户聊天模板({system, user, assistant} 三角色),把多用户输入序列化为同一个 user 角色下的字符串;RLHF 学习的标量奖励 $r_\phi(x,y) \in \mathbb{R}$ 把所有用户偏好聚合成单一信号。论文 Table 1 明确对比了单用户模板、序列化多用户模板与原生多用户模板的差异,指出当前接口无法原生表达用户身份、角色、权限。随着 LLM 智能体被部署到团队协作和组织工具中,单一智能体必须同时服务 CEO、工程师、HR、实习生等多角色用户,他们拥有不同效用函数、隐私约束和潜在冲突的目标。这种 Single Principal-Agent 范式在 Multi-Principal-Agent 场景下频繁失败:例如 CEO 指令立即停模并发布公告、工程师却请求继续开发并把进度发到个人博客,模型难以稳健仲裁。
本文的目标是本文的首要目标是提出多用户 LLM 智能体的形式化定义,把多用户交互建模为带异构效用、角色不对称和选择性可见性的多主体决策问题 $\max_a \sum_{i=1}^{N} w_i U_i(a; C_i, p_i)$。其次是设计一套统一的 Multi-User Agent Interaction Protocol,规定私有会话、共享上下文 $C_{share}$、个体化更新等机制。最后是构建 Muses-Bench 基准,在三大压力测试场景下系统评估 19 个前沿 LLM 在指令冲突仲裁、跨用户访问控制、多方会议协调上的能力差距。
与已有工作不同的是,现有相关工作要么停留在单主体框架下的多用户信息收集(用户 B/C/D 仅作辅助信息源),要么采用 ad-hoc 提示工程处理多用户。τ-bench、MINT 等基准关注工具调用或多轮语言反馈,但未显式建模用户身份、权限边界和社会选择问题。论文的独特切入角度是把多用户 LLM 交互严格类比为经济学中的 Multi-Principal-Agent 框架,引入权威级别 $p_i$、私有上下文 $C_i$、加权和目标等结构化要素,并首次系统地用受控压力测试场景量化前沿模型的失败模式(冲突下指令执行退化、多轮隐私侵蚀、协调效率瓶颈)。
核心方法
论文方法分为三部分:形式化、协议、基准。先直觉上,作者认为多用户 LLM 应当像社会系统一样存在权威层级、隐私边界和利益权衡,因此把每个用户建模为带权威 $p_i$、私有上下文 $C_i$、效用 $U_i$ 的独立委托人,把 LLM 智能体建模为要在加权社会目标 $\sum_i w_i U_i$ 下仲裁的中介者。技术上,作者先论证 SFT 与 RLHF 的单主体归纳偏置(Table 1 列出三种 chat template 的消息 schema),再提出通用形式化定义,进而设计统一的 Multi-User Agent Interaction Protocol 来管理私有会话和共享上下文 $C_{share}$,最后围绕协议设计三大压力测试场景,构造受控用户池和可验证的评测指标。
核心创新是把多用户 LLM 交互从'把多用户塞进单用户模板'的工程问题提升为'Multi-Principal-Agent 决策'的数学问题,并据此设计可量化的压力测试。不同于 Jhamtani 等 (2025) 仍把多用户当作辅助信息源,本文引入显式的权威 persona $p_i$(1-10 级)、私有上下文 $C_i$、共享上下文 $C_{share}$ 三层结构,并首次提出加权社会目标 $\max_a \sum_{i=1}^{N} w_i U_i(a; C_i, p_i)$ 作为多用户场景的目标函数,使冲突仲裁有可解释的数学依据。配套的 Muses-Bench 三大场景(指令仲裁、访问控制、会议协调)覆盖了多用户决策的主要失败维度,并配合 F1、隐私分数、效用分数、成功率和交互轮数等可计算指标,把“模型会不会失败“转化为“在哪个维度失败多少”。
方法步骤详情
实现分四步。第一步定义 $N$ 个用户 $U=\{u_1,...,u_N\}$,每用户具 persona profile $P_i=(r_i,\alpha_i,G_i,B_i)$,含角色、权威 $\alpha_i \in [1,10]$、人口属性、安全姿态。第二步搭建协议:每 turn $t$ 各用户通过私有会话提交指令 $I_{i,t}$,智能体观察 $O_{agent,t}=(C_{share}^t, I_{i,t}^u\in U)$ 后输出动作 $A_t$,各用户仅收到个性化更新。第三步构建三大压力场景:Scenario 1 注入 CEO 停模公告与工程师继续开发并发博客的冲突,用 F1 与 Execution Accuracy 度量;Scenario 2 让 LLM 担任薪资数据库守门员并加入角色扮演攻击,用 Privacy 与 Utility Score 度量;Scenario 3 模拟多用户日程部分披露,评估成功率与所需轮数。第四步对 19 个模型统一设 temperature=1.0、top-p=1.0,序列化为 Says/Colon/XML 三种模板。
技术新颖性
技术新颖性体现在三方面。其一,形式化层面,首次把多用户 LLM 交互建模为带权威和隐私约束的多主体决策问题,并给出明确的优化目标 $\max_a \sum w_i U_i$,与单主体 RLHF 标量奖励形成对照。其二,协议层面,设计的 Multi-User Agent Interaction Protocol 显式区分私有会话、共享上下文 $C_{share}$ 和个体化更新,把“哪些信息跨用户可见“作为协议级约束而非提示词技巧。其三,评测层面,Muses-Bench 同时提供 Aligned vs Conflict、Full vs Partial Disclosure、Privacy vs Utility 等对照实验设置,能在 19 个模型上揭示选择能力与执行能力的脱节(如 Qwen3-4B-IT 选择 F1=83.8 但执行只有 57.9,Grok-3-Mini 执行 88.4 但选择 F1 仅 68.2),这是单维度基准难以发现的现象。
实验结果
Table 2 报告 19 个模型在三大场景的均值±标准差。整体 Gemini-3-Pro 平均 85.6 居首,Claude-Sonnet-4.5(82.6)、Gemini-3-Flash(82.0)次之,Llama-3-8B(41.8)最弱。多用户指令跟随上 GPT-5.1 取得 F1=94.5、Acc=87.8 的均衡表现,Qwen3-4B-IT 出现 F1=83.8 与 Acc=57.9 的显著脱节。跨用户访问控制上 Grok-3-Mini 隐私 99.6 但效用仅 60.1,呈过度保守;GPT-OSS-120B 反过来效用 94.8 隐私 92.2。Figure 3 显示 Aligned 场景多数模型 Acc 0.8+,但 Conflict 下系统性下滑,Claude-Haiku-4.5 从 0.86 跌到 0.62。Figure 4 揭示多轮隐私侵蚀:Claude-3.5-Haiku 第 1 轮 >0.95,第 4 轮 <0.75。Figure 5 表明会议协调最优仅 64.8%,多数专有模型 50-66%,多方调度仍未解决。
查看结构化数据
| 任务 | 指标 | 本文 | 基线 | 提升 |
|---|---|---|---|---|
| Multi-User Instruction Following (Selection) | F1 Score (Selection) | Gemini-3-Pro 97.3, Claude-Sonnet-4.5 95.9, Gemini-3-Flash 94.1, GPT-5.1 94.5 | Llama-3-8B 14.8, Llama-3-70B 54.2, DeepSeek-R1 39.1 | 最优与最弱差距约 82 个 F1 点,闭源前沿模型普遍达到 90+ |
| Multi-User Instruction Following (Execution) | Execution Accuracy | Gemini-3-Pro 93.4, GPT-5.1 87.8, Grok-3-Mini 88.4 | Llama-3-8B 29.8, Llama-3-70B 34.5 | Gemini-3-Pro 较 Llama-3-8B 提升约 64 个百分点 |
| Cross-User Access Control (Privacy) | Privacy Score | GPT-5.2 100.0, Grok-3-Mini 99.6, GPT-5.1 98.6, Gemini-3-Pro 98.6 | Claude-Sonnet-4.5 77.3, Claude-3.5-Haiku 81.7 | GPT-5.2 较 Claude-Sonnet-4.5 提升约 23 个隐私分点 |
| Cross-User Access Control (Utility) | Utility Score | Claude-Sonnet-4.5 97.5, GPT-OSS-120B 94.8, Gemini-3-Flash 90.6, Grok-4.1-Fast 89.0 | GPT-5.1 60.3, Grok-3-Mini 60.1, GPT-4o-mini 64.4 | Sonnet-4.5 较 GPT-5.1 提升约 37 个效用分点,体现保守性差异 |
| Multi-User Meeting Coordination | Success Rate | Gemini-3-Pro 64.8, Claude-Sonnet-4.5 62.5, GPT-5.2 59.7, GPT-OSS-120B 58.9 | Llama-3-70B 22.9, Llama-3-8B 23.0, Claude-3.5-Haiku 32.2 | Gemini-3-Pro 较 Llama-3-70B 提升约 42 个百分点,但绝对值仍偏低 |
局限与改进
作者明确承认若干局限。第一,评测采用模拟用户而非真实人类协作者,对真实组织文化和人类偏好的覆盖有限。第二,序列化方案(Says/Colon/XML)只是把多用户塞进单用户角色,并非真正原生多用户接口,因此结论部分受 prompt 工程影响。第三,三大场景虽然覆盖核心维度,但未涉及长期记忆演化、跨会话权限一致性等更复杂情形。论文 Appendix B 进一步分析了用户数量 $N$ 和模板选择对结果的影响,但尚未覆盖多模态、工具调用、长时规划等更现实的多用户工作流。从我自己的观察看,评估指标如 Privacy/Utility 仍是单一标量,无法捕捉隐私泄露的严重程度分布;F1 也不区分错误地接受与错误地拒绝的代价差异。
独立分析的弱点
独立分析存在以下弱点。其一,Table 2 报告的是 19 个模型在三个独立场景的聚合分,没有给出统一的多用户能力综合指数,跨任务可比性较弱,例如 Qwen3-4B-IT 平均分 70.7 在 Llama 之上但会议协调只有 42.1,读者难以快速判断模型的多用户画像。其二,私有上下文 $C_i$ 的隐私性仅靠 prompt 约束(“don't tell anyone“),缺乏技术层强制(沙箱、加密、审计),因此实验测得的是“模型愿意遵守“而非“模型能抵抗对抗”。其三,权威等级 $\alpha_i \in [1,10]$ 主观设定,权重 $w_i$ 如何从 $\alpha_i$ 映射未明确说明,导致复现时敏感。其四,会议协调的成功率(最高 64.8%)仍然较低但未深入分析错误类型(幻觉、空洞承诺、信息遗忘)。改进方向包括:引入原生多角色 message schema、强制沙箱化的工具权限、显式定义 $w_i = f(\alpha_i)$ 映射、对错误模式做更细粒度的 case study。
未来方向
作者明确提出五大方向:原生多用户接口与表征(把用户身份、角色、权限作为一等公民)、长时安全与隐私基准(评估持续多轮下的权限一致性)、基于社会选择理论的冲突解决目标、工具化与可审计性(结构化工具调用 + 访问检查 + 交互日志)、人在环路的真实部署研究。基于本文成果可进一步延伸:把加权社会目标 $\sum w_i U_i$ 替换为纳什议价或 Rawlsian max-min 公平等更复杂的社会福利函数;引入博弈论模型刻画用户之间的策略性行为;把 Muses-Bench 扩展到多模态、工具调用、长程规划的多用户场景;研究 LLM 智能体在多用户去中心化环境(如联邦协作)下的去信任机制。
复现评估
复现评估整体可行但有难度。论文提供了 GitHub 仓库链接 https://github.com/Kordi-AI/Multi-User-LLM-Agent.git,承诺公开代码、用户池 prompt、评估脚本和数据。19 个模型中包含 13 个专有 API(Claude、GPT-5 系列、Gemini、Grok、GLM-4.5-Air)和 6 个开源模型(DeepSeek-R1、GPT-OSS-120B、Llama-3-70B/8B、Qwen3-30B/4B-IT),后者可以本地复现。temperature=1.0 和 top-p=1.0 是标准配置,但 API 价格较高,完整跑一遍三大场景每个模型需要数百至数千次调用。模拟用户 persona 的具体 prompt 仅在 Appendix A.2 提供摘要,没有给出全部 seed 模板,第三方难以精确复现 persona 分布。整体上方法学可复现,但精确数值结果存在一定随机性。
论文图表
左半部分展示单主体-代理场景:单用户 LLM 交互与单用户 LLM 智能体交互,智能体只为一个固定目标优化。右半部分展示多主体-代理场景:一个 LLM 智能体同时面对多个用户,他们拥有私有上下文、异构角色和潜在冲突目标,智能体需要进行角色感知推理、选择性上下文共享和跨用户协调,并维护每个用户的私有意图草稿和共享记忆摘要。
这是论文的总体框架图,把抽象的 Multi-Principal-Agent 概念落地为可视化的工作流对比,对理解 motivation 至关重要。