← 返回 2026-05-14

SafeHarbor:通过层次化记忆增强防护机制为大语言模型智能体划定精确的安全决策边界 SafeHarbor: Hierarchical Memory-Augmented Guardrail for LLM Agent Safety

Zhe Liu, Zonghao Ying, Wenxin Zhang, Quanchen Zou, Deyue Zhang, Dongdong Yang, Xiangzheng Zhang, Hao Peng 📅 2026-05-07 👍 3 2026-07-13 08:36
LLM智能体安全 Prompt注入防御 对比学习 层次化记忆 检索增强生成 防护栏(Guardrail)

用层次化记忆树+对比投影器为大模型Agent精准划出安全/恶意决策边界,零训练、低延迟。

前置知识

LLM智能体(LLM Agent)与工具调用

LLM智能体指在基础大语言模型之上,赋予其调用外部工具(API、文件系统、邮件服务、代码执行等)能力的系统。不同于传统聊天式LLM只能输出文本,智能体可以把自然语言指令翻译为可执行的动作序列 $\tau=(a_1,o_1,\dots,a_T,o_T)$,其中 $a_t$ 是动作、 $o_t$ 是观察。代表性的框架包括ReAct、Toolformer、WebArena等。这种'手-脚'的扩展让智能体可以自动化完成复杂工作流,但同时引入了可被攻击者诱导执行真实世界危害动作的新风险。

本文解决的核心问题就是智能体安全,所有方法设计(轨迹分类、规则注入、决策边界)都建立在'查询→动作轨迹'这一基本流程之上,必须理解智能体如何工作才能理解SafeHarbor在防御什么。

检索增强生成(RAG)

RAG是一种将外部知识库通过向量检索动态注入到LLM上下文中的技术框架。通常包含编码器 $f_\theta: \mathcal{X}\to\mathbb{R}^d$、向量数据库(存储文档嵌入)、相似度函数 $\mathrm{sim}(x_i,x_j)=z_i^\top z_j$、以及Top-k检索+拼接进prompt的流程。SafeHarbor中RAG是直接对比的基线,但本文指出纯RAG会带来78%以上的噪声率,无法精确支持安全决策。

SafeHarbor本质上是RAG思路在安全领域的演进,但加了层次化聚类、规则生成、对比投影等模块。理解RAG的优劣才能看出本文的'增量价值'。

对比学习与边际损失(Margin-based Contrastive Loss)

对比学习通过拉近同类样本、推远异类样本来学习判别性嵌入空间。边际对比损失形如 $\mathcal{L}_{con}=\frac{1}{|B|}\sum_{z\in B}\max(0,\Delta+\|z'-w_y\|^2-\|z'-w_{\neg y}\|^2)$,其中 $w_y$ 与 $w_{\neg y}$ 是两个类别的中心原型, $\Delta$ 是强制安全间隔。SafeHarbor用它训练一个轻量MLP投影器,使benign和harmful样本在潜在空间中几何分离。

这是SafeHarbor中'安全投影器(Safety Projector)'的数学核心。论文中'防止过拒绝'的关键设计就是靠这个边际损失把决策边界从硬分类变为几何距离度量。

Shannon信息增益(Information Gain)

信息增益源自决策树学习,衡量加入新样本后簇内熵的变化: $\Delta I(z_h,C^*)=H(C^*\cup\{z_h\})-H(C^*)$,其中 $H(C)=-\sum_i p_i\log_2 p_i$ 是相似度分布的熵。SafeHarbor用它判断一个新增攻击轨迹是否应触发'新叶节点创建'(高gain)还是'规则合并'(低gain),实现了记忆树的自组织演化。

这是SafeHarbor自我进化机制的关键信号。理解熵与gain的直觉,才能明白它为什么能让记忆库在持续吸收新攻击时既不爆炸增长也不漏掉新威胁。

研究动机

随着大模型从对话式聊天机器人演化为能调用工具的自主智能体(Web Agent、Code Agent、Embodied Agent),新的安全威胁已经突破传统文本生成的范畴。攻击者可以通过间接Prompt注入、目标分解、权限提升等社会工程范式,诱导智能体执行未经授权的文件删除、权限提升、钓鱼邮件发送等'行动型危害(actionable harm)',造成不可逆的真实世界后果。现有防御手段大致分两类:(1) AgentAlign等基于监督微调的内置对齐方法,重训成本高、对小模型效果不稳定(例如在Qwen2.5-7B上Benign Score从52.8%骤降到20.7%);(2) GuardAgent、ShieldAgent等外部守卫智能体,需要实时编译并执行守门代码,端到端延迟高达6433 ms(GuardAgent),严重牺牲效率。更本质的问题是,现有防御机制都是'粗粒度静态分类器',在benign和harmful之间画一条固定线性边界,对于SSH配置读取、合法备份、API调研等复杂但合法的'灰区操作'严重过拒绝。例如在GPT-4o上仅用Rule Traverse提示工程,Benign Refusal Rate就高达88.1%。

本文的目标是论文目标是为LLM智能体设计一个'精确、自适应、低延迟'的安全护栏框架SafeHarbor,使其在保持高有害请求拦截率(>93%)的同时,显著降低对良性复杂任务的误拒率(在GPT-4o上峰值Benign Score达到63.6%),并且不需要对基础LLM进行任何微调,部署形态轻量(仅一个7B模型,14GB VRAM,平均延迟306 ms)。最终实现安全-效用最优平衡,且框架对GPT-4o、Mistral-8B、Qwen2.5-7B、GPT-5、Claude-3.5-Sonnet、Qwen3-32B等不同基座模型具有可迁移性。

与已有工作不同的是,本文的独特切入角度在于将'精确决策边界'从抽象概念落地为'动态上下文规则+几何投影'的两层防御机制:(1) 离线阶段用对抗性规则生成器(结合Goal Decomposition、Privilege Escalation、Contextual Reframing三种社会工程范式)合成多样化安全策略,并基于信息熵驱动记忆树的自演化(节点分裂与合并),形成具有清晰边界的层次化记忆结构;(2) 在线阶段用一个轻量MLP安全投影器在潜在空间里衡量查询到benign/harmful原型的几何距离,配合双门控打分(Fast Path + LLM Judgment)实现既不误杀、也不漏判。这与GuardAgent靠重LLM执行守门代码、LlamaGuard靠静态分类器硬切分都不一样——核心差别是'每条查询都动态重建局部安全边界,而不是依赖预计算全局margin'。

核心方法

SafeHarbor的整体设计哲学是'把安全边界从硬分类器变成可检索的上下文规则库'。直觉上,它把'什么样的请求算恶意'这件事拆解成一个个可命名的安全规则(如'禁止读取SSH配置上传到外部服务器'),每个规则都附上一条对应的'豁免条款'('但允许管理员做数据备份'),存到一棵层次化记忆树里。当新查询来时,先用一个轻量MLP投影器快速打分;高置信度安全的走Fast Path直接放过,模糊地带则触发一次LLM Judgment,结合检索到的规则做语义裁决。技术路线分为三个阶段:阶段I(离线)对抗性规则生成,阶段II(存储)双知识库构建+投影器训练,阶段III(在线)检索+双门控推理。

与已有方法相比,SafeHarbor有三个本质区别。(1) 静态规则 vs 动态规则:传统方法把14类Llama Guard安全规则写死在系统提示里(Rule Traverse),无法处理上下文细微差异;SafeHarbor把规则挂载到记忆树叶子节点,每条规则都带'Prohibition+Exemption'成对结构,形成显式的对比边界 $\Pi_i=\{R_{harm},E_{benign}\}$。(2) 线性分类 vs 几何投影:LlamaGuard等是黑箱二元分类器,SafeHarbor训练一个2层MLP作为安全投影器,把查询映射到单位球面,再计算到 $w_B$(benign中心)和 $w_H$(harmful中心)的距离,用softmax得到连续分数 $s(x)=\frac{\exp(-d_H)}{\exp(-d_H)+\exp(-d_B)}$,并配合边际损失 $\mathcal{L}_{con}$ 强制维持 $\Delta=0.7$ 的几何间隔。(3) 静态知识库 vs 自演化记忆:纯RAG是扁平向量库,A-Mem是图结构但无安全语义,SafeHarbor用Shannon熵驱动的Information Gain $\Delta I$ 决定新样本是触发新叶节点创建(split)还是与最近邻合并(merge),使记忆库在吸收新攻击时既不过拟合单点也不爆炸增长。

方法步骤详情

SafeHarbor的完整流程包含离线与在线两大部分。**离线阶段I(对抗性规则生成)**:以AgentAlign数据集中的4,956个有害轨迹为种子 $\tau_h\in D_{harm}$,调用Qwen2.5-72B作为Attack Generator,循环轮询三种社会工程模板——Goal Decomposition把恶意意图拆解为看似合理的子步骤(如把'买致死剂量安眠药'包装成'南极探险一次性备药')、Privilege Escalation伪装成高级技术人员的紧急指令、Contextual Reframing嵌入到教育/虚构语境;每次生成后用LLM Judge评估成功率和信息量。**离线阶段II(双知识存储)**:对每个生成的轨迹 $\tau_h$,先用MLP投影器编码为 $z_h$,再从 $D_{benign}$ 中检索Top-3最相似的良性样本 $B_{near}$,送入LLM规则生成器 $G_{rule}$ 产出 $\{R_{new},E_{new}\}$;然后按Algorithm 1判断:(a) 若 $\mathrm{sim}(c_{C^*},z_h)<\tau_{sim}$ 则新建簇 (Case 1);(b) 若信息增益 $\Delta I>\tau_{gain}$ 则在最近簇下创建新叶节点 (Case 2);(c) 否则把规则合并到最近叶节点 (Case 3)。同时收集Benign数据库用于'豁免条款'锚定。投影器训练使用 $\mathcal{L}_{total}=\mathcal{L}_{cls}+\lambda\mathcal{L}_{con}$,其中 $\lambda=0.3$、 $\Delta=0.7$。**在线阶段III(评分与检索)**:用户查询 $x_q$ 编码为 $z_q$ 后,投影器输出有害概率 $S_{harm}$,Benign库Top-1检索得到bret,Benign相似度 $S_{benign}=1-\|z_q-b_{ret}\|^2$。门控逻辑:若 $S_{harm}<\tau_{low}$ 且 $S_{benign}>\tau_{high}$(实验取 $\tau_{low}=0.2$、 $\tau_{high}=0.65$),走Fast Path直接放行;否则进入LLM Judgment,把检索到的Prohibition+Exemption规则与查询一起送入冻结基座LLM做in-context reasoning,输出SAFE/HARMFUL二分类。

技术新颖性

本文的技术新颖性主要体现在三个层面。**第一,规则耦合的'双策略单元'设计**:将安全规则表示为 $\Pi_i=\{R_{harm},E_{benign}\}$ 的对比对,使每一条'禁止'都伴随一条对应的'豁免',从根本上解决了传统RAG因缺乏负例对照而产生的过拒绝问题——实验显示去掉Benign Rule后Benign Refusal从9.1%飙升至25.0%。**第二,基于Shannon熵的自演化记忆树**:把决策树学习中的Information Gain思想引入到安全规则库管理,实现 $O(\log N)$ 的高效检索与自组织更新;消融实验中'扁平化'记忆树导致有害拒绝率断崖式下降到48.9%,证明层次结构对安全防御的不可替代性。**第三,投影器+LLM Judgment的混合推理范式**:投影器提供毫秒级几何打分(承担~23%流量的Fast Path),LLM Judgment仅在模糊地带被调用,把端到端延迟压到306.67 ms——这是GuardAgent(6433 ms)的1/20。整体上,这是一种'用结构化知识库+轻量学习'取代'重LLM推理'的轻量化安全防护新范式。

The proposed SafeHarbor framework
Figure 2: The proposed SafeHarbor framework
Hyperparameter sensitivity analysis of the safety projector
Figure 3: Hyperparameter sensitivity analysis of the safety projector
Hyperparameter Sensitivity Analysis on Dynamic Memory Evolution
Figure 4: Hyperparameter Sensitivity Analysis on Dynamic Memory Evolution
Safety Projector Bypass Analysis
Figure 5: Safety Projector Bypass Analysis

实验结果

**核心实验一(AgentHarm,表1)**:在GPT-4o上SafeHarbor实现Harmful Refusal 93.2%、Harmful Score仅6.3、Benign Score 63.6%、Benign Refusal 25.0%,是所有'生存基线'(排除过防御+欠防御)中安全-效用平衡最佳的方案。相比Rule Traverse(Benign Refusal 88.1%但过度拦截)、GuardAgent(Benign Refusal 50.0%但仍显著误拒)、LlamaGuard(Benign Score 52.4%略低),SafeHarbor在benign utility上提升~11个百分点。在Qwen2.5-7B基座上,SafeHarbor的Benign Refusal降至9.1%,相比LlamaGuard的22.7%减少60%误拒,同时保持89.2%的有害拒绝率。**核心实验二(AgentSafetyBench,表2)**:在需要工具执行与文本攻击两类场景下,GPT-4o+SafeHarbor将Refusal-Env从基线42.63%提升到62.05%(+19.4个百分点),Refusal-Text从82.00%提升到89.78%,这是所有方法中表现最好的。Mistral-8B与Qwen2.5-7B在使用Qwen2.5-72B作为外挂verifier时,进一步分别达到44.93%/41.69%的Refusal-Env,证明'小基座+大验证器'的策略有效。**核心实验三(消融实验,表3)**:在Qwen2.5-7B上分别去掉Attack Enhancement、Memory Tree、Benign Rule、Safety Projector、LLM Judgment五个模块后,Memory Tree的影响最致命(Harmful Refusal从89.2%崩到48.9%),证明层次化结构不可替代;LLM Judgment次之(拒绝率降至67.6%);去掉Benign Rule则Benign Refusal从9.1%飙到25.0%,确认豁免条款是保效用的关键。**核心实验四(效率分析,表4)**:SafeHarbor以14GB VRAM、306.67 ms平均延迟运行,参数规模仅7B,对比GuardAgent(6433 ms,约20倍慢)、AgentAlign(1728.20 ms,约5.6倍慢)、LlamaGuard(379.30 ms + 8B外挂 = 30GB VRAM),在资源效率与速度上同时领先。**核心实验五(检索质量,表5)**:在Intent Match指标上取得3.17(满分5),相比RAG的1.87、A-Mem的2.97显著提升;噪声率25.8% vs RAG的78.1%。**核心实验六(攻击增强验证,表6)**:对Qwen2.5-7B、Mistral-8B、LlamaGuard、Qwen2.5-72B、GPT-4o五个模型使用SafeHarbor的对抗增强后,检测率普遍下降13%~60%,其中LlamaGuard从90.36%暴跌到29.84%(ASR 67.51%),证明该增强机制确实能生成高质量对抗样本。**核心实验七(前沿模型迁移,表7)**:在GPT-5、Claude-3.5-Sonnet、Qwen3-32B上,SafeHarbor对Qwen3-32B提升最显著(有害拒绝率从40.8%→94.3%,+53.5个百分点;有害分数从42.7%→4.2%),说明SafeHarbor对'低安全对齐度'的模型帮助最大。

Performance comparison on AgentHarm (GPT-4o / Mistral-8B / Qwen2.5-7B)
Table 1: Performance comparison on AgentHarm (GPT-4o / Mistral-8B / Qwen2.5-7B)
Performance comparison on AgentSafetyBench (Refusal-Env / Refusal-Text)
Table 2: Performance comparison on AgentSafetyBench (Refusal-Env / Refusal-Text)
Ablation study results on Qwen2.5-7B
Table 3: Ablation study results on Qwen2.5-7B
Resource Efficiency and Latency Comparison
Table 4: Resource Efficiency and Latency Comparison
Retrieval performance and efficiency comparison
Table 5: Retrieval performance and efficiency comparison
Defense effectiveness before and after attack enhancement
Table 6: Defense effectiveness before and after attack enhancement
Evaluation of SafeHarbor on frontier models
Table 7: Evaluation of SafeHarbor on frontier models
Key Notations and Definitions
Table 8: Key Notations and Definitions
Evaluation of memory scaling and online adaptation on Qwen2.5-7B
Table 9: Evaluation of memory scaling and online adaptation on Qwen2.5-7B
Impact of SafeHarbor rules across different judge backbones
Table 10: Impact of SafeHarbor rules across different judge backbones
查看结构化数据
任务指标本文基线提升
AgentHarm有害请求防御(GPT-4o) Harmful Refusal (%) ↑ / Harmful Score (%) ↓ / Benign Score (%) ↑ / Benign Refusal (%) ↓ 93.2 / 6.3 / 63.6 / 25.0 LlamaGuard 95.5/3.1/52.4/29.0;A-Mem 86.9/11.1/61.3/9.1(注:A-Mem Benign Refusal低但Harmful Refusal也低) Benign Score相对LlamaGuard提升+11.2个百分点;Benign Refusal相对GuardAgent(50.0%)降低25个百分点
AgentHarm有害请求防御(Mistral-8B) Harmful Refusal (%) ↑ / Harmful Score (%) ↓ / Benign Score (%) ↑ 86.9 / 6.6 / 53.0 LlamaGuard 96.6/2.4/52.3;AgentAlign 82.4/9.5/55.3 在保证90%以上有害拦截率的方法中,Benign Score最高(LlamaGuard 52.3 vs SafeHarbor 53.0)
AgentHarm有害请求防御(Qwen2.5-7B) Harmful Refusal (%) ↑ / Benign Refusal (%) ↓ 89.2 / 9.1 LlamaGuard 96.0/22.7;AgentAlign 90.3/11.9 Benign Refusal相对LlamaGuard降低13.6个百分点(-60%)
AgentSafetyBench环境交互防御(GPT-4o) Refusal-Env (%) ↑ / Refusal-Text (%) ↑ 62.05 / 89.78 基线无防御42.63/82.00;RAG 45.31/83.45;A-Mem 47.35/82.24;LlamaGuard 42.79/77.37 Refusal-Env相对RAG+16.7pp、相对A-Mem+14.7pp;Refusal-Text相对LlamaGuard+12.4pp
AgentSafetyBench(Qwen2.5-7B+Qwen2.5-72B verifier) Refusal-Env (%) ↑ / Refusal-Text (%) ↑ 41.69 / 83.94 基线19.89/54.01;LlamaGuard 28.63/68.37 Refusal-Env相对LlamaGuard+13.1pp、相对基线+21.8pp
推理延迟对比 平均端到端延迟 (ms) ↓ 306.67 GuardAgent 6433.09;Rule Traverse 3023.97;AgentAlign 1728.20;LlamaGuard 379.30 相对GuardAgent提速约20倍,相对AgentAlign提速约5.6倍
VRAM占用 显存 (GB) ↓ 14 LlamaGuard 30;GuardAgent/Rule Traverse 14(但延迟大) 相对LlamaGuard减少53% VRAM(无需外挂8B分类器)
检索质量(Top-3) Intent Match ↑ / Noise Ratio (%) ↓ / Latency (ms) 3.17 / 25.8 / 40.10 RAG 1.87/78.1/11.77;A-Mem 2.97/43.5/31.70 IM相对RAG+1.30、相对A-Mem+0.20;噪声率从78%降至25.8%
前沿模型迁移(Qwen3-32B) Harmful Refusal (%) ↑ / Harmful Score (%) ↓ 94.3 / 4.2 无防御40.8 / 42.7 有害拒绝率+53.5pp,有害分数-38.5pp(提升最显著)

局限与改进

作者明确承认的局限:**(1) 离线规则生成的计算开销**:阶段I和II需要Qwen2.5-72B作为Attack Generator和Rule Generator执行大量合成与合并操作,且使用了'category-level locking'等机制保证并行安全,整体冷启动成本不低;同时这种离线结构对新出现的0-day攻击模式需要重新跑自演化流程。**(2) 对上下文语义深度判定的依赖**:SafeHarbor的精度极大程度上依赖LLM Judgment模块的语义理解能力,消融实验显示去掉该模块后Harmful Refusal从89.2%掉到67.6%,说明在没有强基座的情况下(例如某些微调过度的模型),框架效果会显著下降;附录F的Judge Model Sensitivity表也证实,专用安全模型Llama-Guard上SafeHarbor的提升有限(Overall Acc 87.3→87.7)。**(3) 阈值敏感性**:Fast Path的门控阈值($\tau_{benign}=0.65$、$\tau_{harmful}=0.2$)需要根据场景调优;附录D显示在'高安全需求'场景下,作者宁可牺牲Fast Path加速(~23%~25%流量)也要把有害漏过率压到0.5%以下,说明零容忍场景下仍存在效率损失。**我的独立观察**:(1) 论文在数据上'训练集'用AgentAlign 4,956个有害样本,但AgentHarm的440个测试轨迹与AgentAlign存在一定领域重合(都是agent misuse类),可能导致记忆检索时存在隐式数据泄露(虽然论文声称data independence,但未做严格的去重叠消融)。(2) 框架的'LLM Judgment'步骤尽管只对~75%流量触发,但单次调用仍依赖一个7B+模型推理,在边缘设备部署时仍可能成为瓶颈。(3) 论文在评估Qwen3-32B时基线Harmful Refusal仅40.8%,说明SafeHarbor对'本身就缺乏安全对齐'的模型'增益大',但反过来,如果目标模型本身已有强对齐(如GPT-5、Claude-3.5-Sonnet),增益就只有+4~+15pp,意味着SafeHarbor更适合作为'安全对齐不足'模型的补强而非替代。

独立分析的弱点

**(1) 离线阶段对72B生成器的强依赖**:阶段I和II都需要Qwen2.5-72B作为Attack/Rule Generator,对中小团队而言部署成本高;改进方向是探索用Rule Generator和Attack Generator解耦的小模型蒸馏路径,例如用7B SLM做规则合成、用更小模型做对抗增强。**(2) 固定门控阈值的脆弱性**:$\tau_{benign}$、$\tau_{harmful}$目前是经验设定(0.65/0.2),附录D的bypass分析显示阈值降到0.6时漏过率从近0%跳到0.96%;改进方向是引入在线自适应阈值机制,例如基于历史LLM Judgment输出分布的滑动窗口校准,或用元学习预测每个域的最优阈值。**(3) 规则对长上下文多轮对话的处理不足**:论文评估主要是单轮查询,但真实Agent场景中'危险'常常需要累积多轮上下文才能识别(如Goal Decomposition攻击的子步骤散布在不同turn);目前的检索+规则匹配范式可能难以捕捉跨turn的攻击模式。改进方向是引入时序记忆(time-aware)或对话级状态机跟踪。**(4) 评估数据集规模偏小**:AgentHarm 440条、AgentSafetyBench 2000条,相比主流安全benchmark(如AdvBench 50000+)小一个数量级,且没有覆盖所有攻击类型;改进方向是扩展到更大、更多样化的agentic attack benchmark。**(5) Benign Exemption的'质量天花板'**:当前豁免条款完全由LLM从Benign数据库合成,存在幻觉风险;改进方向是引入Verifier-in-the-loop对每条生成的Exemption做一致性校验。

未来方向

**作者明确提出的方向**:(1) 进一步压缩Fast Path流量,将更复杂的查询也路由到轻量推理路径;(2) 把SafeHarbor扩展到多智能体协作场景,处理智能体之间相互调用的级联风险。**基于成果可延伸的方向**:(1) 把层次化记忆树+信息增益的范式推广到多模态Agent安全(图像、音频输入下的间接Prompt注入);(2) 与差分隐私、联邦学习结合,使SafeHarbor的记忆库能在不暴露敏感攻击样本的前提下做跨组织共享;(3) 把Safety Projector的'几何距离'解释性扩展为可视化工具,向终端用户展示'为什么这次查询被判为恶意',增强可解释性;(4) 引入持续学习(continual learning)框架,让SafeHarbor的记忆树在遇到概念漂移(如新型Agent框架)时主动做规则重写而非简单合并;(5) 探索在端侧(手机、IoT设备)部署轻量版SafeHarbor,把MLP投影器量化到int8以适配边缘算力。

复现评估

**开源情况**:源码已公开在 https://github.com/ljj-cyber/SafeHarbor ,ICML 2026接收。**数据依赖**:离线规则生成使用AgentAlign数据集(18,749个样本,其中4,956个有害轨迹、13,793个良性),评估使用AgentHarm(110个基础任务+440个增强行为,11个危害类别)和AgentSafetyBench(2000个测试用例跨349个交互环境,8类安全风险);三个数据集均为公开可下载。**算力需求**:阶段I/II需要本地部署Qwen2.5-72B-Instruct作为生成器、Qwen2.5-7B-Instruct作为投影器编码器、目标基座LLM(GPT-4o / Mistral-8B / Qwen2.5-7B / GPT-5 / Claude-3.5-Sonnet / Qwen3-32B等),显存峰值14GB即可运行完整框架(不需要外挂额外分类器);如果使用GPT-4o等API模型则本地只需14GB。**训练成本**:Safety Projector只是一个2层MLP,训练只需数分钟(论文未明确小时数,但从消融实验规模推测);Attack Generator和Rule Generator的离线规则生成是主要开销,但可以一次性预计算并缓存。**复现难度**:中等。框架涉及LLM Prompt工程、对比学习训练、层次聚类算法、信息熵计算等多模块,但每个模块的实现细节论文附录G都给出了完整prompt模板(Figure 6-13),附录B列出了所有超参($\lambda=0.3$、$\Delta=0.7$、$\tau_{sim}=0.5$、$\tau_{gain}=0.7$、$\tau_{benign}=0.65$、$\tau_{harm}=0.2$),并且开源仓库应该会提供完整pipeline脚本。**潜在障碍**:(1) 不同LLM API的输出分布差异可能让Appendix里调好的超参需要重新搜索;(2) 离线规则生成的非确定性(即使设了greedy decoding)在不同GPU/版本下可能产生略微不同的记忆树,从而影响复现指标的绝对数值。