← 返回 2026-05-12

AgentForesight:多智能体系统早期失败预测的在线审计 AgentForesight: Online Auditing for Early Failure Prediction in Multi-Agent Systems

Boxuan Zhang, Jianing Zhu, Zeru Shi, Dongfang Liu, Ruixiang Tang 📅 2026-05-09 👍 8 2026-07-13 08:36
LLM审计器 在线审计 多智能体系统 失败归因 强化学习

提出在线审计框架,每步对展开中的多智能体轨迹判CONTINUE/ALARM

前置知识

LLM多智能体系统(MAS)

基于大语言模型的智能体通过协调工具调用和消息传递,将复杂任务拆解给多个角色(Planner、WebAgent、Reporter等)协作完成。每个角色在每轮产生一个turn $t_i = (role_i, action_i, content_i)$,所有turn按时间顺序组成轨迹 $\tau = (t_0, t_1, \dots, t_{N-1})$,再由一个二元结果函数 $\Omega:\mathcal{T}\to\{0,1\}$ 判定整条轨迹成功或失败。

本文核心是在多智能体轨迹上做逐步审计,不理解turn级轨迹模型和角色协作就抓不住'前缀'、'决定性错误'等关键概念。

决定性错误(Decisive Error)

本文沿用Who&When、AgenTracer的定义:失败轨迹 $\tau$ 中最早的那一步 $k^*$,其纠错 $t_{k^*}\to\tilde{t}$ 后存在可达成后缀使 $\Omega=1$。形式化即 $k^*=\min\{k:\exists \tilde{t}, \tilde{\tau}, \Omega(\tau_{0:k-1}\oplus\tilde{t}\oplus\tilde{\tau})=1\}$。修正 $k^*$ 是把失败翻转为成功的充要条件。

在线审计要在每步判断'是否已经到了决定性错误步',没有这个定义就无法构造正负样本边界和ALARM时机。

Group Relative Policy Optimization (GRPO)

GRPO是一种不需要critic的策略梯度方法,对同一prompt采样 $G$ 条rollout,用组内归一化的优势 $\hat{A}_j=(R_j-\bar{R})/\sigma_R$ 替代PPO中的value baseline,再结合clip目标 $\min(\rho A, \text{clip}(\rho,1\pm\epsilon)A)$ 和KL正则。文中还使用了低方差k3 KL估计器 $\hat{D}_{KL}(\pi_\theta\|\pi_{ref})$。

AgentForesight第二阶段用GRPO优化三轴奖励,理解组内优势归一化是把握训练动态的关键。

偏好优化(Preference Optimization, DPO族)

DPO类方法直接最大化chosen相对rejected的对数概率差 $\log\sigma(\beta\Delta\theta)$,其中 $\Delta\theta=\log\pi_\theta(v^*|x)/\pi_{ref}(v^*|x)-\log\pi_\theta(v|x)/\pi_{ref}(v|x)$。无需显式奖励模型。本文提出的BPPO是该范式在'边界对'结构上的定制。

BPPO基于DPO思想,但数据被切成BS(前边界)和BE(后边界)两个子集联合优化,是Stage 1能学会'翻面'判定的核心。

风险预期先验(Risk-Anticipation Prior)

指模型在决定性错误发生前的安全前缀上学会'即将出错'的隐性表征。它不是显式概率,而是通过对比'仅差一步'的安全/不安全前缀对 $\tau_{0:k^*-1}$ vs $\tau_{0:k^*}$ 在DPO目标下被压缩进 $\pi_\theta$ 的内部状态。

这是连接Stage 1和Stage 2的概念桥梁——Stage 1建立粗粒度的'安全/不安全边界'判别力,Stage 2在此基础上定位到具体步和角色。

研究动机

基于LLM的多智能体系统(Planner/WebAgent/Reporter等)已经能完成软件开发、网页导航、科学发现等长程任务,但其结构性风险同样突出:每一步都以前文输出为条件,任意一处工具调用错配或中间推理失误,都会被下游智能体无差别接受并级联放大成整条轨迹失败。既有工作(Who&When、AgenTracer、AgentDebug)把失败分析框架成事后归因——必须等 $\Omega(\tau)=0$ 之后,再用完整轨迹诊断是哪一步、哪个agent犯了错。问题在于这种'full hindsight + single-shot'设置在部署时已经毫无干预窗口:诊断出来之前,下游agent已经消耗了更多token、调用了更多API、可能触发了不可逆的副作用。从Table 1看,哪怕是参数量最大的DeepSeek-V4-Pro在AFTRAJ-2K上Exact-F1也只有46.56,且false alarm rate高达43.2%,远未达到部署可用水平,根本原因正是缺乏前缀级训练信号和逐步决策机制。

本文的目标是本文的具体目标是把失败分析从'完成后再归因'重塑为'展开中逐步审计':每一步 $k$ 上,审计器只观察前缀 $\tau_{0:k}$,无未来信息、无 $\Omega(\tau)$,输出 $\hat{y}_k\in\{\text{CONTINUE}\}\cup\{\text{ALARM}\}\times\{0,\dots,k\}\times\mathcal{N}$——继续执行或在最早决定性错误步告警并指明责任agent。围绕该形式化目标,论文同时给出两个支撑件:(1)数据集AFTRAJ-2K(约2.3K高质量轨迹,覆盖Coding/Math/Agentic三域,匹配安全前缀和带 $(k^*,a^*)$ 标签的失败轨迹);(2)紧凑在线审计器AgentForesight-7B(基于Qwen2.5-7B-Instruct,用粗到细RL流程训练)。最终在Exact-F1、ASS两个指标上同时显著超越GPT-4.1、DeepSeek-V4-Pro等专有判官,且false alarm rate压到2.4%,进入'FAR≤20%且Step-Acc≥50%'的部署可行区。

与已有工作不同的是,本文的独特切入角度是问题形式化与训练信号设计的双重重新定义。形式化层面,把post-hoc的 $\hat{y}_{post}=f_{post}(\tau)$ 重写为per-step的 $\hat{y}_k=f_{online}(\tau_{0:k})$,并指出直接套用 $f_{post}$ 不合法(因 $f_{post}$ 训练时假设 $\Omega(\tau)=0$ 已知,违反前缀约束)。数据层面,AFTRAJ-2K补齐了三个公开语料都没覆盖的轴:每步 $(k^*,a^*)$ 标签(Who&When只有失败)、前缀级安全监督(ATBench只有轨迹级标签)、异构多智能体框架(AutoGen/MetaGPT/Smolagents)覆盖。训练层面,提出'粗到细'两阶段:Stage 1 BPPO在仅差一步的 (pre, post) 边界对上让模型学会在 $k^*$ 处翻转判定(从CONTINUE翻为ALARM),建立'风险预期先验';Stage 2 GRPO再以三轴奖励(what/where/who)把粗粒度边界锐化成精准的步级和角色级定位。这一组合和现有方法有本质区别:Who&When/AgenTracer只做post-hoc,AgentDebug依赖完整轨迹,ATBench只针对安全任务,perplexity/ToT/Reflexion基线缺乏显式边界对齐信号。

核心方法

AgentForesight的整体思路是'数据-模型-训练信号'三位一体的设计,直觉是'既然审计器要在每一步做二元决定(继续/告警)并定位到具体步和角色,就需要一个能在单步差异上学会翻转判定的模型'。技术上分两条线并行构建:数据线通过AFTRAJ-2K构造流水线,把多智能体在MATH-500/HumanEval+/MBPP+/GAIA/HotpotQA上的rollout按 $\Omega(\tau)$ 切成 $\mathcal{D}_{succ}$ 和 $\mathcal{D}_{fail}$,前者经三阶段过滤(outcome/integrity/coherence)得到 $\mathcal{D}_{safe}$ 作为每前缀都安全的正样本,后者再分两路:构造性流对 $\mathcal{D}_{safe}$ 做受控决定性错误注入(turn-rewriting或live-replay)产生 $\mathcal{D}^{inj}_{fail}$,诊断性流对 $\mathcal{D}_{fail}$ 用多judge propose-and-verify投票挖掘天然失败的决定性步产生 $\mathcal{D}^{nat}_{fail}$,两者合为 $\mathcal{D}_{unsafe}$。模型训练线在Qwen2.5-7B-Instruct上跑粗到细两阶段:Stage 1 BPPO在(前边界 $\tau_{0:k^*-1}$、后边界 $\tau_{0:k^*}$)配对提示上做DPO类对比学习,让模型在仅差一步的位置上学会翻面判定,得到边界对齐检查点 $\pi_{\theta_1}$;Stage 2 GRPO以 $\pi_{\theta_1}$ 为参考策略,用结构/时序/因果三轴奖励(what/where/who)做策略梯度优化,把粗粒度边界锐化为精准的步级和角色级定位。

本文的核心创新是把'风险预期'和'精准定位'解耦为两个监督阶段,区别于已有方法的'端到端'/'后验归因'思路。已有方法要么假设 $\Omega(\tau)=0$ 已知(post-hoc),要么用统一RL信号同时学判别和定位(单阶段GRPO,作者实测会塌缩为'全SAFE')。本文的关键观察是:单步差异已经携带决定性信息——把 $\tau_{0:k^*-1}$(期望CONTINUE)和 $\tau_{0:k^*}$(期望ALARM@$k^*$, $a^*$)配对,让DPO类目标 $\mathcal{L}_{BPPO}=-\sum_{c\in\{BS,BE\}}\mathbb{E}\log\sigma(\beta\Delta_\theta(x,v^*,v))$ 在两个子集上联合最小化,就能强迫 $\pi_\theta$ 在 $t_{k^*}$ 处翻转判定,从而把'安全-不安全'边界对齐到模型内部表征。Stage 2再以三轴奖励 $R(\hat{y},y^*)=G(\hat{y})\cdot R_{content}(\hat{y},y^*)-\eta_G(1-G(\hat{y}))$ 做局部锐化,其中 $R_{content}$ 对正确ALARM前缀返回 $w_s r_{step}+w_a r_{agent}$(高斯步定位 $r_{step}=\exp(-(\hat{k}-k^*)^2/2\sigma_{step}^2)$ 加角色匹配分),对正确SAFE返回+1,对跨类错误返回-1,类对称的$\pm1$设计避免类别偏置漂移。和AgentDebug/post-hoc基线相比,本质区别是约束空间不同:它们看到的是'全轨迹+标签',本文看到的是'逐步前缀+逐步决策';和ATBench/Reflexion相比,本质区别是数据分布和训练目标不同:它们没有决定性错误标签,本文有显式 $(k^*,a^*)$ 监督和边界对结构。

方法步骤详情

完整流程包含数据构造和模型训练两条主线。数据构造主线:(1)轨迹收集——在AutoGen/MetaGPT/Smolagents三种框架上跑MATH-500/HumanEval+/MBPP+/GAIA/HotpotQA五种任务,得到按 $\Omega$ 切分的 $\mathcal{D}_{succ}$ 和 $\mathcal{D}_{fail}$。(2)安全轨迹过滤——三阶段二元谓词 $\phi_{outcome}$(严格结果等价)、$\phi_{integrity}$(无无效工具调用)、$\phi_{coherence}$(LLM-judge检查每turn子目标对齐)同时为1才进 $\mathcal{D}_{safe}$,否则剔除,避免下游agent偶然恢复掩盖中间错误。(3)失败轨迹构造——构造性流从 $\mathcal{D}_{safe}$ 采样 $k_{inj}$ 和故障类别 $c\in\mathcal{C}$,按 $\pi_{fault}(\cdot|\tau_{0:k_{inj}-1},c)$ 生成错误turn $\tilde{t}_{k_{inj}}$,重roll得 $\tilde{\tau}$,过滤掉 $\Omega(\tilde{\tau})=1$ 和未真实修改的样本,进 $\mathcal{D}^{inj}_{fail}$;诊断性流用P个proposer对 $\tau\in\mathcal{D}_{fail}$ 提候选步,再用V个verifier沿 $s_{exists}/s_{substantive}/s_{decisive}/s_{earliest}$ 四准则做支持计数 $\sum_j\prod_r s_r^{(j)}\geq\lfloor V/2\rfloor+1$,取最高支持候选进 $\mathcal{D}^{nat}_{fail}$。(4)合并为AFTRAJ-2K($\sim$2.3K轨迹,$D_{safe}\cup D_{unsafe}$)。模型训练主线:(5)Stage 1 BPPO——对每条 $(\tau,k^*,a^*)\in\mathcal{D}_{unsafe}$ 构造两个边界提示:$x_{BS}=\tau_{0:k^*-1}$ 期望CONTINUE,$x_{BE}=\tau_{0:k^*}$ 期望ALARM@$k^*,a^*$;rollout采样解析verdict后形成 $\mathcal{D}_{BS}\cup\mathcal{D}_{BE}$,用 $\mathcal{L}_{BPPO}=-\sum_c\mathbb{E}\log\sigma(\beta\Delta_\theta)$ 联合优化,超参 $\beta=0.1$、学习率 $5\times 10^{-7}$、3 epoch,得到 $\pi_{\theta_1}$。(6)Stage 2 GRPO——rollout产出结构化verdict ...$\hat{y}$,按三轴打分:结构轴 $G(\hat{y})$ 校验schema/JSON/grounding;时序轴 $r_{step}=\exp(-(\hat{k}-k^*)^2/2\sigma_{step}^2)$;因果轴 $r_{agent}$ 精确匹配得1、不匹配部分给分;组成 $R(\hat{y},y^*)=G\cdot R_{content}-\eta_G(1-G)$,其中 $R_{content}$ 对正确ALARM返回 $w_s r_{step}+w_a r_{agent}$(权重和为1)、正确SAFE返回+1、跨类错误返回-1;用GRPO目标 $\mathcal{L}_{GRPO}=-\mathbb{E}[\min(\rho A,\text{clip}(\rho,1\pm\epsilon)A)]+\beta_{KL}\hat{D}_{KL}(\pi_\theta\|\pi_{\theta_1})$ 优化,参考策略锚定 $\pi_{\theta_1}$,组大小 $G=8$、$\beta_{KL}=10^{-3}$、学习率 $10^{-6}$,用低方差k3 KL估计器减少长轨迹rollout梯度噪声,最终得到AgentForesight-7B。推理时对每前缀 $\tau_{0:k}$ 用greedy decoding跑一次,得到CONTINUE/ALARM@$\hat{k}$、$\hat{a}$。

技术新颖性

技术新颖性主要体现在四个层面。第一,问题形式化的重塑——把 $\hat{y}_{post}=f_{post}(\tau)$ 重写为per-step $\hat{y}_k=f_{online}(\tau_{0:k})$,并证明直接套用 $f_{post}$ 在前缀约束下不合法(因为 $f_{post}$ 训练时假设 $\Omega(\tau)=0$),这是论文形式化上的根本贡献。第二,BPPO的边界对设计——把'安全-不安全'判别压缩为'仅差一步'的DPO对,并在BS/BE两个子集上联合优化,是把'风险预期'注入模型内部表征的新方法,作者在Figure 3的ablation中证明Stage 1单独即可把Exact-F1从21.1拉到35.6。第三,三轴奖励与类对称设计——把what(G)、where($r_{step}$高斯)、who($r_{agent}$)三轴耦合成 $\pm 1$ 对称奖励,既保证对正确ALARM/SAFE都给正梯度,又通过 $-\eta_G(1-G)$ 在训练早期保留对格式违反的梯度信号,避免单阶段RL的'全SAFE塌缩'。第四,AFTRAJ-2K的两路失败构造——构造性流(受控注入)+诊断性流(multi-judge propose-and-verify投票)互补覆盖,避免单流偏置。这四点合起来产生一个经验上非常强的现象:仅7B参数的AgentForesight-7B在AFTRAJ-2K上Exact-F1=66.44(比DeepSeek-V4-Pro高19.88),在Who&When上Step-Acc=57.69(比GPT-4.1高19.59),且FAR仅2.4%,唯一进入部署可行区的审计器。

Overview of AgentForesight: (a) AFTRAJ-2K construction pipeline (b) Coarse-to-fine training recipe
Figure 2: Overview of AgentForesight: (a) AFTRAJ-2K construction pipeline (b) Coarse-to-fine training recipe

实验结果

核心发现按实验展开共四项。第一,AFTRAJ-2K主结果(Table 1)显示AgentForesight-7B全面领先:总体Exact-F1=66.44、ASS=0.59,对比DeepSeek-V4-Pro(46.56/1.77)、GPT-4.1(27.43/2.67)、Gemini-3-Flash(29.74/2.19),分域上Math Exact-F1=77.36(vs 50.34)、Coding=78.87(vs 49.32)、Agentic=48.70(vs 41.77),每域均最佳。同基线Qwen2.5-7B-Instruct从21.05跃升到66.44(3.16×),说明提升完全来自粗到细配方而非backbone缩放;后验基线AgentDebug-7B仅9.63,进一步印证前缀约束在线审计的必要性。第二,跨域迁移(表2)显示在外部Who&When上AgentForesight-7B仍领先:Step-Acc=57.69(>GPT-4.1的38.10 19.59点)、Agent-Acc=73.08(>GPT-4.1的66.67 6.41点)、ASS=1.62(优于DeepSeek-V4-Flash的2.35),证明信号不依赖AFTRAJ-2K特定框架。第三,消融(Figure 3)显示Stage 1单独把Exact-F1从21.1抬到35.6、Stage 2单独到50.4,两者组合到66.4;Agentic域尤为依赖Stage 1(Stage 2单独仅19.0,Stage 1单独31.6,组合48.7),说明'风险预期先验'对边界模糊的开放域尤为关键。第四,部署权衡(Figure 4)将FAR(对 $\mathcal{D}_{safe}$ 错告率)对Step-Acc(对 $\mathcal{D}_{unsafe}$ 命中准确率)作图,定义部署可行区为FAR≤20%且Step-Acc≥50%——10个审计器中只有AgentForesight-7B(FAR=2.4%, Step-Acc=59.5%)落入可行区,最强专有基线DeepSeek-V4-Pro(FAR=43.2%, Step-Acc=54.0%)刚好落外,3-4B开源模型基本塌缩为'全告警'。案例研究(Figure 5)进一步展示:AgentForesight-7B能精确定位Step 5处search_agent的错误,而DeepSeek-V4-Pro给出SAFE误判、Gemini-3-Flash错位到Step 2。

Online auditing evaluation on the AFTRAJ-2K
Table 1: Online auditing evaluation on the AFTRAJ-2K
Online auditing evaluation on the Who&When benchmark
Table 2: Online auditing evaluation on the Who&When benchmark
Ablation of the two-stage coarse-to-fine recipe on AFTRAJ-2K
Figure 3: Ablation of the two-stage coarse-to-fine recipe on AFTRAJ-2K
Deployment trade-off across all auditors on AFTRAJ-2K with False Alarm Rate↓(D_safe) vs. Step Accuracy↑(D_unsafe) and a shaded deployable region
Figure 4: Deployment trade-off across all auditors on AFTRAJ-2K with False Alarm Rate↓(D_safe) vs. Step Accuracy↑(D_unsafe) and a shaded deployable region
Case study of online auditing, comparing predictions from DeepSeek-V4-Pro, Gemini-3-Flash, and AgentForesight-7B
Figure 5: Case study of online auditing, comparing predictions from DeepSeek-V4-Pro, Gemini-3-Flash, and AgentForesight-7B
查看结构化数据
任务指标本文基线提升
AFTRAJ-2K总体在线审计 Exact-F1↑ 66.44 DeepSeek-V4-Pro: 46.56 +19.88(相对+42.7%)
AFTRAJ-2K总体在线审计 ASS↓(绝对步偏移) 0.59 DeepSeek-V4-Pro: 1.77 3×降低
AFTRAJ-2K Math域在线审计 Exact-F1↑ 77.36 DeepSeek-V4-Pro: 50.34 +27.02
AFTRAJ-2K Coding域在线审计 Exact-F1↑ 78.87 DeepSeek-V4-Pro: 49.32 +29.55
AFTRAJ-2K Agentic域在线审计 Exact-F1↑ 48.70 DeepSeek-V4-Pro: 41.77 +6.93
AFTRAJ-2K Qwen2.5-7B基线提升 Exact-F1↑ 66.44 Qwen2.5-7B-Instruct: 21.05 +45.39(3.16×)
Who&When外部基准 Step-Acc↑ 57.69 GPT-4.1: 38.10 +19.59
Who&When外部基准 Agent-Acc↑ 73.08 GPT-4.1: 66.67 +6.41
Who&When外部基准 ASS↓ 1.62 DeepSeek-V4-Flash: 2.35 -0.73
部署可行区(Figure 4) FAR↓ / Step-Acc↑ FAR=2.4% / Step-Acc=59.5%(唯一进入FAR≤20%&Step-Acc≥50%区) DeepSeek-V4-Pro: FAR=43.2% / Step-Acc=54.0%(区外) FAR降低40.8个百分点且Step-Acc提升5.5个百分点

局限与改进

作者明确指出的局限有三点。第一,审计器只在3种多智能体框架(AutoGen/MetaGPT/Smolagents)和5种任务(MATH-500/HumanEval+/MBPP+/GAIA/HotpotQA)上评估,更长程的开放域(比如真实部署的客服/运维)尚未验证。第二,AFTRAJ-2K约2.3K轨迹规模相对现代LLM训练语料偏小,可能限制向未见分布的迁移能力。第三,干预机制是概念性的——论文只演示了ALARM的发出与定位,没有展示ALARM之后如何把控制权交还给人类或上游agent、如何重roll或重试。基线AgentDebug-7B在Table 1的ASS标为undefined(它检测出0个unsafe轨迹,无样本可平均),本质上揭示了post-hoc方法在前缀约束下的根本失效。读者还应注意:诊断性流依赖LLM-as-judge共识,judge本身的能力天花板会传导到AFTRAJ-2K标签质量;GRPO参考策略锚定 $\pi_{\theta_1}$ 的设计虽然防止漂移,但也意味着Stage 1的错误会向下游传递;7B小模型在Agentic域仍有较大提升空间(48.70 vs Math 77.36),说明开放域定位仍是开放问题。

独立分析的弱点

独立分析的弱点集中在四个具体场景。其一,AFTRAJ-2K仅约2.3K轨迹,相对训练7B+参数的RL审计器属于小样本,构造性流通过故障注入增广虽能扩大数据量但可能引入分布偏置(注入错误≠真实错误),改进方向是用更多真实失败轨迹补充诊断性流或采用主动学习让人标注高价值样本。其二,审计器只消费content层面的turn文本,看不到agent的内部状态(隐藏prompt、chain-of-thought、tool arguments完整schema),对'隐性错误'(如静默篡改前提)天然不敏感,改进方向是接入agent执行的中间trace(类似OpenTelemetry)或对agent本身做probe。其三,Stage 1 BPPO用DPO类对比学习但chosen/rejected来自rollout而非人工标注,可能在边界附近产生低质量对(比如两个rollout都正确但verdict不同),改进方向是引入裁判LLM对rollout二次过滤或换成KTO/IPO类对噪声更鲁棒的偏好目标。其四,推理时对每前缀跑一次LLM,多步轨迹累积开销显著(假设20步轨迹即20次7B前向),改进方向是设计触发式检查(只在边际不确定性高时调用)或训练更小(<1B)蒸馏版审计器部署在边缘。

未来方向

作者在Conclusion中指出框架开启'从后验诊断到运行时干预'的闭环,相应未来方向有三。第一,把ALARM直接接到重roll/重试/降级策略上,构成完整的运行时安全栈——例如ALARM@$k^*$时回滚到 $\tau_{0:k^*-1}$ 重新规划或切到人类审批流程,论文中已铺垫但未实验。第二,扩展到多模态agent(带视觉/音频输入)和更长程任务(>50步),需要重新设计三轴奖励的时序项 $r_{step}$ 容忍更大的步偏移。第三,借鉴作者提出的部署可行区思想,把FAR-Step-Acc曲线推广为统一的审计器benchmark指标,建立社区可复现的对比协议。基于成果可延伸的方向:把粗到细范式移植到其他'逐步决策'任务(如机器人控制中的早期异常检测、对话系统中的安全越界拦截);把AFTRAJ-2K的'构造+诊断'流水线推广到任意需要带定位标签的安全数据集构造;探索7B审计器+更小student的蒸馏,让在线审计能在大规模部署中跑得起。

复现评估

复现评估在数据、算力、代码三个维度需注意。数据方面,论文给出AFTRAJ-2K的完整构造流水线(图2a)和三阶段过滤公式 $\mathcal{D}_{safe}=\{\tau\in\mathcal{D}_{succ}:\forall j\in\mathcal{F},\phi_j(\tau)=1\}$,以及四准则multi-judge共识 $\sum_j\prod_r s_r^{(j)}\geq\lfloor V/2\rfloor+1$ 的判定标准,附录B.3还承诺了源级细节,但论文正文未明确AFTRAJ-2K是否公开下载——复现需联系作者或自行重跑构造。算力方面,Stage 1 BPPO用verl[46]框架在2×NVIDIA H200上训练(学习率 $5\times 10^{-7}$、3 epoch、$\beta=0.1$),Stage 2 GRPO用vLLM加速rollout(组大小 $G=8$、$\beta_{KL}=10^{-3}$、学习率 $10^{-6}$、2×H200),评估用greedy decoding对每前缀跑全轨迹,相对其他RL论文门槛适中但仍需多卡H200。代码方面,verl和vLLM均开源,但论文未给出完整训练脚本仓库链接(附录A承诺提供伪代码),需要复现者自行整合。基础模型Qwen2.5-7B-Instruct已公开。整体复现难度中高:算法原理清晰,但缺少一站式代码库+数据公开是主要障碍。