← 返回 2026-05-13

基于失败轨迹的在线策略自进化:智能体安全对齐方法 On-Policy Self-Evolution via Failure Trajectories for Agentic Safety Alignment

Bo Yin, Qi Li, Xinchao Wang 📅 2026-05-12 👍 16 2026-07-13 08:36
在线策略学习 多目标优化 智能体安全 自进化 轨迹级对齐

用智能体自身失败轨迹训练自身安全行为

前置知识

工具调用智能体(Tool-using LLM Agent)

指能够调用外部工具(如搜索、代码执行、文件操作等)的 LLM 系统,与传统聊天机器人不同,它通过"观察→思考→工具调用→环境反馈"的多步轨迹完成任务,每一步都可能改变外部状态,因此其安全性必须基于整个轨迹而非最终回复来判断。

本文核心论点建立在'智能体失败是轨迹级的'这一前提上,必须理解工具调用轨迹的结构才能把握论文动机。

SFT(监督微调)

Supervised Fine-Tuning 的缩写,指在带标签数据上以最大似然为目标微调预训练模型,是把监督信号注入 LLM 最直接的方式,本文用 SFT 作为把 Pareto 筛选出的修复轨迹'内化'到策略中的第一步。

FATE 的两阶段训练(先 SFT warmup 再 PFPO)需要理解 SFT 的目标函数形式 $\mathcal{L}_{SFT}(\theta) = -\mathbb{E}_{(p_f, a^*)\sim R_t} \log \pi_\theta(a^*|p_f)$ 才能明白为何要分两步。

PPO/GRPO 类近端策略优化

一类带裁剪(clipping)和 KL 散度约束的策略梯度方法,目标形如 $\mathcal{L} = -\mathbb{E}[\min(\rho_i A_i, \text{clip}(\rho_i, 1-\epsilon, 1+\epsilon)A_i) - \beta KL]$,其中 $\rho_i = \pi_\theta/\pi_{\theta_{old}}$ 是新旧策略概率比,$A_i$ 是优势估计。本文提出的 PFPO 是把这种相对优势推广到 Pareto 多目标版本。

理解 PPO 的 clipped surrogate objective 是看懂 PFPO 公式 (17) 的前提,特别是为什么 sequence-level 优势可以用 KL 惩罚稳定训练。

Pareto 前沿(Pareto Front)

多目标优化中,不被其他解在所有目标上同时不差且至少一个目标更优的解构成的集合。在 $m$ 维目标空间 $\mathbb{R}^m$ 上,Pareto 前沿是这些非支配解形成的曲面/折线。

FATE 的核心思想是把单标量安全奖励拆成四维权衡,再用 Pareto 前沿从同策略修复候选中挑选非退化修复,必须理解非支配关系才能读懂公式 (9)-(11)。

在线策略(On-Policy)学习

指训练数据由当前策略 $\pi_{\theta_t}$ 自身采样产生、并立即用于更新该策略的学习范式,与之相对的离线策略(off-policy)则用历史或其他来源的数据训练。本文反复强调 FATE 是 on-policy:失败、修复提议、筛选都由同一 $\pi_{\theta_t}$ 完成。

理解 on-policy 与 off-policy 的差异是把握 FATE 与传统 RLHF/DPO 区别的前提——后者依赖固定数据集或外部分类器,无法随策略演化而调整监督分布。

提示注入(Prompt Injection)与过度拒绝(Over-refusal)

提示注入指攻击者在外部数据(如检索结果、邮件正文)中嵌入指令劫持智能体行为;过度拒绝指智能体为求安全而对良性任务也一律拒绝,损害可用性。两者都是 AgentDojo 等基准的核心失败模式。

FATE 显式把 z_sec 和 z_or 作为两个独立目标处理,正是因为传统标量奖励会同时忽略这两个维度,导致模型只会'全能拒绝'。

研究动机

现有 LLM 安全对齐主要在'回复级'或'离线策略'层面运作,对使用工具的智能体来说远远不够。论文明确指出三方面缺陷:第一,响应级监督(如 RLHF、DPO 的人工偏好)只能评判最终一条回复,而工具调用智能体的失败发生在整条轨迹上——它可能在回复无害的同时已经执行了危险工具调用、泄露了敏感数据、遵循了注入指令或未完成用户的合法任务;第二,把'安全'坍缩成单个标量奖励会触发安全–效用权衡(safety–utility trade-off),模型为求安全而广泛拒绝良性任务(over-refusal),论文用 Qwen3-8B 在 AgentHarm 上的基线 HCR=0.719、TSR 在 AgentDojo 上仅 0.132 来量化这种'表面安全实则无能'的状态;第三,推理时防御(guard 模型、运行时过滤器、PI Detector 等)属于外加的、被动的、反应式的方案——它能过滤不安全动作但不会改变底层策略本身,因此无法把安全行为内化到模型中。论文还观察到,行为克隆失败轨迹会模仿不安全动作,而单一标量安全奖励又会复制'拒绝一切'的退化行为,所以直接把失败数据当作监督目标是行不通的。

本文的目标是论文提出 FATE(FAilure-Trajectory Evolution),目标是构建一个'在线策略、自进化'的框架,把智能体自身的失败轨迹直接转化为可训练的修复监督信号,并在多目标(安全、效用、过度拒绝、轨迹控制)联合约束下内化到策略中。具体而言,论文要在不依赖专家修复示范的前提下:(1) 让当前策略 $\pi_{\theta_t}$ 自动产出针对自身失败的多条修复候选;(2) 用同一套验证器对修复候选重新打分并按 Pareto 前沿筛选;(3) 通过 SFT 把这些筛选后的修复轨迹内化(投影式监督),再用 Pareto-Front Policy Optimization(PFPO)做相对偏好优化;(4) 多轮迭代让监督分布随策略演化而刷新,从而在 AgentDojo、AgentHarm、ATBench 三大基准上一致地降低攻击成功率、提升受攻击下的任务成功率,并把这种轨迹级安全能力外推到未见过的诊断任务上。

与已有工作不同的是,论文的独特切入角度是把'失败'从'要被丢弃/过滤的副产物'重新定义为'可结构化的原材料',并用四个互补的机制实现这一转化:(a) 同策略修复(same-policy repair proposal)——让制造失败的同一个 $\pi_{\theta_t}$ 提修复候选,保证修复紧贴自身失败分布;(b) 验证器再评分(verifier re-scoring)——分离'生成'与'标签构造',避免自证偏差;(c) Pareto 前沿选择(feasibility filtering + Pareto-front projection + front-only tie-breaking)——拒绝用单一标量排名,从而打破'安全 ↔ 拒绝'的退化权衡;(d) 多轮自进化——监督分布 $q_t^\star$ 不是固定的,而是与 $\pi_{\theta_t}$ 耦合,每轮 $q_{t+1}^\star \neq q_t^\star$,能持续挖出新的失败模式。这四点共同构成了与传统 RLHF/DPO、行为克隆、推理时防御的本质区别,是论文最具新颖性的'切入角度'。

核心方法

FATE 的整体直觉是:与其去模仿专家或外加 guard 模型,不如让智能体'自己给自己当老师'。具体做法是把每轮训练划分为四个阶段——失败采集(failure collection)、同策略修复提议(policy-conditional repair proposal)、Pareto 前沿监督构造(verifier-filtered Pareto supervision)、策略精炼(SFT + PFPO)。每一轮起始于当前策略 $\pi_{\theta_t}$ 在开发集 $B_{dev}$ 上的 rollout,对每条被验证器判定违反至少一条目标(z_sec、z_util、z_or、z_ctrl)的失败轨迹 $f=(x, a, z(x,a))$,让同一个 $\pi_{\theta_t}$ 在提示 $p_f=\text{Prompt}(x, a, z(x,a))$ 上生成 $K$ 条修复候选 $a'_k$,再用验证器重新打分得到四维权衡分数 $z(x, a'_k)$;接着做三层过滤——可行性过滤排除'拒绝一切/无效轨迹'等退化候选、Pareto 前沿投影保留非支配解、Pareto-前沿内的 tie-breaking 用一个同时考虑总质量和最大短板的加权分 $r_{PF}$ 选出平衡的修复目标 $a^\star$;最后用 $(p_f, a^\star)$ 对做 SFT 暖启动(loss 仅在修复轨迹上计算,提示 token 被 mask 掉),再用 PFPO 在新采样的 $G$ 条 completion 上以 $r_{PF}$ 作为组相对优势做裁剪优化。整个流水线按 round 迭代,每轮结束后 $\pi_{\theta_t} \to \pi_{\theta_{t+1}}$,新的失败分布又驱动新的 $q_{t+1}^\star$,形成自我更新的闭环。

FATE 的核心创新是把'失败到监督'的转化过程形式化为'从策略条件提议分布 $q_t$ 到验证器筛选监督分布 $q_t^\star$ 的约束投影',并由此推导出三处与现有方法本质不同的设计:第一,'同策略'而非外部教师——修复候选由制造失败的同一 $\pi_{\theta_t}$ 在 $p_f$ 条件下采样(公式 4-5),保证修复紧贴自身失败分布而无需任何专家示范,这点和 Reflexion 仅在推理时做 verbal reflection 不更新策略、行为克隆会模仿不安全动作形成尖锐对比;第二,'多目标 Pareto'而非标量奖励——目标向量 $z=(z_{sec}, z_{util}, z_{or}, z_{ctrl})$ 显式包含过度拒绝和轨迹控制两个易被忽略的维度,并用可行性阈值 $\kappa_\tau$(公式 8-9)剔除'全能拒绝'类退化候选,再用 Pareto 前沿投影 + front-only tie-breaking(公式 10-11)做约束选择,从根本上避免单一标量奖励诱导的安全-效用权衡;第三,'两阶段投影 + 相对优势'的优化目标——SFT 阶段(公式 13-14)把策略投影到 $q_t^\star$ 上以稳定内化修复模式,PFPO 阶段(公式 15-18)则在 $G$ 条同提示新采样上用 $r_{PF}$ 作为组相对优势 $APF_i$ 做带裁剪和 KL 惩罚的近端优化,使'安全但拒绝一切'或'完成但危险'的 completion 都获得低优势,从根本上打破退化均衡。这三者的耦合就是 FATE 与 RLHF/DPO、行为克隆、推理时 guard 的本质区别。

方法步骤详情

FATE 的完整步骤可总结为五步。**Step 1 失败采集**:把当前策略 $\pi_{\theta_t}$ 在开发集 $B_{dev}$ 上 rollout,得到失败集 $F_t=\{f_i=(x_i, a_i, z(x_i,a_i)) : a_i \sim \pi_{\theta_t}(\cdot|x_i), z(x_i,a_i)\text{ 违反至少一条目标}\}$,其中四维权衡向量 $z(x,a)=(z_{sec}, z_{util}, z_{or}, z_{ctrl})$ 分别来自环境状态/基准成功谓词(可执行任务)或规则/诊断标签(不可执行任务)。**Step 2 修复提示构造与同策略提议**:对每个 $f$ 构造 $p_f=\text{Prompt}(x, a, z(x,a))$,让同一个 $\pi_{\theta_t}$ 在 $p_f$ 上采样 $K$ 条候选 $a'_k \sim \pi_{\theta_t}(\cdot|p_f)$,得到提议分布 $q_t(a'|f):=\pi_{\theta_t}(a'|p_f)$,这步输出是带打分的多候选集合 $C_z(f)=\{(a'_k, z(x,a'_k))\}_{k=1}^K$。**Step 3 Pareto 前沿监督构造**:先按任务模式 $\tau$ 的保护阈值 $\kappa_\tau=(\kappa_{util}, \kappa_{or}, \kappa_{ctrl})$ 做可行性过滤得到 $F_\tau(f)$(公式 9),再在可行集内做 Pareto 投影得到 $PF(f)$,最后用 $r_{PF}(x,a')=\sum_{m=1}^4 w_m z_m - \lambda\max_m(w_m(1-z_m))$(公式 10)做仅在 Pareto 前沿内的 tie-breaking,由此得到验证器筛选的监督分布 $q_t^\star(a'|f) \propto \mathbf{1}[a'\in PF(f)]\exp(\beta r_{PF}(x,a'))$(公式 11)。**Step 4 监督采样与 SFT 暖启动**:从 $q_t^\star$ 采样或取 top 候选构造修复回放缓冲 $R_t=\{(p_f, a^\star, z(x,a^\star))\}$,然后最小化 $\mathcal{L}_{SFT}(\theta) = -\mathbb{E}_{(p_f,a^\star)\sim R_t}\log\pi_\theta(a^\star|p_f)$,注意损失只在修复轨迹 token 上计算、提示 token 被 mask,等价于把策略投影到 $q_t^\star$ 上。**Step 5 PFPO 优化**:在 $p_f$ 上让当前策略采 $G$ 条 completion $a_1,...,a_G \sim \pi_\theta(\cdot|p_f)$,按 $r_{PF}$ 重评分后计算组相对优势 $APF_i = r_{PF}(x,a_i) - \frac{1}{G}\sum_j r_{PF}(x,a_j)$,最后最大化 $\mathcal{L}_{PFPO}(\theta)=-\mathbb{E}[\min(\rho_i APF_i, \text{clip}(\rho_i, 1-\epsilon, 1+\epsilon)APF_i) - \beta KL]$,其中 $\rho_i=\pi_\theta/\pi_{\theta_{old}}$。**Step 6(可选)迭代**:用更新后的 $\pi_{\theta_{t+1}}$ 重新做 Step 1-5,重复 $T$ 轮,让 $q_t^\star$ 跟随 $\pi_{\theta_t}$ 的演化而刷新。

技术新颖性

从技术新颖性角度看,FATE 的贡献可以拆成四点逐项评估。第一,把失败轨迹从'诊断对象'转化为'监督来源'——以往 AgentDojo/AgentHarm/ATBench 主要用作评估器,Reflexion 等仅在推理时做 verbal reflection,行为克隆则会模仿不安全动作;FATE 是第一个把这三类基准的 verifier 信号直接接进策略更新循环的工作。第二,'同策略 + 验证器筛选'的解耦设计——同策略保证修复贴近自身失败分布(论文图 2a 显示原始修复有 24% 仍不安全、25% 模糊、18% 拒绝一切、30% 不完整),验证器再评分保证标签独立于生成(图 2b 显示筛选后四项分数从 0.44/0.47/0.58/0.68 显著提升且更平衡),这种'生成与标签解耦'是相对自训练/RLAIF 的关键创新。第三,把 Pareto 多目标选择从 RL 经典文献引入 agentic 对齐场景——传统 RLHF 标量化会诱导拒绝一切,而 FATE 用可行性过滤 + Pareto 投影 + front-only tie-breaking 三层组合显式保护效用和过度拒绝维度,并在 ablation 表 5 中分别验证三者各自贡献:去掉 verifier 再评分 ASR 从 0.540 涨到 0.621,去掉 over-refusal 目标 HCR 退步,去掉 Pareto 选择 ASR 涨到 0.586。第四,把'同策略 + 多目标 Pareto + SFT/PPO 两阶段'组合成可迭代的封闭循环——这一点论文在图 3 中用 5 轮 Qwen3-8B 实验量化展示了渐进提升(ASR/HCR 单调下降、TSR/VRR 单调上升),证明监督分布确实在随策略演化。综合来看,FATE 在'把自身失败当作结构化监督'这一具体技术路径上的新颖性高于其各组件本身的新颖性,是典型的组合性创新。

Overview of FATE. The current policy mines its own failures, proposes same-policy repairs, and converts them into verifier-filtered Pareto repair supervision. The selected repairs are internalized by SFT and PFPO, producing the next policy for another self-evolution round.
Figure 1: Overview of FATE. The current policy mines its own failures, proposes same-policy repairs, and converts them into verifier-filtered Pareto repair supervision. The selected repairs are internalized by SFT and PFPO, producing the next policy for another self-evolution round.
Quality of same-policy repair proposals. (a) Repair candidates generated by the current policy are diverse and often noisy, including unsafe, refusal-only, invalid, and incomplete trajectories. (b) After verifier filtering and replay selection, the retained trajectories exhibit substantially improved and more balanced quality.
Figure 2: Quality of same-policy repair proposals. (a) Repair candidates generated by the current policy are diverse and often noisy, including unsafe, refusal-only, invalid, and incomplete trajectories. (b) After verifier filtering and replay selection, the retained trajectories exhibit substantially improved and more balanced quality.

实验结果

论文报告了五组核心实验结果。**第一组(表 1,跨家族泛化)**:FATE 在 5 个不同的开源骨干(Qwen3-8B-Instruct、Llama-3.1-8B-Instruct、Ministral-3-8B-Instruct、Gemma-3-12B-it、Phi-4-reasoning)上一致改善安全-效用权衡。Qwen3-8B 在 AgentDojo 上 ASR 从 0.812 降至 0.540(绝对 -0.272)、TSR 从 0.132 升至 0.392(绝对 +0.260)、BRR 从 0.104 降至 0.082、HCR 从 0.719 降至 0.125(绝对 -0.594)、VRR 从 0.156 升至 0.812(绝对 +0.656);Llama-3.1-8B 的 ASR 从 0.768 降至 0.512(-0.256),TSR 从 0.158 升至 0.417(+0.259);Ministral-3-8B 的 ASR 从 0.736 降至 0.486(-0.250);Gemma-3-12B 的 ASR 从 0.704 降至 0.468(-0.236);Phi-4-reasoning 的 ASR 从 0.748 降至 0.503(-0.245)。这说明 FATE 不依赖特定骨干配方,在异构训练范式上都能同时压低 ASR/HCR、抬高 TSR/VRR。**第二组(表 2,跨规模)**:在 Qwen3 家族 0.6B/1.7B/4B/8B/14B/32B 共 6 个尺寸上同样取得增益,Qwen3-14B AgentDojo ASR 从 0.916 降到 0.445(绝对 -0.471、相对降幅最大),Qwen3-32B TSR 从 0.226 升到 0.566(+0.340),且小模型(0.6B/1.7B)也明显受益但仍受容量限制——证明 FATE 与模型规模互补而非替代。**第三组(图 3,迭代曲线)**:Qwen3-8B 在 5 轮 self-evolution 中,AgentDojo ASR 从 71.9%(Base)逐轮降至 13.2%(R5),TSR 从 26.4% 升至 50.8%;AgentHarm HCR 从 81.2% 降至 11.4%,VRR 从 15.6% 升至 85.6%,阴影区为多 seed 标准差,曲线持续改善无饱和。**第四组(表 3,基线对比)**:在 Qwen3-8B 骨干上对比 ReAct(ASR=0.736、TSR=0.184、HCR=0.656)、Reflexion(ASR=0.674、TSR=0.236、HCR=0.281)、Tool Filter(ASR=0.552、TSR=0.312)、PI Detector(ASR=0.604、TSR=0.348),FATE 全部四项指标同时最优(ASR=0.540、TSR=0.392、HCR=0.125、VRR=0.812),相对最强基线 ASR 相对再降 2.2 个百分点、HCR 相对再降 22.3 个百分点。**第五组(表 4,外部泛化)**:在 ATBench 上 Qwen3-8B + FATE 取得 ATBench-C Acc=77.8%、Prec=80.5%、Rec=78.6%、F1=79.5%,ATBench-F 在 R.S./F.M./R.H. 三项分别 49.2/18.4/43.1,**超过 GPT-5.4(Acc=73.7、F1=76.7)**、超过 Gemini-3-Flash(Acc=76.4)、ShieldAgent(Acc=62.5)、AgentDoG-Qwen3-4B(Acc=64.0、F1=71.1),说明从 AgentDojo/AgentHarm 学到的轨迹级安全信号可迁移到长程诊断任务。**第六组(表 5,消融)**:去掉 verifier 再评分 ASR 涨到 0.621、去掉 over-refusal 目标 HCR 从 0.125 涨到 0.156、去掉 Pareto-front 选择 ASR 涨到 0.586、去掉 PFPO(仅 SFT)ASR 涨到 0.572、SFT+safety-only GRPO(标量化)ASR=0.552 但 HCR=0.141 比完整 FATE 略差,证明四项设计缺一不可,且标量化 GRPO 会丢失 Pareto 平衡。

Main results across backbone families on held-out AgentDojo and AgentHarm tasks. For each backbone, we compare the base policy with the final FATE policy after 2 self-evolution rounds.
Table 1: Main results across backbone families on held-out AgentDojo and AgentHarm tasks. For each backbone, we compare the base policy with the final FATE policy after 2 self-evolution rounds.
Scaling study on the Qwen3 family. Green arrows denote absolute improvements over the corresponding base policy. ASR and HCR are lower-is-better; TSR and VRR are higher-is-better.
Table 2: Scaling study on the Qwen3 family. Green arrows denote absolute improvements over the corresponding base policy. ASR and HCR are lower-is-better; TSR and VRR are higher-is-better.
Comparison with existing agent refinement and defense baselines using Qwen3-8B-Instruct as the backbone.
Table 3: Comparison with existing agent refinement and defense baselines using Qwen3-8B-Instruct as the backbone.
External trajectory-safety generalization on ATBench. R.S., F.M., and R.H. denote Risk Source, Failure Mode, and Real-world Harm, respectively.
Table 4: External trajectory-safety generalization on ATBench. R.S., F.M., and R.H. denote Risk Source, Failure Mode, and Real-world Harm, respectively.
Ablation study on Qwen3-8B-Instruct. Each variant removes or replaces one key design in FATE.
Table 5: Ablation study on Qwen3-8B-Instruct. Each variant removes or replaces one key design in FATE.
Effect of iterative self-evolution on Qwen3-8B-Instruct. FATE progressively reduces ASR/HCR and improves TSR/VRR on held-out AgentDojo and AgentHarm. Shaded regions denote standard deviation across seeds.
Figure 3: Effect of iterative self-evolution on Qwen3-8B-Instruct. FATE progressively reduces ASR/HCR and improves TSR/VRR on held-out AgentDojo and AgentHarm. Shaded regions denote standard deviation across seeds.
查看结构化数据
任务指标本文基线提升
AgentDojo 跨家族(Qwen3-8B) ASR(攻击成功率,越低越好) 0.540 Base 0.812 / Reflexion 0.674 相对 Base 下降 33.5%(绝对 -0.272),相对最强基线 Reflexion 再降 19.9%
AgentDojo 跨家族(Qwen3-8B) TSR(受攻击下任务成功率,越高越好) 0.392 Base 0.132 / Reflexion 0.236 相对 Base 提升 +0.260,相对最强基线 Reflexion 再 +0.156
AgentHarm 跨家族(Qwen3-8B) HCR(有害请求合规率,越低越好) 0.125 Base 0.719 / ReAct 0.656 / Reflexion 0.281 相对 Base 下降 82.6%(绝对 -0.594),相对最强基线再降 55.5%
AgentHarm 跨家族(Qwen3-8B) VRR(有效拒绝率,越高越好) 0.812 Base 0.156 / ReAct 0.250 相对 Base 提升 +0.656,相对最强基线再 +0.562
Qwen3-14B 规模缩放 ASR(AgentDojo) 0.445 Base 0.916 绝对 -0.471,绝对降幅为所有规模中最大
ATBench-C 外部诊断(Qwen3-8B+FATE) Accuracy 77.8% GPT-5.4 73.7 / ShieldAgent 62.5 / AgentDoG-Qwen3-4B 64.0 超过 GPT-5.4 +4.1pp,超过最强开源 AgentDoG +13.8pp
ATBench-F 细粒度诊断(Qwen3-8B+FATE) Real-world Harm (R.H.) 43.1 GPT-5.4 30.2 / AgentDoG 40.6 超过 GPT-5.4 +12.9,超过最强开源 AgentDoG +2.5
5 轮迭代自进化(Qwen3-8B) ASR AgentDojo 13.2%(R5) 71.9%(Base) 相对下降 81.6%,曲线单调下降无饱和
5 轮迭代自进化(Qwen3-8B) VRR AgentHarm 85.6%(R5) 15.6%(Base) 绝对 +70.0pp,曲线单调上升无饱和

局限与改进

论文在 Limitations 部分明确讨论了若干边界。**作者承认的局限**:(1) FATE 强依赖于一套'高质量、可重置、可验证'的 verifier——在 AgentDojo/AgentHarm 这类可执行基准上,环境可以被 reset 并用 success predicate 重评分,但论文也承认在非可执行的纯轨迹诊断任务上只能用模型或规则判定,verifier 的可靠性直接决定 $q_t^\star$ 的质量(附录 E.1 列出了 verifier 实现细节)。(2) verifier 调用次数随 $|F_t|\times K$ 线性增长,加上 PFPO 阶段每条 prompt 还要再采 $G$ 条 completion,总 verifier 成本不低,作者用 K=8、G=一组对比做了敏感性分析。(3) 所有更新均用 LoRA 完成,这意味着底层权重变化幅度受 LoRA 秩限制,对'严重不安全'基线(如 Qwen3-0.6B ASR=0.884)的改善幅度(-0.166)远小于更大模型(Qwen3-14B -0.471)。**作为审稿人的观察**:(4) Pareto-front 的可行性阈值 $\kappa_\tau$ 是按任务模式预先设定的(公式 8),需要少量调参,论文没给出超参敏感性全表,仅在附录 I 提到做了部分敏感性研究。(5) 同策略修复虽然贴近自身失败分布,但也意味着如果某一失败模式从未被采样到(比如新的攻击类型),它就永远不会被修复——FATE 只能'修复已知失败'而非'发现新失败'。(6) 论文所有 ATBench 指标都是 held-out 评估(不参与训练),但 AgentDojo/AgentHarm 的开发/测试 split 是论文自己划分的,外部读者难以直接验证这种 split 是否真的 '从未污染'。(7) 没有与同期多目标 RL 方法(如 MORL 的 Pareto Q-learning、Self-Play 等)在 agentic 设置下做直接对比,主要 baseline 仍是 ReAct/Reflexion 等 prompt-level 方法。(8) 论文使用同一 verifier 既做失败判定又做修复打分,存在'verifier-induced bias'风险——当 verifier 自身不完美时,$q_t^\star$ 可能系统性地偏向 verifier 的盲点。

独立分析的弱点

独立分析论文可改进的弱点有以下几条。**弱点 1:verifier 单一来源风险**——FATE 的所有多目标分数 $z=(z_{sec}, z_{util}, z_{or}, z_{ctrl})$ 都来自同一套 verifier(环境 success predicate 或模型判定),当 verifier 在某类任务上失灵时,$q_t^\star$ 会系统性偏向 verifier 的盲点;改进方向是引入 verifier ensemble(如多个 LLM judge + 规则 + 环境反馈)以降低单点失效风险,并在 ablation 中报告 verifier 噪声对最终指标的敏感度。**弱点 2:同策略候选多样性受限于单次 rollout**——修复候选 $a'_k$ 都是从同一 $p_f$ 上的同策略采样,K=8 时多样性不足(论文图 2a 显示原始修复中 24% 仍不安全),改进方向是引入温度调度、多样性奖励(如 Self-BLEU 惩罚)或基于种子的多模态候选。**弱点 3:可行性阈值 $\kappa_\tau$ 需要任务级调参**——$\kappa_{util}, \kappa_{or}, \kappa_{ctrl}$ 三个保护阈值按任务模式 $\tau$ 设定,跨任务迁移不直接,改进方向是学习这些阈值(例如从验证集上 Pareto 曲线的拐点自动确定)或用 LLM 直接给出'可接受修复'的偏好。**弱点 4:迭代效率随轮次边际递减**——虽然图 3 显示 5 轮单调改善,但 R4→R5 的 ASR 改善幅度(从约 15% 到 13.2%)已明显小于 R1→R2,且 verifier 成本按轮次线性累加;改进方向是引入 early stopping 或基于改进幅度的动态轮数。**弱点 5:缺少对失败类型的分层分析**——论文统一把所有失败喂给同一框架,但'注入指令'和'有害请求'的修复机制差异较大,未报告 per-category 指标在 Pareto 筛选前后的变化(附录 G 仅给出 per-category 结果),改进方向是对不同失败类型分别训练子策略或分别调权重 $w_m$。**弱点 6:与同期多目标 RL 直接对比不足**——表 3 的 baseline 多为 prompt-level 或 runtime 方法,没有与 MORL、Pareto Q-learning 等多目标 RL 算法在相同 agentic 设置下对比,难以判断 Pareto-front 设计本身带来多少增益。

未来方向

**作者提出的方向**:论文在结论与正文讨论中隐含了若干延伸——把 FATE 推广到更长程(multi-day)智能体任务、与人类反馈联合使用(verifier 不可靠的部分由人兜底)、以及把 Pareto 权重 $w_m$ 从固定改为可学习。**基于成果可延伸的方向**:(1) **Verifier 进化**——把 verifier 自身也做成可被 FATE 优化的对象,形成 verifier-policy 的协同进化博弈;(2) **跨任务迁移**——论文仅在 AgentDojo/AgentHarm 上训练、ATBench 上外推,可以尝试把 $R_t$ 跨基准共享,研究'修复迁移'的极限;(3) **多模态与具身智能体**——当前评估全部在文本/工具调用智能体上,把 $z_{ctrl}$ 拓展到具身轨迹(视觉/动作一致性)能直接落地到机器人安全;(4) **在线 verifier 蒸馏**——把昂贵的 verifier 重评分蒸馏成轻量分类器,作为下一轮 $q_t^\star$ 的快速近似,降低每次迭代的 verifier 成本;(5) **失败归因到具体 token/step**——目前 $z(x,a)$ 是轨迹级向量,可细化到 step-level,从而构造更细粒度的修复(只改坏的那一步而非整条轨迹);(6) **鲁棒性评估**——论文主要评估自然分布下的失败率,可以补充对抗性 verifier 攻击或对抗性 prompt 注入的鲁棒性曲线;(7) **与宪法式 AI(Constitutional AI)结合**——把 $w_m$ 与人类/法律原则绑定,使 Pareto 前沿具备可解释的伦理约束而非纯统计优化。

复现评估

**开源与代码**:论文提到有 Project Page 和 GitHub 链接(首页给出),但从摘要文本未读到具体的仓库地址或 commit hash,需要进一步在论文附录或补充材料确认。**数据**:所有训练在 AgentDojo、AgentHarm 的 $B_{dev}$ split 上完成,$B_{test}$ 完全 held-out,ATBench 仅做外部评估且完全不使用其轨迹参与训练;split 划分细节需在附录中查证。**算力**:所有策略更新使用 LoRA(论文明确给出),具体 LoRA 秩、超参与 batch size 在附录 F 中给出;训练量在 5 个开源骨干 × 多尺寸(最小 0.6B、最大 32B)上完成,单次完整跑通至少需要 6×A100 量级,PFPO 阶段因每 prompt 采 G 条 completion 且 verifier 调用按 $|F_t|\times K$ 线性增长,总成本不低。**复现难度评估**:(1) verifier 复现——AgentDojo/AgentHarm 是开源基准,环境重置与 success predicate 可直接复用,复现难度低;(2) Pareto 选择逻辑——公式 8-11 实现简单但阈值 $\kappa_\tau$ 需要按任务模式调,复现难度中;(3) PFPO 优化——公式 17 是序列级优势 + token 级 KL 惩罚的 PPO 变体,需要在 OpenRLHF/trl 等框架上定制,复现难度中–高;(4) LoRA SFT/PFPO 的稳定性——优势归一化、裁剪阈值、KL 系数均敏感,可能需要多 seed 实验(论文报告 3 seed 平均);(5) 跨骨干训练——5 个不同家族(Qwen3/Llama-3.1/Ministral-3/Gemma-3/Phi-4-reasoning)的 tokenizer、chat template、特殊 token 不同,需要对每个骨干分别适配 prompt 模板(附录 B 给出了具体模板)。综合而言,**主线结果(表 1、表 3)复现难度中等偏低**(有开源 verifier + 论文明确超参),**完整 5 轮迭代与 ATBench 评估(表 2、图 3、表 4)复现难度中高**(涉及多骨干、多 seed、长程评估)。