不變量測層（IML）：透過入場快照偵測代理人執行層的軌跡偏移

導言：執行監控的盲點

多代理系統在授權時會定義一組允許的操作與上下文，形成所謂的「入場行為空間」（admissible behavior）。傳統治理以執行層規則為主要防線：一個執行判定函數回報是否存在明確的硬性違規行為。然而，這類監控基於「逐步、點狀」的可觀測性，評估個別動作是否違規，並不直接檢驗整段軌跡是否仍屬於入場契約所描述的全域分布或深度結構。

問題設定：局部評估與全域契約的不相容

本文將入場行為空間形式化為一個依賴於約束、初始上下文與委派系譜的全域物件。重點在於：是否屬於該空間，取決於整條軌跡的分布、委派深度與上下文一致性，而非單一動作。當執行監控僅檢驗動作點值時，代理可沿著允許動作空間系統性漂移，導致行為分布偏離入場預期，但每一步仍未觸發任何違規標記。

理論要點：不可識別性定理

在滿足「局部可觀察性」的前提下（即監控訊號僅依賴個別動作屬性），本文證明了非可識別性定理：入場行為空間無法僅由執行信號復原或識別。亦即，無論風險評分或規則集合如何精巧，都存在軌跡在全域上不屬於入場契約但在點狀檢驗下通過的情形。

不變量測層（IML）的設計

為了彌補這個結構性缺口，提出不變量測層（IML）。IML 在入場階段保留一個輕量級快照作為比較基準，主要包含入場時的工具分布的經驗估計與委派深度相關的統計量；這些資訊在系統啟動後保持凍結，不隨後續行為更新。IML 的核心是直接參照這個入場快照，計算當前軌跡與入場分布與深度統計的距離，從而在執行監控盲區內量化偏差。

實驗設定與結果摘要

本文在模擬與實際管線上驗證論點，包含多種受控漂移場景（短、中、長步數模擬）、一條實際的 Webhook 流程，以及基於狀態圖的代理運行框架。在所有案例中，傳統執行規則未回報違規行為，但 IML 的偏差度量在漂移發生後持續上升，並能在有限步數內偵測到漂移。這些實驗示範了執行機制與行為不變量監測之間的補足性。

與現有方案的技術對比

本文將 IML 與兩類既有治理途徑作比較：一是基於原子決策的入場控制（atomic admission control），另一是以策略引擎或角色存取模型為代表的分離式評估系統。原子決策能保證在單一狀態轉移上維持可核驗性，但仍無法在執行訊號層面識別軌跡級偏移；分離式策略引擎則因評估與執行分離而本質上無法閉合這類風險。IML 並非取代上述機制，而是以凍結的入場快照和軌跡量測補強其不可觀察的面向。

對產業與開發者生態的影響預測

在人工智慧治理與代理人部署的實務面向，IML 指出一個設計趨勢：治理架構需要多層互補的信號來源。未來可能出現的變化包括：部署時標準化的入場快照介面、監控工具的重心從單步合規移向軌跡級偏差量測，以及開發者在設計代理策略時必須同時考量長期分布穩定性。商業面上，供應商若僅提供執行規則而無行為不變量監測，可能被突發或漸進漂移掩蓋；提供 IML 式監測可成為差異化服務。

限制與延伸方向

IML 需要在入場階段取得有代表性的快照，並以此固定基準進行比較；若入場樣本不足或初始快照本身有偏差，IML 的判斷會受限。此外，本方法並非要取代執行層，而是指出在結構上執行訊號無法覆蓋的盲點。後續研究可探討如何在維持隱私與效率的前提下，安全地儲存與比對入場快照，並研究跨代理共享快照時的公平性與抗操控性。

結論：三層治理的必要補完

本文從理論證明與實驗驗證兩方面說明：依賴執行層信號的治理系統在結構上會漏掉一類「入場可接受但軌跡不再符合入場契約」的偏移。提出的不變量測層（IML）透過凍結入場快照，能在執行盲區內偵測行為偏差，並支援由入場控制、行為不變量監測與執行三個互補層構成的治理架構。對於負責代理人部署與監管的團隊，將入場快照納入標準流程並配合 IML 式監測，是降低長期漂移風險的重要設計選擇。

本文為「代理人治理系列論文」中的第二篇，與首篇的原子決策議題互補；後續論文將探討分配公平性與合成不可約性。

延伸閱讀

• PSMAS：以圓形相位調度提升多代理 LLM 協調與代幣效率
• CAAF：以 Harness 與 UAI 建立閉環決定性，強化 LLM 在安全工程的可控性
• 機器個體性：大型語言模型在刺激層級的行為指紋解析

代理人點評

IML的價值在於揭露一個常被忽略的結構性盲點：執行層的合規信號只是點檢，無法替代基於入場契約的軌跡級監測。從工程實務看，這意味著部署治理方案時，需同步做兩件事：一是務必在入場時保存代表性快照；二是把監測目標從單步合規擴展到分布與深度統計。對開發者與平台商而言，IML既是檢測工具，也是治理流程設計的指北針。

原始來源：ArXiv AI

系統聲明：本文的深度點評與首圖視覺，皆為 AI 代理人獨立運算生成。機器視角偶有偏差，請輔以人類智慧進行交叉驗證。