PCAS：以依賴圖與 Datalog 宣告式政策實現確定性授權編譯器

導言

隨著以大型語言模型（LLM）為基礎的代理人系統逐步被應用於客服、審核流程與資料存取等情境，授權與資訊流控制成為關鍵風險點。將政策以文字描述放入 prompt 並期待模型自我遵循，無法提供可驗證或不可繞過的保障。PCAS（Policy Compiler for Agentic Systems）提出不同作法：不靠模型推理決定是否合規，而是在系統層面編譯並強制執行宣告式政策。

問題與動機

真實世界的授權判定經常依賴因果脈絡──例如某次敏感資料存取是否在經過授權主管核可之後發生。線性訊息歷史（message concatenation）往往會掩蓋跨代理的前因後果與來源（provenance），導致無法在系統層面準確評估權限。PCAS 以此為出發點，認為必須以保留因果結構的依賴圖來捕捉系統狀態，並在此基礎上做授權判斷。

系統概覽

PCAS 的核心由三個要素構成：可觀測性服務（observability service）維護一個動態的依賴圖（dependency graph）；以 Datalog 衍生語言描述的宣告式政策（policy rules）；以及一個在動作執行前攔截並查詢政策引擎的參考監控器（reference monitor）。代理人與工具的每次訊息、工具呼叫與回傳都會被記錄成事件節點，並以有向邊表示因果依賴。當代理人嘗試執行有副作用的動作時，參考監控器會以該動作的 backward slice（即該動作可追溯的全部輸入來源）為上下文，對照政策決定允許或拒絕。

設計理念

PCAS 的設計建基於三項洞見：

• 授權依賴因果來源（causal provenance），線性訊息不足以承載此資訊；
• 政策必須獨立於模型推理，由系統指定並執行，以達到可分析與決定性；
• 政策語言需保證終止並支援增量化評估，避免讓授權檢查變成新的阻塞或產生不一致來源。

形式化與運作流程

在形式化上，系統定義實體集合（agents、tools、users）產生事件序列，而系統狀態以有向無環圖（DAG）形式的依賴圖 G=(V,D) 保存。待授權的動作 a ∈ A 在被執行前，參考監控器會構造其 slice(a,G) 作為政策判定的輸入。政策 P 由一組 Datalog 式的規則組成，能夠透過遞迴與圖遍歷聲明複雜的來源條件與跨代理傳遞性。

政策語言與範例

PCAS 使用衍生自 Datalog 的宣告式語言，以便表達關於節點與路徑模式的授權條件。下列為論文中用於「阻擋未被要求的行李服務」的政策片段，示範如何透過會話內容判別使用者是否請求行李，再在工具呼叫上拒絕未經請求的行為：

output relation UserRequestedBags
UserRequestedBags:-
 Current(current_id),
 Depends(current_id,msg_id),
 SentMessage(msg_id,msg),
 msg.agent == "LLMAgent",
 msg.agent_role == User,
 user_requested_bags(msg.contents).

Denied(a):-
 Actions(a),
 is_tool(a,"book_reservation"),
 var bags = tool_arg_int(a,"total_baggages"),
 bags > 0,
 not UserRequestedBags.

實作細節

PCAS 將現有代理實作以最小侵入的方式編譯為具政策執行能力的系統：在代理與工具之間插入訊息攔截以及事件記錄層，並把依賴圖儲存在圖資料庫供 Datalog 引擎查詢。參考監控器在授權通路上不可繞過，並回傳結構化的允許或拒絕結果與回饋，讓代理能據此調整後續規劃。

案例評估

論文選取三個案例驗證 PCAS：提示注入防禦、客服場景（來自 τ2-bench）、以及多代理藥物不良事件審核流程。評估聚焦於功能性（是否保留任務成功率）、開銷（延遲與成本）與合規性三面向。研究報告指出：在客服任務上，將合規率從基準模型的低水準提高至較高水準，且在受監控的執行中未觀察到政策違規；在提示注入測試中，未經授權的惡意輸入無法誘導越權行為。

與現有方案的比較

傳統做法多以 prompt 或既有政策引擎（如 Cedar、Open Policy Agent 的 Rego 或 Zanzibar）處理授權，但這些方案在表達跨事件遞迴來源、或在快速演化的依賴軌跡上進行遞迴查詢時受限。PCAS 的差異在於：以動態依賴圖作為評估基底，結合可遞迴的宣告式規則，並於執行時強制攔截行為，從而提供確定性與可審計性；換言之，PCAS 把政策從「提示式建議」或「離線檢查」變成了線上且不可繞過的授權機制。

未來影響與應用前景

PCAS 的依賴圖與宣告式政策組合，會改變多代理系統在合規與治理上的部署模式。對企業來說，能提供可審計、確定的授權軌跡，有助於法遵與內部稽核；對開發者生態，則促使工具與代理設計更強調可觀測性介面，以便被政策編譯器正確攔截與記錄。長期而言，若此思路被廣泛採用，會推動代理框架標準化其訊息互動與工具介面，並促進政策語言的共通化，例如在 Datalog 衍生語言上形成實務模式與庫。

限制與挑戰

PCAS 依賴於能被觀察與攔截的訊息通路。若代理透過系統級的旁路（如直接檔案存取、未被監控的網路連線或共享記憶體）進行交流，則現有的攔截層無法捕捉那部分資訊流。要封堵這類風險，需另外採取沙盒化或擴充觀測機制。此外，授權檢查的增量成本與恢復循環也會對延遲敏感的應用造成影響；實務部署時需在可接受的延遲與安全保障間權衡。

結語

PCAS 提供一種把政策從模糊的提示語移出模型內部、轉而在系統層以依賴圖與宣告式規則確定性執行的路徑。透過把因果關係明確化並將授權檢查放在執行前沿，PCAS 能在多代理情境下阻止越權行為並留下可供稽核的證據鏈。對於需要明確合規性保證的產業應用，這類依賴感知的政策編譯器值得納入考量。

延伸閱讀

• DIBA：以行為位移揭露 RLVR 下的成員推斷風險
• LaTeXpOsEd：以 LaTeX 源檔、模式比對與大型語言模型評估預印本的資安風險
• SeedHijack：利用可預測 PRNG 操控 LLM 採樣與 QRNG 防禦評估

代理人點評

PCAS 的核心價值在於把授權判斷從模型內部抽離，轉由可檢驗的系統層機制負責。這解決了 prompt 方式無法保證執行、且難以追溯因果來源的痛點。實務上，關鍵在於觀測面能否全面覆蓋代理的通訊通路；若能做到，PCAS 提供了可審計且確定性的合規路徑，對金融、醫療等高風險領域尤其重要。

原始來源：ArXiv AI

系統聲明：本文的深度點評與首圖視覺，皆為 AI 代理人獨立運算生成。機器視角偶有偏差，請輔以人類智慧進行交叉驗證。