⚙️ 方法论与技术实现架构 (Methodology & Architecture)

基于上述立场，作者提出了一套结构化的通用Agent系统架构（如上图），通过引入 Plan（计划） 和 Policy（策略） 两个核心抽象来实现可解释与可控的执行：

单步执行形式化表示为 $e := (a, \mathcal{I}, \mathcal{O})$，其中 $a$ 是具体动作（如工具调用），$\mathcal{I}$ 和 $\mathcal{O}$ 是输入输出对象。Plan $p$ 是执行序列的集合 $\mathcal{P}$，Policy $\pi(\cdot)$ 是定义当前上下文中动作是否被允许的谓词。策略可以通过结构化对象（如JSON ACL规则）或自定义DSL代码来表达。

核心防御策略设计（System-Model Co-design）：

既然不可避免地要用LLM做复杂的安全校验，核心原则就是：避免让负责安全决策的LLM直接暴露于可能被攻击者控制的原始文本（Raw environment text）中。 作者给出了两个具体的技术提案：

提案 1：解耦“指令识别 (Instruction Recognition)”与“指令执行决策 (Instruction-following Decision)”

• Step 1 显式指令口述化 (Verbalization)：通过Prompt或训练，要求Executor LLM显式地“说出”它打算遵循的候选指令。因为LLM内部已经完成了识别恶意指令的过程，这一步只是把“它认为的指令”抽取出来。
• Step 2 系统级判定 (Adjudication)：在System层面对抽取的指令进行来源溯源（Provenance tracking），并根据三种模式拦截：
  • Mode 1：默认拒绝任何来自外部不可信数据源的指令。
  • Mode 2：弹窗让人类审批（HITL）。
  • Mode 3：结构化裁决。由Orchestrator维护一个结构化的任务树（不包含原始长文本），将新增的指令节点以Diff的形式提交给另一个“LLM法官（Judge）”。法官仅能看到结构化的状态变化，大幅压缩了攻击敞口。

提案 2：使用LLM在运行时合成“编程验证器 (Programmatic Validators)”

• 对于检索返回的结果，不要指望Executor能在对抗性文本中“出淤泥而不染”。
• 系统可以调用LLM生成确定性的校验代码（例如：仅从表头包含‘Q4’和‘Quarter’的表格单元格中提取数据；使用正则匹配 [0-9,.]+；忽略所有自由格式文本；校验DOM路径）。
• 在运行时（Runtime），系统将不可信的外部响应解析为DOM/JSON树，并运行这些代码验证器进行严格的字段级过滤。

⚙️ 方法论与技术实现

优化目标可以用如下 Token 成本公式表示。给定包含描述 $s.d$、主体 $s.b$ 以及参考文件集合 $s.R=\{r_1, \dots, r_m\}$ 的技能 $s$，原始成本为：

Stage 1: 路由层的增量调试优化（Routing Layer Optimization）

路由层的核心要求是“极简但足够用于区分竞争对手”。作者采用了一个双阶段管道：

1. 基于模拟 Oracle 的 Delta Debugging（DDMIN）：将描述分割为语义子句。为了解决盲目精简可能导致特征丢失，构建了一个对抗性的模拟 Oracle $\mathcal{O}(d, Q, C)$。不仅包含目标技能和相似干扰项，还通过 LLM 动态生成一个功能不同但字面极其具有迷惑性的 对抗技能（Shadow Skill, $s_{adv}$）。使用 DDMIN 算法寻找满足路由测试全通过的1-极小集。
2. 真实环境验证（Real-Environment Validation）：由于模拟器可能过于乐观，Stage 1 会将压缩后的描述部署到真实的 Claude Code CLI 进行验证。如果触发失败，采取贪婪策略回滚删除的子句（Selective Restore），确保 100% 路由保真度。

Stage 2: 基于渐进式披露的 Body 重构（Progressive Disclosure）

借鉴了软件工程中的“程序切片”思想，打破 Monolithic Prompt，转向按需调用的 Tiered 架构。

• Taxonomy-driven 分类：将自然语言主体切割为 5 类：核心规则、背景、样例、模板、冗余。
• 渐进式披露转换：核心规则经过合并与紧缩后，变为必须加载的常量 ($b^*$)。背景、样例和模板则转换为带有触发条件（When & Topics 路由元数据）的按需模块 $R^*$。冗余（Redundant）被直接丢弃。跨文件的重复信息通过自动去重被抹除。

转换后的成本降低至仅包含核心加动态载入：

质量守卫机制（Quality Gates & Feedback Loop）

为了保证切片没有切断潜在语义依赖，设计了两层质量门：

Gate 1 (Faithfulness): 强制信息守恒检查：$\forall\tau: \mathcal{C}_\tau(s.b) \subseteq \mathcal{C}_\tau(b^*) \cup \bigcup_{r \in R^*} \mathcal{C}_\tau(r)$。
Gate 2 (Task-based Feedback Loop): 在沙盒中执行一系列生成任务。如果发现执行效果下滑 ($\text{score}_C < \text{score}_A$)，则利用 LLM 分析失败的评判标准，并从备用引用堆中“提拔（Promote）”对应的实例或背景回到始终加载的核心规则 $b^*$ 中。这一反馈循环在理论上确保了单调收敛。

⚙️ 方法论与技术实现 (Methodology)

1. Contextual ASR 架构与容错机制
基于 Whisper-large-v3-turbo 的Encoder提取声学特征，通过 Conformer-based Projector 进行时域合并压缩，送入 Llama 架构的 Decoder。解码时前置拼接 `UserContext` 和多轮对话历史。为了处理单字回复（"no" vs "now"），引入了 Single Word Correction (SWC) 二次重打分机制，将单字识别错误率从2.4%降至0.2%。

2. 服务端极速推理优化（Infra层面突破）
为了保证 TTFT < 500ms（语音对话流畅的生命线），团队进行了深度的系统级优化：

• 深度剪枝与Healing： 依据Transformer深层冗余特性，直接剪除 Llama-3.1-405B 的高层模块，构建 300B 参数模型，并在P99的TPOT（单Token输出时间）上从266ms降低至117ms。
• 缓存感知路由（Cache-Aware Routing）： 传统的Round-Robin会导致多轮对话每一轮都要重算长达几千Token的Context。Polaris在Kong网关使用一致性哈希，基于 `call_id` 强制粘性路由（Sticky Routing）。
• 由于请求总是落到持有历史KV Cache的同一节点，稳态下 Cache Hit Rate 达到 96.4%，Prefill阶段计算量从 $O(|H_{t-1}|)$ 降为仅计算新输入，Prefill耗时骤降18倍（~450ms -> 25ms）。

3. 混合在线-离线表单提取（Form Fill）
结构化记录生成（如填表）被拆分为两层：
在线组件用于低延迟识别当前是否回答了表单问题 $q_k$，并在局部上下文窗口内提取临时答案 $\hat{y}_{i_t}^{\text{online}}$。
离线调和（Reconciliation）组件则在通话结束后，基于全局对话转录文本 $D = (u_1, \dots, u_T)$ 进行全量检查，融合多轮冲突信息，生成最终的候选答案 $\{\hat{y}_k^{\text{offline}}\}_{k=1}^K$ 进行最终仲裁。该混合机制使字段级精确匹配准确率达到99.86%。