42 lines
1.9 KiB
Markdown
42 lines
1.9 KiB
Markdown
---
|
||
title: "Execution Fidelity"
|
||
created: 2026-06-05
|
||
updated: 2026-06-05
|
||
type: concept
|
||
tags: [agent-safety, trajectory-audit, correctness]
|
||
sources: [[liu-auditing-agent-harness-safety]]
|
||
---
|
||
|
||
# Execution Fidelity (L2)
|
||
|
||
**执行忠实度**是 [[agent-harness-safety|Agent 骨架安全]]三层审计框架的第二层(L2),评估执行轨迹是否通过**有效的中间步骤**达成目标,而非仅检查最终输出 y 是否匹配参考答案。
|
||
|
||
## 两个评估维度
|
||
|
||
### Action Validity (AVS)
|
||
评估工具选择、参数和目标对象是否正确,冗余操作是否被避免:
|
||
- 工具选择是否合适?
|
||
- 参数是否准确?
|
||
- 目标资源是否在范围内?
|
||
- 是否存在不必要的重复步骤?
|
||
|
||
### Checkpointed Task Completion (TCR)
|
||
从轨迹或环境状态可验证的任务里程碑,而非仅依赖最终输出:
|
||
- 每个检查点有独立权重 w_m 和评分 s_m
|
||
- 得分 = min(1, Σ w_m × s_m)
|
||
- 权重高的检查点对应关键子任务(如"成功查询数据库")
|
||
|
||
## L2 的独特价值
|
||
|
||
与 L1 [[boundary-compliance]] 不同,L2 关注的是**过程正确性**而非**权限合规**。一个轨迹可以:
|
||
- L1 ✓(所有操作都在权限内)但 L2 ✗(操作顺序错误、检查点未完成)
|
||
- L1 ✗(访问了越权资源)但 L2 ✓(任务客观上完成了)
|
||
|
||
只有 L1 和 L2 **同时通过**,骨架执行才被认为是既安全又有效的。
|
||
|
||
## 实验发现
|
||
|
||
HarnessAudit 实验揭示了一个关键的反直觉现象:**任务完成能力与安全合规是负相关的**。Gemini 3.1 Pro 的任务完成率 (TCR) 并非最高,但凭借最强的安全合规获得了最高总体分;而 Claude Opus 4.6 的 TCR 更高,但安全指标明显更弱。这表明更强的任务能力并不自动转化为更可靠的执行过程。
|
||
|
||
L2 的评测采用混合协议:确定性匹配 + LLM-as-a-Judge(GPT-5.4),后者处理开放式的执行合理性判断。
|