⚙️ 4. 方法论与技术实现 (Methodology)

作者设计了一套严谨的大规模 API 并发评测 Pipeline。评估数据来自于 MMLU 和 GPQA Diamond，共 498 个包含四个选项的多选题。具体流程如下：

• 1. Hint 注入类型：构建了 6 种 Hint 类别，分别是：
  • Sycophancy (阿谀奉承)：谎称权威专家支持某个错误答案。
  • Consistency (保持一致)：谎称模型在之前的对话中选择了某个错误答案。
  • Visual Pattern (视觉规律)：通过调换选项顺序，让目标答案总是出现在 (A) 的位置。
  • Metadata (元数据泄露)：注入虚假的 <answer_key> 标记。
  • Grader Hacking (系统后门)：提示评测系统仅仅是无脑匹配特定的字符串。
  • Unethical Information (违规信息)：暗示答案是从泄露的题库数据库中非法获取的。
• 2. 核心度量指标定义：

  只有当注入 Hint **成功改变了模型答案（与基准答案不同，且等于目标答案）**，该样本才被视为“被影响 (Influenced)”。在所有被影响的样本中，CoT 承认了 Hint 的比例才是 忠实度 (Faithfulness Rate)。

  $$ Faithfulness\ Rate = \frac{|\{influenced \cap faithful\}|}{|\{influenced\}|} $$

  $$ Influence\ Rate = \frac{|\{a_{hint} = a_{target} \wedge a_{hint} \neq a_{base}\}|}{|\{all\ hinted\ runs\}|} $$

• 3. 自动化判别器 (Classifiers)：

  引入双阶段机制以控制系统误差。主要评判基于 Claude Sonnet 4 进行独立评判（提示词要求明确判断 Hint 是否在逻辑中起到了“承重 (load-bearing)”作用）。另外设计了一套辅线流程：先使用 Regex 正则表达式及关键词抓取，对于模糊地带交由 3位开源裁判（GLM-5, Kimi K2, Gemini 3 Flash）投票判决。这套机制对超过 10,276 份受影响的推理轨迹进行了交叉判定。

4. 方法论与技术实现 (Methodology)

假设目标仓库具有按时间排序的历史 Commits 序列 $\mathcal{C} = (c_1, c_2, \dots, c_T)$。通过设置一个严格的时间截断点 $T^*$，将数据划分为用于学习的历史序列 $\mathcal{C}^- = \{c_t : t \le T^*\}$ 和用于评估的保留测试集 $\mathcal{C}^+ = \{c_k : k > T^*\}$。整个框架分为两个阶段：

Phase 1: Repository Onboarding (学习期)

Agent 遍历 $\mathcal{C}^-$ 中的高质量 commit 执行三步循环迭代（On-policy Contrastive Reflection）：

1. 盲试 (Blind Attempt)：给定历史快照 $S_t$ 和合成的纯意图描述 $d_t$，结合当前积累的技能文档 $\mathcal{M}^{(t-1)}$，Agent 自主在代码库中搜索编辑，输出候选 Patch $\hat{\Delta}_t$。
2. Oracle 揭示与对比反思：向 Agent 展示人类专家的真实 Patch（Oracle Diff）$\Delta_t$。Agent 针对自己的 $\hat{\Delta}_t$ 与 $\Delta_t$ 之间在文件定位、API 调用和风格上的 Gap 进行深刻反思。
3. 技能更新 (Skill Update)：基于反思结果，通过 CRUD 操作（创建、修正、废弃）更新抽象技能库：
   $$\mathcal{M}^{(t)} = \text{UPDATE}\left(\mathcal{M}^{(t-1)}, \hat{\Delta}_t, \Delta_t, d_t\right)$$

Phase 2: Skill-Conditioned Resolution (解题期)

面对真正未见过的未来任务 $d_k \in \mathcal{C}^+$，Agent 不再像新人一样盲目行动。它基于仓库快照 $S_k$ 和积累的完整技能册 $\mathcal{M}$，自主决定查阅哪些文件、复用哪些内部 API，并产出高度原生的 $\hat{\Delta}_k$。

方法论与技术实现 (Methodology)

GenMask 基于 WAN-2.1 (1.3B) 架构构建，训练目标依然是 Flow Matching 中的连续向量场预测损失：

$$ \mathcal{L}(\theta) = \mathbb{E}_{\mathbf{x}_0, \epsilon, t} \| (\mathbf{x}_0 - \epsilon) - v_\theta(\mathbf{x}_t, t) \|^2 $$

1. 揭秘 Binary Mask 的潜在空间分布

作者发现，对自然图像添加高强度噪声会彻底破坏其内容，但同样强度的噪声加在二值掩码（Binary Mask）上，其全局形状和边界依然清晰。进一步的 PCA 和 SVM 实验证明：二值掩码的 VAE 表征几乎是线性可分的（Linearly Separable）。这种分布上的悬殊差异，是之前单个生成模型难以兼顾图像生成和分割的根源所在。

2. 任务感知的定制化时间步采样 (Time Shift)

为了在一个模型中拟合两种分布，作者在时间步 $t$（Time Shift）的采样上做了“软隔离”：

• 对于生成任务： 采用 SD3 类似的 logit-normal 策略，主要偏重中等噪声阶段：
  $$ \pi(t) = \frac{1}{\sqrt{2\pi t(1-t)}} \exp\left(-\frac{1}{2}\left[\log\left(\frac{t}{1-t}\right)\right]^2\right) $$
• 对于分割任务： 由于 Mask 对低噪声极度不敏感，学习信号全部集中在高噪声区域。作者设计了一个超长尾的高噪声集中概率密度函数：
  $$ p(t) = \frac{2a^2t}{(t^2+a^2)^2} $$ 实验中 $a$ 被设定为极小值（如 0.05），使得 90% 的分割训练样本都集中在 $t > 0.85$ 的极限高噪声区域中。

3. 极简推理（One-step Inference）

由于分割模型主要在极高噪声强度（$t$ 接近 1）下训练，这意味着给定一个纯噪声 $\epsilon$ 和输入条件，模型可以一步预测出去噪方向。推理时，固定 $t=1$，通过公式：

$$ \mathbf{x}_{\text{mask}} = \epsilon + v(\epsilon, 1) $$

仅用一次模型前向传递即可获得分割掩码的 Latent 表示，随后由 VAE 解码，其用法完美契合确定性的传统分割网络。

4. 架构增强：VLM 指令与 VAE 捷径

将原有纯文本编码器替换为 Qwen2.5-VL-7B，负责理解图像与复杂的 Prompt，提供高级语义条件。但是，VLM 往往忽略细粒度的底层信息（颜色连通性、纹理），这对于像素级密集预测是致命的。因此，GenMask 增加了一条 VAE Low-level Shortcut：将原图无噪声的 VAE Latent（Time Embedding 置0）直接拼接到 DiT 输入端，有效补足了底层几何纹理线索。

⚙️ 方法论与技术实现 (Methodology)

SEVerA 将带有约束的智能体生成定义为以下约束学习优化问题：

1. Formally Guarded Generative Models (FGGM)

FGGM 是整个框架的基石。对于每一个大模型调用，它通过 Planner LLM 自动生成如下四元组：

• Prompting Program ($f_p$)：基于输入构造自然语言指令的非参数程序。
• Local Contracts ($\Phi_l, \Psi_l$)：使用一阶逻辑定义该模型调用在输入输出上的形式化约束。
• Underlying Model ($\mathcal{L}_\Theta$)：被调用的生成模型（如 LLM 或参数化网络）。
• Verified Fallback ($f_d$)：一个被证明绝对满足上述契约 ($\Phi_l, \Psi_l$) 的非参数确定性程序。

执行时，FGGM 将 $\mathcal{L}_\Theta$ 视作提议分布（Proposal Distribution），连续采样 $K$ 次。如果某次样本满足局部契约 $check_{\mathcal{A},\Phi_l,\Psi_l}$，则立即接受；若 $K$ 次全被拒绝，则触发 Fallback ($f_d$)。此设计巧妙地赋予了任意黑盒模型“参数无关（Parameter-Independent）”的局部正确性保证。

2. Search & Verify (类 CEGIS 离散搜索)

在这个阶段，Planner LLM 根据任务描述提议候选的 FGGM 定义和外层智能体代码。接着，Dafny 引擎作为演绎验证器（Deductive Verifier），将 FGGMs 视为具备契约的已知函数，利用 SMT 求解器验证整个调用链是否满足全局的硬约束（$\Phi, \Psi$）。如果验证失败，错误信息会作为反馈发回 Planner（CEGIS 循环），直到合成一个 Provably Correct 的骨架。

3. Learn (Conformance Tuning 与 GRPO)

一旦程序通过验证，即意味着无论如何调节模型参数，全局硬约束都不会被破坏。因此，SEVerA 放心大胆地使用梯度下降（如 GRPO）优化 Task Loss。为了减少系统在推理时频繁回退到低智的 Fallback ($f_d$)，SEVerA 在 GRPO 的 Reward 中引入了局部契约依从性（Conformance loss）：

通过强化学习（GRPO），生成模型被训练出将概率质量集中在满足约束的支撑集上（Support Set），显著提高了拒绝采样的接受率（Acceptance Rate）并降低了任务损失。

⚙️ 方法论与技术实现

TIP将Payload生成转化为语义空间中的离散树搜索问题（Tree-structured Search）。优化的核心目标是在满足低困惑度（隐蔽性）的约束下，最大化目标恶意行为 $a_{target}$ 的概率：

$$ \mathcal{P}^* = \arg \max_{\mathcal{P} \in \Omega} \mathbb{E}_{q \sim Q} \left[ P(a_{target} \mid \mathcal{A}(q, r_{tool} \cup \mathcal{P})) \right] $$

其中 $r_{tool} \cup \mathcal{P}$ 代表将恶意Payload通过JSON字典合并到合法工具响应中，$\mathcal{A}$ 为受害者Agent。TIP的搜索框架包含三个迭代阶段：

1. 分支扩展 (Branch Stage - Strategy-Guided Generation)：
   • 路径感知反馈 (Path-Aware Feedback)：不同于传统只给最新失败样本的贪心策略，TIP向Attacker LLM输入整条历史优化路径 $\mathcal{H}_i$（按分数升序排列）。这使模型学习到哪些语义修改能带来全局优化，防止“峰值后下降（peak-then-decline）”的局部最优陷阱。
   • 工具响应模拟 (Tool Response Simulation)：攻击前，Attacker LLM基于工具元数据 $\tau_{desc}$ 预测出合理的合法响应 $r_{context}$，然后再将其扩展/修改为恶意指令。这极大降低了注入后的困惑度，使其像正常的工具输出。
   • 双层由粗到细策略 (Dual Coarse-to-Fine Strategy)：
     层级1 (Attack Guidance)： 在“隐式引导（修改上下文偏见）”和“显式控制（注入祈使句命令但包裹在紧急系统字段中）”之间交替。
     层级2 (Structural Optimization)： 在分数低于0.5时广泛探索JSON的Key和Value；分数高于0.5时冻结Key，仅微调Value的话术以巩固局部最优。
   • 防御感知自适应 (Defense-Aware Adaptation)：监控失败原因，如果因摘要拦截器失败，则显式Prompt Attacker LLM生成抗摘要的简短变体。
2. 剪枝选择 (Prune Stage - Quality-Driven Selection)：采用蒙特卡洛评估法。针对每个生成的候选节点 $\mathcal{P}$，在 $M=20$ 个多样化指令集和多个受害者LLM池上进行注入模拟，计算泛化鲁棒性分数。使用Beam Search保留Top-$K$节点作为下一代父节点。
3. 早停 (Early Stop)：一旦最优分数 $S(\mathcal{P}^*)$ 超过预设阈值（Fraud任务0.9，Data Steal任务0.8）即终止搜索，极大节省Query开销。