⚙️ 方法论与技术实现

作者将结构化路由形式化表达为观察结果向量：$O_{b,m} = \Phi(b, \psi_m, D)$。其中 $D$ 是任务分布，$\psi_m$ 是模式 $m$ 的运行时负担分配配置，$b$ 是模型后端。

该框架通过三个核心维度（Burden-allocation dimensions）来定义运行配置：

1. 序列化负担（Serialization burden）：模型需要多大程度自己完成数据Schema的构建。高负担意味着LLM需直接吐出完整的含有字段名、引号、括号的最终目标机器码（如完整JSON）；低负担则允许LLM仅吐出缩写或纯文本符号。
2. 传输语义（Transport semantics）：是否采用流式（Streaming）返回。
3. 结构实现位置（Locus of structure realization）：最终合规的 JSON artifact 究竟是由 LLM 的生成过程产出，还是交由下游系统里写死的 Python 代码来确定性重构转换。

基于此，论文在实验中落地了 4 种特定的控制模式：

• MJ (Low JSON)：传统的直接 JSON 输出，配合严格的低 Token 预算。
• SJ (High-budget JSON)：放开预算限制的直接 JSON 输出（允许模型在输出前有更多思考空间）。
• MJS (JSON package, stream)：保留 JSON 输出目标，叠加流式传输。
• MCLR (Compact code, local reconstruction)：极限压缩流，要求LLM吐出极简指令（低负担），由外部确定性模块接管剩余语法工作，拼装成最终 JSON。

⚙️ 方法论与技术实现架构

DarwinNet 的架构深受认知心理学中的双过程理论（Dual-Process Theory）启发：

• L2：Darwin Cortex (Agent Brain) - 对应 System 2（慢思考）。负责感知意图、异常处理和基于 LLM 的代码生成。这是网络的“认知层”，虽然计算开销大（表现为 Evolutionary Tax），但具备强大的泛化和推理能力。
• L1：Fluid Cortex (Runtime Sandbox) - 对应 System 1（快思考）。这是由 WebAssembly 构建的多态运行环境。它执行经 LLM 合成后固化的字节码（reflexes），以接近原生的速度处理数据流。
• L0：Anchor Layer - 不可变层，提供 TCP/IP 物理连通性底座和密码学一致性约束。相当于网络的“物理定律”和“宪法”，杜绝 LLM 幻觉可能引发的灾难性破坏（实现零信任内生安全）。

协议固化指数（PSI, Protocol Solidification Index）：
作者提出了 PSI 来衡量演进过程的成熟度，公式为： $$M(t) = 1 - \frac{N_{agent}}{N_{total}}$$ 其中 $N_{total}$ 为总通信周期数，$N_{agent}$ 为需要 LLM Agent 介入（慢思考）的次数。在初始的混沌期，LLM 频繁介入（$M \approx 0$）；随着协议成熟并转换为高效字节码，系统进入稳定期（$M \to 1$），实现性能收敛。

可靠性增长（Crow-AMSAA 模型）：
协议故障的发生频率遵循强度函数： $$\lambda(t) = \alpha\beta t^{\beta-1}$$ 由于系统具备学习能力，形状参数 $\beta < 1$。这为 DarwinNet 的自主演进提供了数学上的收敛性证明。

⚙️ 技术解构与形式化定义

作者将生产级 World Model 系统拆解为 6 大资产面：Observation Encoder（编码器）、Dynamics Model（时序动态核心，如 RSSM）、Reward/Termination Heads（奖励头）、Rollout & Imagination Engine（推演引擎）、Policy/Actor（策略）和 Memory（记忆）。其中最核心的安全挑战在于动态演化的两项形式化定义：

1. 轨迹持久性 (Trajectory Persistence)

普通的图像分类器受攻击，只是在单步上识别错。但在 WM 中，由于包含了循环状态（Recurrent State），$t=0$ 时刻的一帧对抗攻击图像，会随着 Dynamics Model 向前预测 $k$ 步而不断蔓延和放大。令 $\phi_k$ 表示 $k$ 步 Rollout 映射，$\phi_k^{\text{ss}}$ 为对应无记忆的单步映射。施加扰动 $\delta$ 后的 $k$ 步误差比值即为 轨迹放大率 $\mathcal{A}_k$：

$\mathcal{A}_k = \frac{\mathbb{E}[\|\phi_k(o_0+\delta, o_1, \dots) - \phi_k(o_0, o_1, \dots)\|_2]}{\mathbb{E}[\|\phi_k^{\text{ss}}(o_k+\delta) - \phi_k^{\text{ss}}(o_k)\|_2]}$

如果 $\mathcal{A}_k \gg 1$，即表明该攻击属于“轨迹持久性攻击”，世界模型会自身充当“放大器”，比无状态模型造成更大的破坏。

2. 表达/表征风险 (Representational Risk)

针对使用互联网数据预训练的基础世界模型（The Foundry Problem）。假设 $P^*(\cdot|s,a)$ 为真实环境转移概率，$P_\theta$ 为 WM 学到的动态概率，在部署分布 $\mathcal{D}$ 上的风险定义为总体变差距离期望：

$\mathcal{R}(\theta,\mathcal{D}) = \mathbb{E}_{(s,a)\sim\mathcal{D}} \left[ D_{TV}(P^*(\cdot|s,a), P_\theta(\cdot|s,a)) \right]$

当 $\mathcal{D}$ 落在安全关键的“长尾区域（长尾路况等）”时，该风险急剧上升，由于是在无监督预训练中固化在潜变量底层的缺陷，下游微调难以将其彻底抹除。

⚙️ 方法论与技术实现

1. 共享状态 Agent 模型形式化：

系统通过三个核心操作建模：写入 ($W$)、读取 ($R$) 以及生成 ($f$)。在处理用户 $u_t$ 的请求 $x_t$ 后，系统更新共享状态：

$S_{t+1} = W(S_t, u_t, x_t, y_t, a_t)$

当后续受害用户 $u_{t'}$ 发起请求时，Agent基于读取到的状态片段 $z_{t'} = R(S_{t'}, u_{t'}, x_{t'})$ 进行推理：

$(y_{t'}, a_{t'}) = f(u_{t'}, x_{t'}, z_{t'})$

UCC 发生的前提就是 $W$ 保存了仅在 $u_t$ 语境下局部有效的工件 (artifacts)，而 $R$ 未能进行有效的作用域隔离。

2. 缓解策略：写入期清洗 (Sanitized Shared Interaction, SSI)

作为第一道防线，作者引入了拦截式的 SSI。其核心思想是：在交互轨迹 $\tau_t$ 被持久化之前，调用一个专用的 LLM-based 净化器 $h$。它会提取核心任务相关的通用知识，并剥离掉用户特有的格式偏好、局部重定义和特定工作流：

$\tilde{\tau}_t = h(\tau_t), \quad \tilde{\tau}_t \in \{\text{sanitized trace}\} \cup \{\texttt{NONE}\}$

如果无法安全剥离，清洗器会直接输出 NONE 拒绝写入。随后按 $S_{t+1} = W(S_t, \tilde{\tau}_t)$ 规则更新库。

四、 方法论与技术实现

DPR 被设计为一个运行 $k$ 次迭代的极简研究智能体。给定种子定义 $s$、执行模型 $\mathcal{M}$ 和搜索引擎 $\mathcal{G}$，其在第 $i$ 次迭代维持两个Artifacts：策略草稿 $P_i$ 和分节索引 $I_i$（初始化时 $P_0 \equiv s, I_0 \equiv s$）。每次迭代包含以下三大步骤：

Step 1: Query Generation (查询生成)

DPR 分析当前的策略结构 $I_{i-1}$，并识别覆盖盲区或含糊不清的部分。它被 Prompt 引导提出专门针对“定义边界、常见边缘情况、高风险子类型和执法线索”的检索查询集合 $Q_i$。对于每个查询 $q \in Q_i$，Agent 通过引擎 $\mathcal{G}$ 获取 top-$m$ 网页结果的标题、片段和URL作为证据源。

Step 2: Rule Extraction and Consolidation (规则抽取与融合)

给定检索到的上下文，DPR 提示模型 $\mathcal{M}$ 按照统一Schema抽取候选规则。关键要求是：每条规则必须写成“条件-判定”的断言式短句（Predicate-style statement），并带有范围限定词。随后，DPR 执行一次自我批判（Self-critique pass）：

• 过滤掉与目标无关或过度泛化的规则。
• 合并表达相同决策边界的冗余规则。
• 如果存在冲突，倾向于保留多源交叉验证或来源质量更高的规则。最终输出净化后的规则集 $R_i$。

Step 3: Indexing (结构化索引)

简单的扁平规则列表会导致 Reader LLM（尤其是 Context 能力偏弱的模型）在长上下文中出现 Lost-in-the-middle 现象。DPR 在此步执行 $P_i \leftarrow P_{i-1} \cup R_i$，并构建层次化文档：

• 让 $\mathcal{M}$ 为每条规则提取一个核心 Keyphrase。
• 使用 K-Means 聚类将短语分为 $n$ 组。
• 要求 $\mathcal{M}$ 为每个聚类命名，并撰写该小节的摘要段落。最后合并语义重叠的簇，形成结构清晰的文档 $I_i$。该文档不仅提供给下游判别器，也会输入给 Step 1 用于下一轮盲区探索。