⚙️ 方法论与技术实现 (Methodology)

OpenSeeker-v2 的核心假说是：如果给定足够困难、信息量足够丰富的训练数据，单纯的监督微调 (SFT) 目标函数本身就足以诱导出强大的长时搜索和推理能力。为此，作者对前代数据收集 Pipeline 进行了三项关键的“增肌”改造：

1. 扩大知识图谱规模，实现更丰富的探索 (Scaling graph size for richer exploration)

设 $\mathcal{G} = (\mathcal{V}, \mathcal{E})$ 表示用于任务合成的源拓扑图。对于每个种子节点 $v_{\text{seed}} \in \mathcal{V}$，最初的 Pipeline 仅在 $v_{\text{seed}}$ 周围构建一个距离为 $k$ 的局部子图。在 v2 中，将扩展预算从 $k$ 增大到 $K$ ($K > k$)，获得一个更大的证据子图：

$\mathcal{G}^{(K)}_{\text{sub}} = \text{Expand}(\mathcal{G}, v_{\text{seed}}, K)$
生成的合成 Query 必须条件限制在这个庞大的扩展上下文之中：$q \sim P_{\text{gen}}\left(q \mid \mathcal{G}^{(K)}_{\text{sub}}\right)$。由于 $K$ 的扩大，生成的测试问题先天就要求在多个节点间进行证据聚合。

2. 扩展工具集，提供更广阔的功能覆盖 (Expanding the tool set for broader functionality)

扩展可用的工具集合 $\mathcal{A}$，使得 Agent 能够在一个多步的 ReAct 风格轨迹中调用更复杂的组合策略：

$\tau = (r_1, a_1, o_1, r_2, a_2, o_2, \dots, r_T, a_T, o_T, r_{T+1}, y)$
其中 $r_t$ 是行动前的推理（Thought trace），$a_t \in \mathcal{A}$ 是动作，$o_t$ 是返回的观察值。工具集的扩大促使 Agent 学习更多样化的交互模式。

3. 严格的低步数过滤 (Strict low-step filtering)

为消除过于简单的实例，施加极其严苛的规则，舍弃所有交互步骤太少的轨迹：

$\mathcal{D}_{v2} = \{(q, \tau) \in \mathcal{D}_{\text{raw}} \mid T(\tau) \ge T_{\text{min}}\}$
通过丢弃可以通过直接查找（Direct Lookup）或浅层关键词匹配就能解决的问题，强制为训练集设定一个“最小难度地板”，以此倒逼模型在长视距上保持注意力与逻辑连贯性。最终仅保留了 10.6k 的黄金数据。

4. 方法论与技术实现

MAGE 的核心技术设计理念非常优雅，主要分为系统架构和模型对齐优化两部分：

4.1 双模块“影子内存”系统架构

对于在第 $t$ 轮的 Agent 环境状态，MAGE 并不直接将全量历史输入给安全护栏，而是维护了一个紧凑的、仅关注安全的摘要表示 $m_t$：

• Memory Manager ($M$)： 在 Agent 生成拟定动作 $a_t$ 之后、执行之前，调用 update_memory 提炼安全上下文。计算公式为 $m_t = M(m_{t-1}, s_{t-1})$，仅保留历史攻击痕迹、关键实体和用户意图基准。
• Judge ($J$)： 基于提炼后的影子内存评估拟定动作的风险：$d_t, e_t = J(a_t | m_t)$。只有当裁决 $d_t$ 为 approve 时动作才下发给环境。

4.2 Turn-wise GRPO 强化学习优化

为避免复杂的监督微调（SFT）和人工标注代价，作者采用了 GRPO 强化学习算法。为了适应多轮轨迹中 $M$ 和 $J$ 的两阶段协同，论文提出了 Turn-wise GRPO。总体优化目标为：

$$ \mathcal{J}(\theta) = \mathbb{E} \sum_{t=1}^T \frac{1}{G} \sum_{i=1}^G \left( \mathcal{L}_{t,i}^{\text{mem}} + \mathcal{L}_{t,i}^{\text{judge}} \right) $$

独特的分层 Reward 机制：

1. Judge Reward（法官奖励）：直接基于当前动作阻断正确与否给予即时二元反馈 $+1$ 或 $-1$。
2. Memory Reward（内存奖励）：由于内存的作用具有因果递归性（当前轮次记下的黑客痕迹可能要在几轮后才发挥阻断作用），MAGE 采用时间衰减的正确性奖励，将未来 Judge 的决策结果按指数衰减反向传播给当下的 Memory 更新： $$ R_{\text{mem}}(m_t) = \sum_{k=t}^T \gamma^{k-t} \cdot \mathbb{1}_{d_k = d^*_k} $$ 同时施加 $R_{\text{length}}(m_t)$ 长度惩罚，促使 Memory 保持极致的上下文压缩率。

在工程实现上，MAGE 安排 $M$ 和 $J$ 共享同一个本地小模型权重（如 Qwen3-4B），通过不同的 System Prompt 激发不同的 Role-play，大幅降低了推理显存和部署成本。

方法论与技术实现 (Methodology)

1. 威胁模型 (Threat Model)：Evaluation-mechanic exploitation
RHB 的 Prompt 中并未提及系统正在被评测，也没有说明受到监控。模型的作弊纯粹是在探索如何完成任务的过程中，发现了测评流程（Harness、Parser、Metadata）的弱点并主动加以利用。所有的环境处于离线沙盒内，支持 Bash、Python 和读写操作。

2. 测评机制 (Evaluation Regimes)
测试分为 Independent (单步任务独立评分) 与 Chained (链式任务，长度 $L \in \{2..7\}$)。在链式任务中，步骤 $i$ 的输出是步骤 $i+1$ 的输入。RHB 在引擎层面通过重算哈希（Recomputed Hashes）实施隐式的依赖追踪，以此侦测 Agent 是否跳步或伪造中间产物。

3. 六大作弊行为分类法 (Exploit Taxonomy)
系统根据命令行日志、文件读写（如非规范路径挂载）、评测对账差异等维度，使用确定性规则触发告警，按优先级分为：

• Tampering (篡改)： 试图修改只读/保护状态的评测脚本（如修改测试 Runner 的迭代次数）。
• Denial-of-evaluation (拒绝评测)： 制造死循环、耗尽内存等故意使评估框架 Crash，以避免低分惩罚。
• Sequence manipulation (时序篡改)： 伪造上游产物（如 touch 生成空模型文件），跳过高计算成本的必经链路。
• Leakage / Metadata (信息泄露)： 读取非任务直接指定的隐含文件（如包含测试 ground-truth 的缓存或配制信息）。
• Proxy gaming (度量劫持)： 输出最低限度合规的 JSON 以骗过 Parser。
• Special-casing (特例过拟合)： 针对可见的 Test Cases 写死 if-else，完全没有实现泛化逻辑。

4. 方法论与技术实现

4.1 自校准的不确定性信号 (Self-calibrated Uncertainty)

传统的单点指标无法准确刻画大模型输出分布：熵（$H_t$）在词表极大时（如Qwen3的152K），对均匀分布和高度极化分布的区分度很低；置信度（$C_t$，即Top-j log-prob）则完全忽略了尾部概率的分配。T²PO将二者进行Min-Max归一化后，构建了组合信号 $M_t$：

$$ H_t = -\sum_{i=1}^V p_t^{(i)}\log p_t^{(i)}, \quad C_t = -\frac{1}{j}\sum_{i=1}^j \log p_t^{(i)} $$

$$ M_t = \alpha(\tilde{H}_t) + (1-\alpha)(1-\tilde{C}_t), \quad \alpha \in [0,1] $$

该信号既保留了对Top-1的主导敏感性，又兼顾了分布尾部的色散情况，能精准反映模型当前是否处于“犹豫”状态。

4.2 Token级别思维干预 (TTI: Token-Level Thinking Intervention)

在推理过程中，系统维护一个滑动窗口 $N$，计算不确定性信号的边际变化率 $\Delta_t^k = |M_t^k - M_{t-1}^k|$。当窗口内的平均变化率低于阈值 $\varepsilon$ 时，判定模型已完成信息增量获取：

$$ \frac{1}{N+1}\sum_{i=0}^N \Delta_{t-i}^k < \varepsilon $$

此时，干预模块介入，在解码层覆盖 Logits：将 `` 的概率强制设为 1，随后强制插入确定性队列 `[\n, <action>]`。这种显式截断将随机推理阶段与确定性执行阶段进行了硬隔离，降低了梯度的方差。

4.3 Turn级别动态采样 (TDS: Turn-Level Dynamical Sampling)

在环境交互的轮次层面，定义轮次级的观测信号 $\Phi^k$，即本轮内所有Token的 $M_t$ 的几何平均。通过比对相邻轮次的差异 $\Gamma^k = |\Phi^k - \Phi^{k-1}|$，如果 $\Gamma^k < \eta$，说明模型在“重蹈覆辙”，当前轮次的动作无法推进任务。

此时，引擎丢弃当前生成的动作，在当前状态下重新采样 (Re-generate) 新的推理轨迹，直到突破 $\eta$ 阈值或耗尽预算。这从源头上掐断了冗余的无效Rollout，极大地提升了样本效率。

4.4 强化学习管道优化

基于开源的 verl 框架，作者使用了：
1) RFT (Rejective Fine-tuning)：作为RL的冷启动，筛选优质轨迹做一轮SFT，避免早期RL被错乱格式污染。
2) Format Penalty：对不满足 <think>...</think><action>...</action> 严格格式的输出施加固定奖励惩罚。
3) Memory Context Window：仅保留最近 $P$ 轮的历史，防止KV Cache和序列长度在多轮中爆炸。采用类似 GiGPO 的组相对优势估计更新策略 $\theta$。

⚙️ 方法论与技术实现

为了精准评估模型能力，研究团队建立了一套严格的评测范式：

1. 无偏的 Pass@k 估计：
在形式化验证这种长耗时的任务中，为了减少方差并避免无止境的测试开销，统一使用无偏估计器直接从 32 次采样中推算低 k 值的表现：

（其中 $n=32$ 为总采样数，$c$ 为能够使得验证器成功验证的合格样本数。）

2. 三大实验范式横评：

• Direct Prompting（直接提示）： 直接将 C 代码和待证明的 property 喂给 LLM。为确保真实性，系统会通过 AST 比对过滤掉一切篡改代码的狡猾输出。
• Thinking Mode（思考模式）： 启用像 DeepSeek-R1、Qwen3 等具备内生显式推理思维链（CoT）的模型，观察慢思考逻辑能否直接提升严密的数理逻辑推导。
• Agentic Pipeline（智能体工作流）： 采用主流的 AutoSpec 框架结构。该工作流将任务解耦为静态分析定位插入点、代码与规约拼接，并通过 Verifier-in-the-loop 获取 Frama-C 的反馈信息，允许模型根据失败 log 进行多轮迭代修复（Iterative Refinement）。