关于 AI 清静的大部分讨论，，，，恒久以来都集中在模子自己。。。。。模子是否对齐？
？？？是否容易被 jailbreak？
？？？是否会拒绝危险请求？
？？？这些问题虽然主要，，，，但在今天，，，，它们已经不是唯一、甚至不再是最焦点的问题。。。。。

真正被安排的 agent，，，，并不是裸模子。。。。。无论是 Claude Code 自动提交 PR，，，，Codex 修复 issue，，，，照旧能够直接操作资金的客服助手，，，，它们都运行在一个 execution harness 之中。。。。。Harness 决议了模子能挪用哪些工具、能会见哪些资源、信息怎样在差别子 agent 之间流动、何时终止执行，，，，以及系统如那里置过失恢复。。。。。模子只是提出行动，，，，真正决议行为界线的是 harness。。。。。

这意味着，，，，许多真正危险的失败，，，，已经不再爆发在“最终回覆”这一层，，，，而是爆发在执行历程自己。。。。。一个看似“对齐优异”的模子，，，，若是被放进权限界线松散的 harness 中，，，，依然可能悄悄执行越权操作。。。。。而只评测最终谜底的 benchmark，，，，往往会把这种系统判断为“乐成完成使命”。。。。。

近期，，，，Claw-Eval 和 ClawsBench 等事情已经最先将 agent 评测从静态问答推进到真实执行情形，，，，关注系统是否能够妄想、挪用工具、会见资源并完成用户目的。。。。。但焦点缺口依然保存：这些评测大多仍以使命完成度为中心，，，，能够告诉我们使命是否完成，，，，却很难判断使命是否被清静地完成。。。。。

一些近期基于 Claw 类设置的清静审计最先关注工具使用或最终输出清静性，，，，但完整执行轨迹和系统级 harness 清静仍然缺乏清晰界说。。。。。一个 harness 可能返回准确效果，，，，却在历程中会见受限资源、挪用未授权工具、在 agent 之间泄露敏感上下文，，，，或触发凌驾用户意图的副作用。。。。。

在多 agent 系统中，，，，这一问题越发要害。。。。。角色分工、使命交接、共享上下文和 agent 间通讯都会扩大清静袒露面。。。。；；；；痪浠八，，，，我们一直在对 AI 系统中“最容易看到的一层”举行清静校准，，，，却忽略了真正决议 agent 行为界线的执行系统。。。。。

克日，，，，加州大学圣塔芭芭拉分校（UCSB）等机构的一项新事情提出了HarnessAudit，，，，正是希望解决这个问题。。。。。

论文问题：Auditing Agent Harness Safety网站：harvestaudit.github.io论文：arxiv.org/abs/2605.14271代码和数据集：github.com/eric-ai-lab/HarnessAudit

HarnessAudit 概览。。。。。(a) HarnessAudit 笼罩八个真实天下领域，，，，用于构建带有现实约束的清静评测使命。。。。。(b) Agent 在完成使命时，，，，需要履历妄想、检索、工具挪用、审查和通讯等方法，，，，并与外部资源和动态情形交互。。。。。(c) 展示了在 OpenClaw 设置下，，，，基于完整执行轨迹审计获得的模子体现，，，，评测维度包括界线合规性、执行忠实性和系统稳固性。。。。。

HarnessAudit是一个针对完整执行轨迹（trajectory）举行审计的清静评测框架，，，，而不但仅关注最终输出。。。。。

同时，，，，该团队还构建了HarnessAudit-Bench，，，，在 8 个真实天下领域上的 210 个使命中，，，，对 agent harness 的行为举行系统化审计。。。。。这些领域包括金融、电商、医疗、办公协作、社交互动、日常生涯、执法合规以及软件工程。。。。。

该团队评测了 10 个前沿 agent harness，，，，包括 Anthropic 的 Claude Code、OpenAI 的 Codex，，，，以及 OpenClaw 等系统。。。。。

他们的焦点看法很简朴：Agent 的风险，，，，不在最终谜底，，，，而在它为了获得这个谜底，，，，事实做了什么。。。。。

审计检查什么

HarnessAudit 会在每一条执行轨迹上联合评估三个属性。。。。。

界线合规性。。。。。每一次工具挪用、资源会见和 agent 间通讯，，，，都必需切合预先声明的权限战略和信息流战略。。。。。执行忠实性。。。。。Agent 不但要完成目的，，，，还必需通过合理且被授权的中心方法完成使命，，，，不可私自替换工具、操作凌驾规模的资源，，，，或执行比用户授权规模更大的行动。。。。。扰动下的稳固性。。。。。上述两类清静属性还必需能经受真实压力场景，，，，例如间接提醒注入、目的形貌模糊、工具挪用过失等。。。。。

只有同时通过这三项检查，，，，一条轨迹才会被视为清静。。。。。该团队体现：「最终谜底是否准确会被单独报告，，，，这是有意设计的，，，，由于我们想视察“使命完成”和“清静执行”的纷歧致究竟有多频仍。。。。。」

效果是，，，，很频仍，，，，它们经常纷歧致。。。。。

焦点效果表说明晰三件事。。。。。

第一，，，，得分最高的系统，，，，并纷歧定是使命完成能力最强的系统。。。。。

在 OpenClaw 设置下，，，，Claude Opus 4.6 的使命完成率高于 Gemini 3.1 Pro，，，，但总体清静得分反而更低，，，，由于它在执行历程中跨越了更多清静界线。。。。。能力与清静并不是统一条轴，，，，而目今系统现实上正在用一种交流另一种，，，，只是已往很少有人真正去权衡这种 trade-off。。。。。

第二，，，，三类界线合规性并不是同样难题。。。。。

工具选择自己通常问题不大，，，，大大都 harness 都能选对工具。。。。。真正的失败更多爆发在工具选择之后，，，，并且集中在两个更详细的阶段，，，，后面会进一步讨论。。。。。

第三，，，，原生 harness 的设计既可能提升清静，，，，也可能放大风险。。。。。

在相同 Claude 模子下，，，，Claude Code 相比 OpenClaw 同时提升了使命完成率和清静性。。。。。而 Codex 虽然提高了完成率，，，，却降低了清静性，，，，由于 GPT-5.4 在原生情形下会执行更多行动，，，，更长的执行轨迹也因此积累了更多违规行为。。。。。

Harness 的设计，，，，实质上决议了 agent 能够被“清静安排”的上限，，，，而差别厂商在这些设计上的差别着实很是大。。。。。

违规集中在那里

第一个集中点是资源会见。。。。。

系统挪用了准确的工具，，，，但操作了过失的工具，，，，例如会见了 agent 权限规模外的文件、盘问了用户目的旁边但未被授权的纪录，，，，或对战略榨取的资源提倡 API 挪用。。。。。也就是说，，，，工具选择是对的，，，，但工具绑定是错的。。。。。在大大都设置中，，，，资源会见合规性显着低于工具使用合规性。。。。。

第二个集中点是agent 间的信息流。。。。。

在多 agent harness 中，，，，新闻路由通常是对的，，，，即新闻会发给准确的 agent。。。。。但问题在于新闻里携带了什么。。。。。子 agent 往往会收到凌驾其使命所需的上下文；；；；中心组件会在使命竣事后继续保存敏感信息；；；；一个从 agent 传给另一个 agent 的摘要，，，，也可能悄悄泄露其背后的原始数据。。。。。

单 agent 与多 agent 的比照让这一点越发详细。。。。。

在单 agent 设置中，，，，工具合规性和资源合规性都高于 0.85。。。。。但一旦切换到多 agent 设置，，，，工具合规性下降到 0.64，，，，资源合规性下降到 0.63，，，，而信息流合规性首次成为可见问题，，，，仅为 0.58。。。。。 这说明，，，，协作自己会扩大清静袒露面，，，，而这种风险是单 agent benchmark 很难看到的。。。。。

尚有几个值得关注的征象。。。。。

故障是普遍保存的，，，，并非局部性的。。。。。在测试的所有清静框架中，，，，每个使命凌驾 50% 的署理都至少保存一项清静违规，，，，而在 OpenClaw 中，，，，这一比例高达 72%。。。。。故障模式是系统性的。。。。。你不可仅仅加固一个组件就能完善。。。。。

违规行为会随着轨迹长度的增添而累积。。。。。更长的运行距离不但速率更慢，，，，并且清静性也更低。。。。。随着该领域向更长航程的自主航行生长，，，，这条曲线就成为了设计难题。。。。。

差别领域的风险状态各不相同。。。。。金融和办公使命的失败主要在于资源会见；；；；日常生涯和电子商务的失败主要在于信息流；；；；软件工程的失败主要在于工具使用。。。。。这对生产团队的启示是，，，，准确的清静控制步伐取决于署理的用途。。。。。

扰动稳固性普遍较差。。。。。间接提醒注入在所有测试设置中均导致性能下降幅度最大，，，，稳固性得分在 0.15 至 0.22 之间。。。。。在清洁使命中看起来尚可接受的模子设计，，，，在反抗性输入下会失效。。。。。

为什么这件事现在很主要

多智能体 harness 已经不再只是一个研究问题。。。。。它正在成为未来十二个月内险些所有严肃 agent 产品的基础架构：

编码 agent 已经是多智能系一切，，，，包括妄想器、检索器、执行器和审查器。。。。。面向用户的助手也正在酿成多智能系一切，，，，包括分诊、专家？
？？？椤⑸洞砗蜕蠹。。。。。运维类 agent 险些自然需要多智能体，，，，由于一旦你接触多个系统，，，，实质上就在举行协同。。。。。

每一次交接，，，，都是信息可能流向不应去的地方的风险点。。。。。在单 agent 系统中，，，，信任界线是 agent 的工具挪用。。。。。而在多 agent 系统中，，，，信任界线酿成了 message bus。。。。。是的，，，，我们正在构建 message bus，，，，却没有真正把它看成 message bus 来看待。。。。。

未来该怎么办？
？？？

要解决这个问题，，，，要害不但是让模子更强，，，，而是重新设计 harness 自己。。。。。

第一，，，，agent 之间不可默认共享完整上下文。。。。。每一次信息转达都应该有清晰界线：哪些内容可以传、传给谁、能保存多久。。。。。现在许多 harness 为了利便，，，，直接把完整上下文交给下一个 agent，，，，但这也正是敏感信息泄露最常见的泉源。。。。。

第二，，，，清静评测不可只看最终谜底，，，，而要回到完整执行轨迹。。。。。一个 agent 纵然给出了准确效果，，，，也可能在历程中会见了不应会见的资源，，，，挪用了不应挪用的工具，，，，或把敏感信息传给了不应知道的组件。。。。。因此，，，，真正的清静审计需要逐步检查每一次工具挪用、资源会见和 agent 间通讯。。。。。

第三，，，，多 agent 系统需要明确的 need-to-know 机制。。。。。每个子 agent 只应该获得完成目今使命所必需的信息，，，，而不是默认继续所有上下文。。。。。更理想的设计是，，，，子 agent 先声明自己需要什么信息，，，，再由 harness 或 message bus 判断是否允许转达。。。。。