CBCL 論文閱讀分析：當 Agent 開始彼此教對方怎麼說話，真正該先守住的可能是整個通訊語言的複雜度邊界

論文基本資訊

• 論文標題：CBCL: Safe Self-Extending Agent Communication
• 作者：Hugo O’Connor
• 年份：2026
• 來源：arXiv:2604.14512
• 論文連結：https://arxiv.org/abs/2604.14512
• 主題：Agentic Security、Agent Communication、Protocol Security、LangSec、Formal Verification、MCP Adjacent Risk

如果最近這波 sectools.tw 的主線，已經一路從 prompt injection、tool poisoning、runtime governance、privilege boundary 寫到「agent 到底該怎麼被約束」，那這篇 CBCL 很值得補進來，因為它往更底層切了一刀：當 agent 不只會收訊息，而是還能在執行途中自己擴充彼此溝通的語言時，安全問題其實會從 prompt/content 層，直接往 protocol design 層下沉。

我覺得這篇最有意思的地方，不是它又發明一套 agent message format，而是它把一個常被忽略、但其實很危險的問題講清楚了：如果 agent communication protocol 可以任意自我延伸，最後你要驗證的就不再只是某條訊息，而是整個會持續變形的語言本身。 一旦這個語言的可表達能力超出可 tractable 驗證的範圍，parser、validator、runtime policy 就很容易一起失守。

這篇論文在處理什麼核心問題？

作者的出發點很 LangSec，也很資安。傳統 ACL（agent communication language）像 KQML、FIPA-ACL 雖然不完美，但至少核心語法相對明確；而新一代 agent 系統越來越常直接拿自然語言、自由 JSON schema，甚至像 MCP 這類可擴充協議當溝通基底。這樣做的好處是靈活，但代價也很明顯：

• agent 間的 message interpretation complexity 會一路往上長
• runtime extension 很容易把 parser / validator 推到不可完整驗證的區間
• dialect、tool metadata、schema 擴充最後都可能變成新的 attack surface
• 你以為自己在傳資料，實際上可能是在傳一個能改變行為邊界的微型語言擴充包

所以這篇真正想回答的是：

能不能設計一種 agent communication language，讓 agent 仍然可以在 runtime 定義、交換、採用新的 domain-specific dialect，但整體語言仍被壓在可驗證、可解析、可形式化保證的範圍內？

作者的核心答案：把可擴充性鎖在 DCFL 裡

CBCL（Common Business Communication Language）最核心的主張非常清楚：所有訊息，包含 runtime language extension 本身，都必須被限制在 deterministic context-free language（DCFL）這個 complexity class 裡。

這個選擇很關鍵。作者不是隨便挑一個 formal language 名詞來撐場面，而是在 argument 上非常一致：

• regular language 太弱，表達不了 agent message 常見的巢狀結構
• 一般 context-free language 雖然更強，但 ambiguity 與 parser differential 風險上升
• context-sensitive 以上 就更不適合做完整輸入驗證，成本與可判定性都開始變醜
• DCFL 則剛好卡在一個很實用的位置：足以表達巢狀訊息，又還保有 deterministic parsing 與 tractable validation

白話講，作者是在做一件很資安的事：不是先讓 agent 什麼都能說，再想辦法補 guardrail；而是一開始就限制 agent 彼此到底能用多複雜的語言互相影響。

CBCL 最值得記住的設計：self-extension 不是外掛，而是同語言內的第一級對象

這篇最漂亮的點，在於它把 dialect definition 本身也做成合法的 CBCL 訊息。也就是說，agent 可以：

• 定義新的 dialect
• 把 dialect 傳給其他 agent
• 讓對方驗證後安裝
• 再用那個 dialect 傳後續訊息

而且整件事都用同一套 parsing machinery 處理，不需要額外再長一套「extension parser」。這種設計作者稱為 homoiconic self-extension：語言擴充與普通訊息共享同一種表示法。

這個設計的意義很大。因為很多系統真正危險的地方，不是主協議本身，而是 extension mechanism 偷偷另外開了一條旁路。CBCL 的做法剛好相反：擴充可以有，但擴充本身也必須接受同等級的語法與安全約束。

三條 safety invariants，才是這篇的真正骨架

CBCL 之所以沒有把 self-extension 做成一顆漂亮但危險的炸彈，靠的是三條 safety invariants：

• R1：No Recursion —— dialect template 不允許直接或互相遞迴，避免無界展開
• R2：Resource Bounds —— 每個 dialect 都要宣告靜態資源限制，例如最大巢狀深度、最大 expansion size、最大 verification time
• R3：Core Preservation —— 八個 core performatives 不能被 dialect 重新定義，保住 protocol bootstrap invariants

這三條規則看起來很樸素，但其實非常重要。因為它們實際上對應的是三種最常見、也最容易在 agent runtime 被忽略的風險：

• 語言擴充失控，開始長出奇怪的執行能力
• 資源消耗型攻擊，把 parser / verifier / runtime 拖垮
• 連最核心的 communicative acts 都能被重寫，導致 trust anchor 消失

換句話說，CBCL 真正想防的，不只是 malformed input，而是協議在自我演化時逐漸滑出可治理範圍。

為什麼這題和今天的 agent security 很有關？

我認為這篇 paper 最值得 sectools.tw 讀者吸收的，不是它的形式語言細節，而是它點出一個很現代的安全命題：

當 agent ecosystem 開始大量依賴 protocol-mediated coordination 時，安全邊界不能只畫在 prompt、tool call 或 sandbox 上，還要畫在「agent 彼此怎麼定義彼此能說什麼」這一層。

這跟近幾篇 MCP、skill、runtime governance 的主線其實是連起來的。MCP 讓工具能力以協議形式暴露；skill 讓能力封裝成可安裝單位；multi-agent system 讓 authority 開始沿著 delegation chain 傳播。到了這一步，communication protocol 本身就不再只是資料管道，而是 control plane 的一部分。

CBCL 的價值，就在於它不再假設「溝通層只是中性載體」。它直接承認：message language 會影響 attack surface，extension mechanism 會影響可驗證性，而可驗證性本身就是安全屬性。

作者怎麼證明這不只是概念玩具？

這篇不是單純 position paper。作者做了幾件很實在的事：

• 用 Lean 4 形式化語言與 safety properties
• machine-check parser correctness、constraint verification、pipeline totality、DCFL preservation
• 用 Rust 做 reference implementation，包括 parser 與 dialect engine
• 補了 property-based tests、differential tests，還抽出 verified parser binary

論文中提到的 formalization 規模也不算小：大約 5,400 行 Lean、176 個 machine-checked theorems。這不是說它因此就變成 production-ready silver bullet，而是說作者真的有把「安全性來自可證明邊界」這句話往前做，而不是只停在 architecture diagram。

我覺得這篇最有洞見的一句話是：oversight 的前提，是先限制 agent 到底能彼此表達什麼

很多 agent security paper 都在問：

• 怎麼檢測 injection？
• 怎麼驗證 action？
• 怎麼做 least privilege？
• 怎麼保留 audit trail？

這些都重要。但 CBCL 往前補了一個更底層的問題：如果 agent communication language 自己就能無界成長，那你後面所有監控、驗證、審批機制，都是在一個不穩的地基上疊系統。

所以這篇真正有價值的不是「提出一套新格式」本身，而是把設計哲學講明白：

Self-extending agents 若沒有 language-theoretic boundary，最終會把溝通能力偷渡成不可預期的計算能力。

如果我是防守方，會從這篇帶走什麼？

• 第一，agent-to-agent protocol 不該被當成普通 integration glue，而要被視為安全關鍵控制面。
• 第二，runtime extensibility 不是原罪，但 extension mechanism 必須先有 complexity bound、resource bound、core invariant。
• 第三，不要把自然語言彈性誤當成 interoperability；對安全系統來說，過度自由的語言常常只是把 validation 問題往後拖。
• 第四，formal verification 不一定能保證整個 agent system 安全，但它至少能讓某一層邊界不再只是希望工程。

這篇論文的限制也要講清楚

當然，CBCL 不是萬靈丹。它保護的是parser / message-language / dialect-extension 這一層，不是整個 agent stack。也就是說，就算 communication layer 被壓在 DCFL 裡，你仍然可能在別處出事：

• tool backend 本身有危險能力
• agent 上層 policy 出錯
• 語意層的誤解仍然可能存在
• 人類把不該信的 dialect 還是批准安裝了

所以比較準確的理解是：CBCL 不是替 agent security 全包，而是替 communication substrate 補上一條過去常常缺席的形式邊界。

總結

CBCL: Safe Self-Extending Agent Communication 這篇論文最重要的貢獻，不是告訴你 agent 可以彼此傳更多訊息，而是提醒你：當 agent 開始彼此教對方怎麼說話，語言本身就變成安全邊界的一部分。

如果把它濃縮成一句話，我會這樣寫：

很多 agent system 真正缺的，不只是更好的 guardrail，而是一條先把 communication complexity 壓住的 protocol boundary；否則 agent 間的自我擴充，很可能先把 oversight 本身變得不可驗證。