RAM 論文閱讀分析：很多 autonomous system 真正缺的，不是再多一份 attestation，而是先承認自己其實沒看夠

本文由 AI 產生、整理與撰寫。

論文基本資訊

• 論文標題：Reconstructive Authority Model: Runtime Execution Validity Under Partial Observability
• 作者：Marcelo Fernandez
• 年份：2026
• 來源：arXiv:2604.22898
• 論文連結：https://arxiv.org/abs/2604.22898
• DOI：10.48550/arXiv.2604.22898
• 主題：Agent Governance、Runtime Security、Partial Observability、Attestation、Privilege Narrowing、Execution Validity

這篇 paper 最值得看的地方，不是它又替 attestation、TEE 或 signed state proof 多補一層名詞，而是它直接把一個很多 autonomous system 其實一直在偷渡的假設拆穿：你能證明「看到的狀態沒有被竄改」，不代表你就真的「看夠了，可以安全執行」。

這個差別聽起來很像語意遊戲，但其實不是。很多高自主系統真正危險的地方，不是 measurement integrity 壞掉，而是決策所需的世界狀態本來就只看到了半套。如果系統還是硬做，那麼「有驗證過的局部真相」就可能照樣把它送進錯誤執行。

作者提出的 Reconstructive Authority Model（RAM），核心就是把這個問題正面制度化：先別只問量到的東西真不真，而要問現在量到的這些東西，到底夠不夠支撐這個動作。

這篇論文在解什麼問題？

作者處理的核心問題可以濃縮成一句話：

在 partial observability 條件下，系統怎麼判斷自己現在是否真的有足夠的世界狀態，可以合法又安全地執行某個高後果行動？

現有很多治理機制——像 TEE、oracle-signed state proofs、cryptographic attestation——主要處理的是完整性（integrity）：

• 這份 state projection 是不是可信來源給的？
• 這段 computation 有沒有被篡改？
• 這個 measurement 有沒有經過 attestation？

但作者認為，這一整套只回答了「你看到的東西可不可信」，沒有回答「你看到的東西夠不夠做這件事」。

而高自主 agent、跨系統 orchestration、鏈上 / 鏈下混合流程、需要外部 oracle 的 execution，其實都很常卡在第二題。你可以完全信任一個不完整的觀測，然後做出完全錯的執行。

這篇最重要的切分：Integrity 不等於 Coverage

我覺得整篇最重要的貢獻，就是把很多系統混在一起講的東西硬拆成兩層：

• Integrity：你拿到的 state / measurement / projection 有沒有被竄改、是否來自可信來源。
• Coverage：這些 state / measurement / projection 對當前 action class 來說，是否足夠覆蓋必要決策條件。

作者的意思不是 integrity 不重要；相反地，integrity 是必要條件，但不是充分條件。

白話講就是：

你可以很誠實地量錯重點，也可以很精準地只看到半個世界。

這個 framing 很值得 agent / runtime security 圈認真吞下去。因為很多防線現在都還停在「把輸入、測量、證明鎖好」，但系統之所以會失手，常常不是因為看到了假的世界，而是因為它把一個殘缺但真的世界當成了完整世界。

RAM 怎麼做？核心是 reconstruction gate 與 coverage envelope

RAM 的設計核心是兩個概念。

1. Coverage envelope

作者把可用決策基礎拆成三部分：

• Proven state：目前可以被證明、被量測、被 attested 的部分
• Declared assumptions：系統明確承認現在是靠哪些假設在補空缺
• Unobservable residual：還有哪一塊其實看不到，而且就是看不到

我很喜歡它把第三項明講出來。很多系統真正危險的地方，就是把 residual 當成不存在。RAM 則要求你把它攤在桌上：不是說你一定要把不可觀測消掉，而是你不能假裝它沒有。

2. Reconstruction gate

有了 coverage envelope 之後，RAM 再加上一層 reconstruction gate，去判斷：

• 對某個 action class 來說，現有 coverage 是否足夠？
• 如果不夠，應該是拒絕執行，還是縮權執行？
• 哪些高風險動作需要更高 coverage 門檻？

也就是說，RAM 不只做「看見多少」的判斷，而是把它直接接到權限縮減與 fail-closed 執行政策。

這很像把 runtime governance 從「只看 rule / policy / attestation」往前推一步，變成：

這次不是你有沒有通過完整性驗證，而是你目前對世界的理解深度，配不配得上你想做的事。

這篇最值得記的一句話：Attestation 證明量測可信，RAM 證明量測夠不夠

作者自己有一句很準的總結，我直接翻成白話：

• Attestation 證明你可以信任 measurement
• RAM 證明這些 measurement 對執行來說是否充分

這個補位其實很漂亮。因為它沒有否定 attestation，而是把 attestation 從「最後答案」降回「底層 building block」。

這也讓整篇 paper 比較不像單純唱反調，而像是在補一個長期被忽略的治理盲區：測得真，不等於測得夠。

形式化主張在講什麼？

這篇有一部分在做 formalization，提出：

• Attestation insufficiency theorem
• RAM necessity theorem
• 以及對應的 corollaries

就算你不細讀定理，整體意思也不難抓：

1. 只靠 integrity-based attestation，無法保證 execution validity。
2. 若環境本質上存在 partial observability，就需要顯式處理 coverage adequacy 的機制。

這套說法的野心其實不小。它不是在提一個 patch，而是想把execution validity 從既有的 integrity discourse 裡獨立拉出來，變成另一條同等重要的治理軸。

實驗結果告訴我們什麼？

作者用 synthetic experiment（N=100,000, seed=42）比較 RAM 與純 attestation-based 系統，結果大意如下：

• RAM：在各 coverage level 下都維持 zero invalid execution rate
• Attestation-based baseline：低 coverage 時 invalid execution rate 約 0.423
• 即便 full coverage 設定下：baseline 仍有約 0.233 的 invalid execution rate

這裡最有意思的，不是 0.423 這個數字有多高，而是作者指出：即使 coverage 看起來已經「滿」，系統還是會因為 undefined-state handling 失手，而這件事不是 integrity check 能抓到的。

也就是說，問題不只在「你量得不夠」，還在「你怎麼面對那些仍未被定義清楚的缺口」。RAM 的價值，在於它把這些缺口正式放進決策流程，而不是讓它們在實作邊角默默被預設值吞掉。

這篇對 agent / runtime security 最有價值的地方在哪？

我覺得這篇雖然沒有直接寫「LLM agent」幾個字當主角，但它對 agentic system 很有啟發，尤其是下面幾條。

1. 它補的是「觀測充分性」而不是「模型誠實性」

現在很多 agent 安全 paper 都在處理 prompt injection、policy enforcement、tool mediation、memory poisoning。這些都重要，但它們大多預設：只要系統看見的東西夠乾淨，就可以決定。

RAM 提醒的是另一種結構性風險：即使沒有髒資料，系統也可能因為看不夠而不該做決定。

這對 computer-use agent、cross-domain orchestration、需要外部世界同步狀態的 agent 特別重要。很多事故不是因為 agent 被騙，而是因為 agent 在資訊殘缺時還被允許繼續自信執行。

2. 它把 privilege narrowing 講成一個 coverage 問題

這點我很認同。很多 least privilege 設計現在還是偏靜態：某工具能不能用、某 API 能不能打、某資源能不能碰。

RAM 的做法比較動態：不是你永遠能不能做，而是以你此刻對世界的可見度，你現在能做到哪一級。

這比單純 role-based 授權更接近真實高自主系統的風險結構。

3. 它很適合接到 high-consequence action gating

像這類 framework 很適合放在：

• 資金移轉或鏈上交易執行前
• 基礎設施控制指令下發前
• incident response 自動封鎖 / 刪除 / 隔離前
• 跨系統 delegated execution 前

因為這些地方真正需要的，不只是證明 command 來源乾淨，而是證明此刻決策依據已足夠，不是在半盲狀態下亂按。

這篇論文的限制在哪？

1. 實驗是 synthetic，離真實複雜 runtime 還有距離

這篇目前比較像理論框架加模擬驗證。它有清楚的概念價值，但還沒展示在真實大型 agent runtime、真實 orchestration platform、真實 CPS / blockchain / multi-agent workflow 上落地後會怎麼長。

2. Coverage adequacy 怎麼定，實務上會很難

RAM 的精神我很買單，但實作時最難的一題其實是：不同 action class 的 coverage threshold 誰來定？怎麼定？定錯怎麼辦？

如果門檻太高，系統可能癱瘓；太低，又只是把原本的盲點換個名詞保留下來。這是後續工程化一定會碰到的硬題。

3. 作者脈絡偏治理與形式化，不是 end-to-end product paper

如果你期待的是一套現成可部署的開源 runtime guardrail，這篇不會直接給你。它比較像是在 architecture / governance 層先立一個原則：execution validity 應該被獨立治理。

為什麼這篇值得 sectools.tw 讀者看？

因為它在講一個很常被低估，但其實越來越重要的問題：

很多 autonomous system 真正先出事的，不是因為它看到假的世界，而是它只看到半個世界，卻還被允許做完整的事。

如果你平常關心的是：

• agent runtime governance
• tool-use / computer-use agent 風險
• TEE、attestation、可信執行但仍可能失手的邊界
• 高後果自動化決策的 fail-closed 設計
• least privilege 與 dynamic authorization

那這篇很值得讀。因為它不是再加一層 buzzword，而是把一個很底層的治理盲區挖出來：可驗證，不代表可執行；可執行，也不代表現在就該執行。

總結

Reconstructive Authority Model 這篇論文真正補到的，不是另一種 attestation 包裝，而是把 runtime execution validity 從 integrity discourse 裡獨立拉出來，改問一個更尖銳也更實際的問題：你現在手上這些觀測，到底夠不夠讓你安全做這件事？

如果要用一句話記這篇，我會寫成：

很多 autonomous system 真正缺的，不是再多一份 attestation，而是先承認「量到的都是真的」和「真的已經量夠了」根本是兩件事。

這也是我覺得它最值得讀的地方：它不是在問系統有沒有被騙，而是在問系統是不是在半盲狀態下還以為自己看得很清楚。