CAAF 論文閱讀分析：真正讓 Agent 在高風險場景裡變可靠的，不是多幾個 reviewer，而是把 harness 做成硬約束控制層

論文基本資訊

• 論文標題：Harness as an Asset: Enforcing Determinism via the Convergent AI Agent Framework (CAAF)
• 作者：Tianbao Zhang
• 年份：2026
• 來源：arXiv:2604.17025
• 論文連結：https://arxiv.org/abs/2604.17025
• DOI：10.48550/arXiv.2604.17025
• 主題：AI Agents、Deterministic Orchestration、Constraint Validation、Safety-Critical Systems、Harness Engineering、Runtime Control

這篇 CAAF 真正有意思的地方，不是它又做了一個多 agent framework，而是它把一件很多團隊其實早就隱約知道、卻很少真的正面處理的事講得非常直白：

在 safety-critical 場景裡，問題通常不是模型「偶爾答錯」，而是只要它有很低機率偷偷放過一個不該放過的 constraint violation，整個系統就已經不適合上線。

也因為這個前提，作者的重點根本不在「怎麼讓模型更聰明一點」，而在「怎麼把 agent harness 本身做成一個 deterministic 的控制層」。這個角度我覺得非常值得寫，因為它跟最近很多 agentic security、runtime governance、MCP／tool boundary 論文其實是在同一條脈絡上：真正該被工程化的，不是 prompt 花樣，而是模型外面那層負責拆解、驗證、鎖定、回饋與收斂的 execution harness。

這篇在解什麼問題？

作者把問題叫做 controllability gap。簡單說，就是 LLM 可以很會說、很像懂、很像有在遵守需求，但在涉及多重硬約束的場景裡，這種「看起來合理」其實遠遠不夠。因為：

• 模型會迎合需求而不是嚴守約束：它傾向產生完整答案，而不是老實承認「這組條件根本無解」。
• 長上下文會讓早先的安全條件被沖淡：constraint 寫在前面，不代表模型真的會一路記到最後。
• 自我修正可能只是來回擺盪：修掉 A constraint，卻又把 B constraint 弄壞，最後在反覆 correction 中震盪。

這種問題在一般聊天助理頂多是煩，在自駕、製藥流程設計、工控、甚至高風險基礎設施配置裡，就不是「答得醜不醜」的事，而是一個 latent violation 能不能被默默放進下游流程。

所以這篇 paper 的核心不是再疊一層 review agent，而是想把 agent workflow 從 open-loop generation，改造成 closed-loop、可驗證、可收斂的 fail-safe determinism。

CAAF 的三個核心支柱

作者把 CAAF 建在三個 pillar 上，我覺得這三塊拆得很準：

1. Recursive Atomic Decomposition（RAD）
   把問題拆成原子任務，並用實體化的 context firewall 把它們隔開。
2. Harness as an Asset + Unified Assertion Interface（UAI）
   把 domain invariant 寫成 machine-readable registry，然後用 deterministic assertion engine 去驗。
3. Structured Semantic Gradients + State Locking
   不是讓 agent 無限反省，而是給它結構化修正訊號，並鎖住已驗證狀態，逼它單調收斂。

這三塊其實各自對應三種常見失控來源：

• RAD 在解的是 context contamination
• UAI 在解的是 「看起來合理」但其實違反硬約束
• State Locking 在解的是 self-correction 反覆來回、越修越亂

我覺得這篇最重要的主張：不要把 harness 當 glue code，要把它當制度化資產

論文標題裡那句 Harness as an Asset，其實就是整篇最重要的一刀。

很多團隊做 agent 時，對 harness 的想像還停在：

• 幫模型接一下工具
• 包一下 prompt
• 加一點 orchestration
• 必要時補一層 checker

但 CAAF 的觀點不是這樣。它主張真正該被資產化的，是那些不可退讓的 domain invariant。也就是說，與其期待模型在每次任務裡「自己想起來」哪些規則不能破，不如把規則整理成機器可驗證的 registry，透過 UAI 每輪檢查。

這個想法很工程，也很資安：把信任從模型內部的語義理解，移到外部可審計、可重複、可機械驗證的 assertion boundary。

如果把它翻成 agentic security 的語言，就是：

不要把安全與一致性寄託在模型的「乖」；要把它落在 harness 的「硬」。

RAD 與 context firewall 為什麼重要？

CAAF 很強調把不同 constraint dimension 拆開，讓不同 executor 只看到自己該看的上下文。作者舉的概念很直白：如果某個節點在算物理安全邊界，它就不該同時看到成本壓力，不然模型很容易在語義上偷偷開始做 trade-off。

這點其實跟很多今天的 agent 問題完全對得上：

• 安全規則和商務目標混在同一個 context 裡
• 工具可用性、授權條件、時間壓力、成本偏好全部一起塞給同一個模型
• 最後模型不是「不知道規則」，而是被整體語境引導去合理化例外

所以這篇最值得記的不是它做了 DAG，而是它用 DAG + isolation 去建立 context firewall。這跟一般多 agent 論文只談角色分工不太一樣；它強調的是資訊邊界本身就是控制手段。

真正讓它和一般 multi-agent 不同的，是 UAI 不是 debate

這篇最漂亮的一個點，是它很明確地把功勞歸到 deterministic UAI，而不是「多 agent 比單 agent 厲害」。

根據摘要裡給的結果：

• CAAF-all-GPT-4o-mini：100% paradox detection
• Monolithic GPT-4o：0%
• Alternative multi-agent architectures（debate、sequential checking）：80 次 trial 全部 0%
• Mono+UAI ablation：95%

這組數字雖然看起來很戲劇化，但它真正要傳達的訊息很重要：可靠性不是因為 agent 變多了，而是因為驗證邊界變硬了。

也就是說，作者其實在反駁一種很流行但也很偷懶的想法：只要多做幾個 reviewer agent、debate agent、checker agent，系統就會自然變可靠。CAAF 的答案很殘酷——不會。沒有 deterministic assertion interface，多 agent 只是把 stochasticity 分散成更多份。

Structured Semantic Gradients + State Locking：它不是叫模型反省，而是叫模型沿著已驗證邊界收斂

很多 self-correction 系統最大的問題，是每一輪修正都像重新在霧裡摸路。CAAF 想處理的是這個：不要讓修正變成 unanchored random walk。

它的做法是：

• 把驗證後的結果鎖住，不要下一輪又把它改壞
• 把回饋做成結構化的 semantic gradient，而不是抽象地說「再想想」
• 讓整體行為朝 monotonic convergence 走，而不是在衝突條件間來回震盪

我覺得這點特別值得 agent builder 注意。因為現在很多產品都很愛講 reflective loop、self-healing、multi-pass refinement，但如果沒有 state locking 這類設計，這些 loop 很容易只是讓系統看起來比較努力，卻沒有保證它真的更接近可驗證正解。

實驗結果怎麼看？

作者拿兩個 domain 做驗證：

• SAE Level 3 自駕
• 製藥 continuous flow reactor design

而且第二個案例還特別強調有 7 個同時成立的 constraint、非線性 Arrhenius interaction，還有 3-way minimal unsatisfiable subset。換句話說，它不是只測「模型能不能答對」，而是在測系統能不能辨識結構性無解。

我認為這是這篇很值得肯定的地方。因為對高風險工程來說，真正需要的從來不是「盡量生出一個答案」，而是：

當條件互相衝突時，系統能不能可靠地說出：這裡不能做、這裡要升級處理、這裡需要 negotiation，而不是偷偷幫你放寬約束。

如果這點成立，那它的價值其實不只在自駕或製藥，而是在任何「輸出必須同時滿足一組可程式驗證約束」的場景：雲端配置、工控流程、金融限制、合規工作流，甚至高權限 agent tool execution。

我怎麼看這篇論文？

我認為 CAAF 最值得記住的，不是某個專有名詞，而是它把今天很多 agent 系統最該面對的現實說破：

當模型本身是機率性的，你不能再把整體可靠性設計成機率性的。

這句話很狠，但很準。你可以接受模型生成內容有風格差異、有探索性、有一些 heuristic；但你不能接受 constraint boundary、safety invariant、domain red line 也跟著一起變成「大部分時候沒事」。

所以這篇 paper 的真正價值，是把 agent engineering 從：

• prompt engineering
• multi-agent orchestration
• self-reflection loops

往前推到更成熟的問題定義：

• 哪些 invariant 要被顯式制度化？
• 哪些上下文必須被物理隔離？
• 哪些修正必須沿著可驗證狀態收斂？
• 哪些無解衝突應該被明確升級，而不是被語言模型偷偷圓過去？

如果你最近關心的主題是 agent harness、runtime control、MCP tool boundary、high-assurance audit、deterministic enforcement，那這篇其實非常值得看。它不只是說「再加幾個 guardrail」，而是在講：真正成熟的 agent 系統，應該把 harness 做成一個能承載 constraint、assertion、state lock 與 fail-safe convergence 的控制平面。

一句話總結

CAAF 最重要的提醒不是「多 agent 比單 agent 強」，而是：只要硬約束還停留在 prompt 裡而不是 harness 裡，系統的可靠性就永遠只是語氣上的可靠，不是工程上的可靠。

---

本文由 AI 產生、整理與撰寫。