Command Palette
Search for a command to run...
始终在线智能体:大语言模型智能体的持久记忆、状态与治理综述
始终在线智能体:大语言模型智能体的持久记忆、状态与治理综述
Tianyu Ding Aditya Nannapaneni Bingfan Liu Ling Zhang
摘要
始终在线智能体是指其未来行为依赖于早期交互中积累的持久状态的系统。我们将其视为持久状态系统:操作系统不仅包含可检索的记忆,还涵盖任务账本、权限、凭证、承诺、溯源与审计记录、共享状态、触发条件以及与这些记录相关联的外部提交效果。本综述通过六个诊断轴(每个状态项的权限、范围、可变性、溯源、可恢复性和可操作性)以及一个生命周期(状态被写入、验证、组织、检索、依据行动、更新、遗忘、审计,有时回滚)来梳理文献。在包含435项工作的编码语料库(视为范围地图而非详尽普查)中,文献更集中于状态的积累和检索,而非治理、恢复或放弃状态。因此,我们引入了始终在线评估协议(AOEP-v0),这是一个试点评估合约,通过评分状态变更和恢复义务而非仅评估答案质量,使这些治理要求具体化。由此产生的议程将始终在线智能体与数据库、分布式系统、形式化方法、能力安全以及机器遗忘等领域相连接。
一句话总结
作者们提出一项综述,把始终在线的 LLM agent 视为持久状态系统,引入六条诊断轴线——authority(权限)、scope(作用域)、mutability(可变性)、provenance(出处)、recoverability(可恢复性)和 actionability(可行动性),以及一个贯穿写入、验证、组织、检索、行动、更新、遗忘、审计与回滚的状态生命周期,然后推出始终在线评估协议(AOEP-v0),对状态变更与恢复义务进行评分,把治理要求具体化为可操作指标,由此将研究议程连接到数据库、分布式系统、形式方法、能力安全与机器遗忘等领域。
核心贡献
- 综述了 435 篇文献,将始终在线 agent 的状态操作按六条诊断轴线(authority, scope, mutability, provenance, recoverability, actionability)和状态生命周期进行编码,揭示出文献更集中于状态的积累与检索,而非状态的治理、恢复或放弃。
- 提出始终在线评估协议(AOEP-v0),这是一份评估合约,评分标准是状态变更与恢复的义务,而不是答案质量,从而把评估转向具体的治理要求。
- 一个整合研究议程把治理缺口与数据库、分布式系统、形式方法、能力安全和机器遗忘联系起来,提出一个统一的持久状态治理层,将当前分散的各条轴线和不变式组合起来。
引言
作者们关注从 episodic LLM agent(每次任务后重置)到始终在线 agent 的本质转变,后者跨多次会话持续积累并依赖持久状态。这种持久性使个性化和长期学习成为可能,但也带来了新的风险:过时、被污染或未授权的记录可能悄悄地授权有害行为,因为适用于单次任务 agent 的安全推理不再有效。以往关于 agent 记忆的研究主要集中在积累和检索上,将记忆视为被动存储,忽略了持久状态所要求的治理维度,例如 authority、scope、provenance、recoverability 以及回滚错误决策的能力。作者们重新将始终在线 agent 框架为需要生命周期治理的持久状态系统,定义了任意安全系统都必须维护的六条状态轴线和五项不变式,并通过编码 435 篇文献的语料库,量化了对检索的偏重和对治理的忽视。其主要贡献正是这种以治理为中心的分类法,以及一个试点评估协议,后者的评分对象是状态变更和恢复,而非仅仅是答案质量。
数据集
论文调研了超过一百个数据集、基准和结构化记忆基底,覆盖十个应用领域,以诊断它们如何处理 agent 持久状态。作者们并未引入新数据集;相反,他们重用已发表的资源,对记忆类型和治理轴线进行分类。
下面的数据集描述按与始终在线 agent 最相关的维度对调研资源分组:构成、来源、处理规则以及该论文如何利用它们暴露治理缺口。
-
语义事实与个性化基准 来源:人造用户交互、众包用户画像和长程对话日志。 关键子集:
-
PersonaMem 在多次交互中跟踪不断演化的用户画像,并对当前用户画像的召回进行评分。
-
PrefEval 测试模型是否能在长上下文中遵循一个声明的事实或偏好。
-
LaMP 提供用户画像条件生成的早期基线。
-
CarMem 将语义事实限定到声明性类别,并采用定时去重和矛盾剪枝。
-
DynamicMem 用多条衰减时间线对属性和偏好漂移进行建模,避免单一衰减率。
-
MemProbe 通过审计交互后记忆中的隐藏用户状态来重新框定评估,而不是关注下游任务是否成功。 论文如何使用它们:用以展示语义事实过时、矛盾以及 authority 混淆等失效模式,并论证单纯召回基准无法覆盖 authority 撤回。
-
时序推理与结构化知识图谱基准 来源:随时间演化的维基百科、人造图谱、流式文档输入和对话日志。 关键子集:
-
TimeQA 从维基百科构建带时间戳的答案,询问不同时间点的知识。
-
StreamingQA 衡量记忆库是否能跟上随时间到达的知识,模拟新闻流。
-
FreshQA 按答案变化速度对问题分类,并包含错误前提的干扰项。
-
ChroKnowBench 按领域和年份将演化知识与恒定知识分区。
-
时序探测套件(TempReason、TimeBench、MenatQA、Test of Time、TimeR4)分别聚焦作用域、顺序、反事实和纯时序推理。
-
Chronos(带时间戳事件)、APEX-MEM(时序属性图)和 Engram(同时具有有效时间和事务时间的双时态知识图谱)等基底将时间变为一等字段。 论文如何使用它们:展示结构化存储能表达 provenance 和有效性,而向量存储做不到,并指出在并发访问和 authority 下的状态变更缺口。
-
网页与计算机使用 agent 环境 来源:自宿主网页副本、真实操作系统、Android 模拟器和企业 SaaS 平台。 关键子集:
-
WebArena:可复现的网页环境,具有逼真的站点;每次任务后重置,没有持久身份。
-
OS-World:在真实操作系统中进行开放式计算机控制,以屏幕截图作为输入,键盘/鼠标作为输出。
-
AndroidWorld:在真实 Android 设备上,通过程序化任务读取、修改和拆除真实系统状态。
-
BrowserGym、WorkArena、TheAgentCompany 等扩展到企业工作流和模拟办公场所。
-
iOSWorld:原生 iOS 模拟器,在二十六个应用中均维持持久用户身份,许多任务依赖于正确携带该身份。
-
记忆扩展(Agent Workflow Memory、ReasoningBank、WebAtlas、OS-Copilot 的 FRIDAY 等)构建外部可检索记录,以便跨重置携带状态。 论文如何使用它们:批评大多数基准评分的是任务成功而不是回滚或恢复;网页领域为 actionability 提供了强力基底,但为回滚可追溯性提供的基底却很薄弱。
-
医疗领域基准 来源:模拟患者记录、纵向临床对话和电子健康记录(EHR)交互。 关键子集:
-
AgentClinic:开创性的临床 agent 基准,具有跨病例留存的笔记本记忆。
-
MedAgentBench:EHR agent 基准,包含不可逆地写入患者记录的工具调用。
-
ClinEnv:将 LLM 作为主治医生,在一次入院内依次经历有序且不可逆的决策阶段。
-
MediLongChat、ESMemEval、PsychEval:测试对纵向患者历史的回忆与推理。
-
TheraMind:明确的跨会话写入—检索—更新生命周期,用于治疗关系。
-
MedMemoryBench:针对始终在线记忆并正式定义记忆饱和失效模式。
-
VitalTrace:紧凑的持久患者状态记忆,具有生理门控更新。
-
双流临床记忆系统将自我报告的记录与权威的 FHIR 记录分开,并运行协调引擎。 论文如何使用它们:表明医疗领域强加了同意、删除和可审计性等法律义务;没有一个临床基准测试删除操作是否传播到派生层级。
-
金融、法律与网络安全基准 来源:历史市场数据、交易模拟、受策略约束的金融对话语料以及法律程序文本。 关键子集:
-
FinMem:与决策时间尺度对齐的分层记忆,用于交易。
-
FinAgent、FinCon:多样化的记忆检索与自我批评,用于更新持久投资信念。
-
InvestorBench:面向配备记忆的金融决策 agent 的标准化基准,跨多种产品。
-
τ-Banking:金融科技客户支持领域,约 700 条策略/规程约束。
-
RetailBench:千天量级的零售库存模拟,错误会在其中累加。
-
KTD-Fin:将预训练时记住的市场数据与真正实时检索到的当前状态区分开。
-
LegalWorld:以数万份成对判决为基础,将中国民事诉讼构建为相互连接的五阶段状态链。
-
SimCourt、民事法庭多 agent 模拟,带有角色约束状态和法条检索。 论文如何使用它们:论证没有一个基准测试在授权证据失效后对交易、文书提交或授信进行回滚;不可否认性缺口会阻碍部署。
-
教育与辅导基准 来源:学习者交互轨迹、知识追踪模型和模拟辅导会话。 关键子集:
-
TutorLLM:使用知识追踪模型作为持久学习者状态基底,以条件化辅导行为。
-
TASA:将事件记忆与知识追踪中的遗忘曲线耦合,有意识地衰减旧技能。
-
DeepTutor、AgentTutor、PsychAgent:具有组织/检索操作与参数化巩固的动态学习者记忆。 论文如何使用它们:强调没有一个教育基准在写入边界进行验证评分,也没有对错误的掌握程度更新进行回滚;学习者状态缺乏类似 FERPA 的治理。
-
环境、可穿戴与物联网基准 来源:第一人称视频流、智能家居传感器数据和模拟购物界面。 关键子集:
-
EgoLife:300 小时、六位参与者、为期一周的 AI 眼镜数据集,配有 EgoLifeQA 用于回忆与习惯监测。
-
TeleEgo:14 小时以上的同步流式多模态数据;评估记忆持久时间和实时准确率。
-
LifeDialBench:一年模拟范围加上七天的真实 EgoMem,在在线时序因果约束下评估。
-
ContextAgent-Bench:将历史用户画像与传感器数据融合,预测主动服务需求。
-
Memento:可穿戴 AR 助手,主动将匹配的兴趣重新浮现。
-
PersonalHomeBench、IoTGPT、AirAgent:持续演化的家庭状态,带有主动设备控制和偏好复用。
-
购物伴侣基准:跨会话的偏好,涉及 120 万件商品,隔离偏好幻觉的级联效应。 论文如何使用它们:指出主动性校准和隐私保护问题尖锐且缺乏治理;没有一个环境基准测试在 lifelog 的派生层级中完整删除数据。
-
科学发现 agent 记忆(具有持久状态的系统,而非打包的数据集) 来源:研究活动的内部模拟。 关键细节:
-
DeepScientist 维护一个基于贝叶斯探索-利用的累积分层 Findings Memory;发现经过验证、提升,且从不删除。
-
EvoScientist 将构思记忆和实验记忆分开,将失败方向作为一等持久写入记录下来。 论文如何使用它们:观察到累积记忆会放大有益效果与损害;两个系统都没有对被提升的发现被污染后的撤销传播进行评分。
论文使用这一综述将每个资源映射到四条治理轴线:authority、provenance、mutability 和 recoverability。结果表明,几乎所有的基准衡量的是召回或任务成功,但没有一个验证删除传播、authority 撤回或副作用回滚——这正是持久 agent 记忆领域的核心缺口。
方法
作者们提出了一个综合框架,用于分析和治理“始终在线 agent”,即那些根据跨会话积累的持久状态来调节行动的系统。为了使这一框架可操作,他们沿着六条诊断轴线刻画持久状态:authority、scope、mutability、provenance、recoverability 和 actionability。这些轴线构成了评估状态转换如何被管理的分析主干。
其方法论的核心是持久状态生命周期,它建模状态在 agent 中的迁移过程。如下图所示,该生命周期被分为两个不同的弧段。
前向弧包含积累和使用状态的操作:观察、写入、验证、组织、检索和行动。这个弧段承载着从环境到行动的信号,重点关注可塑性和吸收新信息的能力。相反,回向弧由更新、遗忘、审计和回滚构成。它在行动后果已知后激活,使状态与现实协调,并通过确保原有承诺保持完整且可逆来强化稳定性。作者们指出,尽管现有文献对前向弧进行了大量研究,但回向弧仍然非常稀少,其中回滚机制尤其如此。
为确保这些状态转换的合法性,作者们定义了生命周期循环必须维护的五项不变式。这些不变式锚定在生命周期的特定阶段。权限单调性(Authority monotonicity)规定,记录只有在当前未被撤销的 authority 下才能影响某个行动,主要在验证和行动阶段执行。作用域不扩张(Scope non-expansion)确保任何状态转换不会悄悄扩大状态项的作用域,约束组织与检索阶段。删除传播(Deletion propagation)要求对某记录的 tombstoning 操作必须抵达所有派生副本,由遗忘阶段管控。出处保持(Provenance preservation)要求合并操作保留足够的谱系,以便后续验证和修正结果,适用于组织与更新阶段。最后,回滚可追溯性(Rollback traceability)确保每个行动都带有指向其赖以成立的记录的句柄,该句柄在行动阶段建立并在回滚阶段消耗。
这些不变式在不同研究领域和分类结构中的分布显示了当前文献中的显著缺口。
如上图所示,最依赖于回向弧的不变式,特别是删除传播和回滚可追溯性,在编码语料库中拥有的阶段机会最少。这一结构性倾斜凸显出,当前系统虽然善于积累和检索状态,却严重缺乏安全更新、移除、说明或逆转状态所必需的治理机制,一旦状态被证明会产生后果。作者们认为,填补这一回向弧缺口是将记忆增强型 agent 转变为真正受管控的持久状态系统的关键所在。
实验
评估调研了现有记忆基准,发现它们将六类始终在线压力源分散在不同类别中,导致恢复、隐私和 authority 等治理属性未被衡量。始终在线评估协议(AOEP)的试点实验让七个记忆系统经受多种故障模式测试,这些故障模式要求使用权限纪元、删除账本和冲突记录,结果显示系统能通过召回义务测试,但在治理义务上失败,原因是缺少所需的结构化元数据。更大的模型并不能缩小这一差距,表明失败源自表示层面的缺陷而不仅是检索薄弱。这些发现启示出生命周期完整的评估,以及将 authority、provenance 和回滚原语集成到持久记忆存储中的必要性。
始终在线 agent 跨任务片段保留持久状态,要求对所持久化的内容、状态的迁移方式以及控制者进行治理。研究发现,大部分持久记忆由系统静默创建,用户几乎不能掌握 authority,当前评估也始终停留在表层。缺少跨表层且端到端执行隐私与删除策略的基准,导致无法测试删除传播和作用域不扩张等关键不变式。在一次真实用户审计中,96% 的持久记忆条目为系统生成,将 authority 从用户转移给 agent。尽管访谈研究表明用户希望进行审查、编辑和删除,但他们仍缺乏控制记忆的细粒度界面。没有一个基准能在同一套隐私策略下,让 agent 经历检索存储、工具 API、长期记忆和 agent 间通道全部四种表层。删除一个源事实并不会级联移除派生的摘要或嵌入,从而使敏感信息仍然暴露在外。
该语料库通过一个准入流程构建:起始于 97 篇种子文献,随后引入主流的记忆和评估文献,接着有针对性地超采样治理、回滚和 authority 主题,以捕获稀疏但关键的回向弧。这种倾斜确保了观测到的治理模式在查询框架中表现为一个强信号,而非领域普查结果;最后一轮饱和度检查仅新增 2 篇文献,确认了对核心记忆前沿的全面覆盖。第 3 至第 10 轮通过定向的治理、回滚、authority、删除和系统梳理添加了 171 篇文献,有目的地超额采样了综述预期将发现的稀疏回向弧。第 11 轮对主流 agent 记忆词汇进行最终饱和度检查,仅得到 2 篇额外文献,表明在准入规则下核心文献已被穷尽覆盖。
编码语料库显示出显著的偏斜:大量研究集中在写入和检索等早期生命周期阶段,而回滚等后续阶段则研究少得多。authority 是最罕见的轴线,凸显了整个领域普遍聚焦于状态的创建和访问,而忽略了治理和删除。子领域分布也强化了这一模式,状态基底与表示占据主导,而多 agent、评估和治理的规模相对较小。写入(200 篇)和检索(269 篇)主导了生命周期覆盖,而回滚仅出现在 27 篇文献中。authority 是被编码最少的轴线,435 篇中仅有 72 篇涉及。状态基底与表示是最大的子领域(117 篇),数量是其次大子领域的两倍以上。尽管治理整体包含 53 篇文献,但 authority 数量如此之低,表明即便是治理研究也优先关注了其他方面而绕过 authority。语料库中没有一个基准在单一隐私和 authority 策略下让 agent 经历所有表层,从而留下了显著的评估缺口。
以往关于 agent 记忆与安全的工作将持久性、authority 和删除视为相互分离的表层局部问题。本综述通过将持久状态定义为一等单元,并将 recoverability 和 authority 作为诊断轴线,把它们统一起来。它指出存在一种缺失的跨表层评估合约,该合约旨在测试已删除或已撤销的数据是否真的从所有记忆表层中消失——当前基准并没有验证这一点。移除一个源事实并不会自动清除其下游的摘要和派生事实,因此过时信息可能继续存在于各记忆表层。绝大多数持久记忆条目由系统静默创建,这赋予了 agent 对于记忆内容的实质 authority,并限制了用户控制。
该表格将始终在线 agent 与五个相邻系统类别进行对比,表明核心区别不在于信息是否持久,而在于系统是否治理由 agent 拥有的持久状态:哪些保留的信号会变成权威性的,以及它们如何被修正、作用域限定、撤销或回滚。Episodic agent、长上下文模型和 RAG 系统完全缺乏持久状态治理,而记忆增强型 agent 和个性化助手仅部分管理状态,关键的治理操作仍然隐式存在。Episodic agent 在任务之间重置,并且绝不会基于过去片段来授权行动,通过遗忘一切实现了空治理。记忆增强型 agent 提供跨会话的读写能力,但缺少明确的 authority、删除传播和回滚,使得状态治理隐式存在。
综述揭示出,始终在线 agent 严重依赖系统生成的持久记忆,导致用户几乎没有 authority 来审查或删除存储的信息。研究和基准压倒性地聚焦于写入和检索操作,而回滚、删除传播和用户 authority 则处于极端研究不足的状态。现有评估中没有一项能在统一的隐私和治理策略下遍历所有记忆表层,这意味着被删除的事实往往在派生的摘要或嵌入中继续残留。这项工作将持久状态框定为可被治理的单元,并提出跨表层的 recoverability 和 authority 作为不可或缺的诊断轴线,强调了迫切需要能够检验真实、级联删除和用户控制记忆的基准。