RedAct: Eliminación de rastros de capacidades de agentes para la protección de habilidades procedimentales

Resumen

Los usuarios dependen de las trazas de ejecución para observar el comportamiento del agente, diagnosticar fallos y garantizar la rendición de cuentas. Estas trazas contienen detalles procedimentales ricos, incluyendo invocaciones de herramientas, decisiones intermedias y lógica de recuperación de errores. Sin embargo, este detalle puede exponer habilidades procedimentales privadas, permitiendo que métodos posteriores recuperen fórmulas clave, umbrales y estrategias sin acceso a los pesos del modelo o archivos de habilidades. Para cuantificar este riesgo y evaluar la protección, construimos CapTraceBench, un punto de referencia de 75 tareas especializadas de horizonte largo y 154 habilidades seleccionadas en siete dominios. También presentamos RedAct https://github.com/XuShuwenn/RedAct, un marco de publicación de trazas protegidas que localiza información clave protegida, reescribe trazas preservando evidencia crítica para el verificador e incorpora marcas de agua de comportamiento para análisis de procedencia posteriores. En métodos representativos de reutilización de trazas, RedAct reduce la transferencia normalizada de habilidades (NST) del 44,7–67,1% en trazas sin procesar a un valor por debajo de la línea base sin habilidades, mientras preserva la evidencia de auditoría. Sus marcas de agua de comportamiento independientes alcanzan una detección verdadera del 93,6–100,0% con una tasa de falsas alarmas de como máximo el 1,9%. Estos resultados enmarcan las trazas públicas de agentes como interfaces de seguridad y muestran que la redacción selectiva puede reducir la fuga de capacidad procedimental sin eliminar la evidencia de auditoría.

English

Users rely on execution traces to observe agent behavior, diagnose failures, and ensure accountability. These traces contain rich procedural detail, including tool invocations, intermediate decisions, and error-recovery logic. Yet this detail can expose private procedural skills, allowing downstream methods to recover key formulas, thresholds, and strategies without access to model weights or skill files. To quantify this risk and evaluate protection, we construct CapTraceBench, a benchmark of 75 specialized long-horizon tasks and 154 curated skills across seven domains. We also introduce RedAct https://github.com/XuShuwenn/RedAct, a protected trace release framework that localizes protected key information, rewrites traces while preserving verifier-critical evidence, and embeds behavioral watermarks for downstream provenance analysis. Across representative trace reuse methods, RedAct reduces normalized skill transfer (NST) from 44.7--67.1\% on raw traces to below the no-skill baseline, while preserving audit evidence. Its standalone behavioral watermarks reach 93.6--100.0\% true detection with a false alarm rate of at most 1.9\%. These results frame public agent traces as security interfaces and show that selective redaction can reduce procedural capability leakage without removing audit evidence.