RedAct：手続き的スキル保護のためのエージェント能力トレースの秘匿化

要旨

ユーザーはエージェントの動作観察、障害診断、説明責任の確保のために実行トレースに依存している。これらのトレースは、ツール呼び出し、中間判断、エラー回復ロジックなど、豊富な手続き的詳細を含んでいる。しかし、この詳細はプライベートな手続きスキルを露呈し、ダウンストリーム手法がモデル重みやスキルファイルにアクセスすることなく、主要な数式、閾値、戦略を復元することを可能にする。このリスクを定量化し、保護策を評価するため、我々は7つのドメインにわたる75の特殊な長期的タスクと154の厳選されたスキルからなるベンチマークCapTraceBenchを構築した。さらに、保護されたキー情報を特定し、検証に不可欠な証拠を保持しつつトレースを書き換え、ダウンストリームの来歴分析のための行動透かしを埋め込む、保護トレース公開フレームワークRedAct（https://github.com/XuShuwenn/RedAct）を導入する。代表的なトレース再利用手法において、RedActは生トレース上の正規化スキル転送率（NST）を44.7～67.1％からスキルなしベースライン以下に低減し、監査証拠を保持する。その単独の行動透かしは、最大1.9％の誤警報率で93.6～100.0％の真陽性検出率を達成する。これらの結果は、公開エージェントトレースをセキュリティインターフェースとして位置づけ、選択的編集が監査証拠を除去することなく手続き的能力の漏洩を低減できることを示している。

English

Users rely on execution traces to observe agent behavior, diagnose failures, and ensure accountability. These traces contain rich procedural detail, including tool invocations, intermediate decisions, and error-recovery logic. Yet this detail can expose private procedural skills, allowing downstream methods to recover key formulas, thresholds, and strategies without access to model weights or skill files. To quantify this risk and evaluate protection, we construct CapTraceBench, a benchmark of 75 specialized long-horizon tasks and 154 curated skills across seven domains. We also introduce RedAct https://github.com/XuShuwenn/RedAct, a protected trace release framework that localizes protected key information, rewrites traces while preserving verifier-critical evidence, and embeds behavioral watermarks for downstream provenance analysis. Across representative trace reuse methods, RedAct reduces normalized skill transfer (NST) from 44.7--67.1\% on raw traces to below the no-skill baseline, while preserving audit evidence. Its standalone behavioral watermarks reach 93.6--100.0\% true detection with a false alarm rate of at most 1.9\%. These results frame public agent traces as security interfaces and show that selective redaction can reduce procedural capability leakage without removing audit evidence.