RedAct: Redação de Rastros de Capacidade de Agentes para Proteção de Habilidades Processuais

Resumo

Os utilizadores dependem de rastros de execução para observar o comportamento de agentes, diagnosticar falhas e garantir responsabilidade. Esses rastros contêm detalhes processuais ricos, incluindo invocações de ferramentas, decisões intermédias e lógica de recuperação de erros. No entanto, esse detalhe pode expor habilidades processuais privadas, permitindo que métodos downstream recuperem fórmulas, limiares e estratégias fundamentais sem acesso a pesos de modelo ou arquivos de habilidades. Para quantificar esse risco e avaliar a proteção, construímos o CapTraceBench, um benchmark de 75 tarefas especializadas de horizonte longo e 154 habilidades selecionadas em sete domínios. Também apresentamos o RedAct (https://github.com/XuShuwenn/RedAct), uma estrutura de divulgação protegida de rastros que localiza informações protegidas fundamentais, reescreve rastros preservando evidências críticas para o verificador e incorpora marcas-d'água comportamentais para análise downstream de proveniência. Em métodos representativos de reutilização de rastros, o RedAct reduz a transferência normalizada de habilidades (TNH) de 44,7–67,1% em rastros brutos para abaixo do valor de referência sem habilidades, preservando ao mesmo tempo as evidências de auditoria. Suas marcas-d'água comportamentais independentes atingem 93,6–100,0% de deteção verdadeira, com uma taxa de falso alarme de no máximo 1,9%. Esses resultados enquadram os rastros públicos de agentes como interfaces de segurança e mostram que a redação seletiva pode reduzir a fuga de capacidade processual sem remover evidências de auditoria.

English

Users rely on execution traces to observe agent behavior, diagnose failures, and ensure accountability. These traces contain rich procedural detail, including tool invocations, intermediate decisions, and error-recovery logic. Yet this detail can expose private procedural skills, allowing downstream methods to recover key formulas, thresholds, and strategies without access to model weights or skill files. To quantify this risk and evaluate protection, we construct CapTraceBench, a benchmark of 75 specialized long-horizon tasks and 154 curated skills across seven domains. We also introduce RedAct https://github.com/XuShuwenn/RedAct, a protected trace release framework that localizes protected key information, rewrites traces while preserving verifier-critical evidence, and embeds behavioral watermarks for downstream provenance analysis. Across representative trace reuse methods, RedAct reduces normalized skill transfer (NST) from 44.7--67.1\% on raw traces to below the no-skill baseline, while preserving audit evidence. Its standalone behavioral watermarks reach 93.6--100.0\% true detection with a false alarm rate of at most 1.9\%. These results frame public agent traces as security interfaces and show that selective redaction can reduce procedural capability leakage without removing audit evidence.