ORACLE: Antecipando Golpes a partir de Trajetórias Parciais no Uso de Aplicativos de Streaming

Resumo

Golpes em smartphones são cada vez mais prevalentes e tipicamente se manifestam como processos multiestágio e entre aplicativos, com intenções que emergem gradualmente. Assim, uma intervenção eficaz requer antecipar os golpes antes que a intenção se torne explícita. Isso é inerentemente desafiador, pois as decisões devem se basear em trajetórias parciais com evidências distribuídas temporalmente. Neste artigo, propomos o ORACLE (Online Reasoning for Anticipating Cross-temporal Latent thrEats), o primeiro arcabouço agentivo para antecipação precoce de golpes a partir de trajetórias de uso de aplicativos em fluxo contínuo. Para apoiar esse cenário, curamos um benchmark real de horizonte longo composto por trajetórias de uso de aplicativos em fluxo contínuo, cobrindo 12 tipos de golpes, abrangendo períodos estendidos (média de 15 dias), envolvendo diversos aplicativos (95 apps) e intercalando comportamentos normais e fraudulentos. Para lidar com evidências fragmentadas, introduzimos um gerenciador de contexto autoevolutivo que consolida adaptativamente interações centradas em entidades ao longo do tempo, permitindo uma reconstrução mais eficaz de evidências transtemporais a partir de observações parciais. Para aumentar a sensibilidade a sinais latentes em estágios iniciais, propomos um esquema de autodestilação on-policy no qual um modelo professor, condicionado a reflexões e pistas antigolpe resumidas por habilidades, supervisiona um modelo aluno sem acesso a tais reflexões. Esse esquema, portanto, destila conhecimento informado por evidências e melhora o reconhecimento de padrões emergentes de fraude a partir de trajetórias parciais. Experimentos mostram que o ORACLE melhora consistentemente a antecipação precoce de golpes, gerando alertas oportunos e reduzindo falsos alarmes em cenários realistas de fluxo contínuo.

English

Smartphone scams are increasingly prevalent and typically manifest as multi-stage, cross-application processes with gradually emerging intent. Effective intervention thus requires anticipating scams before the intent becomes explicit. This is inherently challenging, as decisions must rely on partial trajectories with temporally distributed evidence. In this paper, we propose ORACLE Online Reasoning for Anticipating Cross-temporal Latent thrEats, the first agentic framework for early scam anticipation from streaming app-usage trajectories. To support this setting, we curate a real-world long-horizon benchmark of streaming app-usage trajectories, covering 12 scam types, spanning extended periods (15 days on average), involving diverse applications (95 apps), and interleaving normal and scam behaviors. To address fragmented evidence, we introduce a self-evolving context manager that adaptively consolidates entity-centric interactions over time, enabling more effective reconstruction of cross-temporal evidence from partial observations. To enhance sensitivity to latent early-stage signals, we propose an on-policy self-distillation scheme in which a teacher model, conditioned on summarized anti-scam reflections and clues by skills, supervises a student model without access to such reflections. This scheme thereby distills evidence-informed knowledge and improves recognition of emerging fraud patterns from partial trajectories. Experiments show that consistently improves early scam anticipation, yielding timely warnings while reducing false alerts in realistic streaming scenarios.