# 饱和陷阱与干预时机的主观性：为何基于情感的触发机制和LLM评判者无法为自主Agent确定干预时机 ## 摘要 随着自主AI Agent系统承担越来越复杂的长周期任务，一个核心的设计挑战随之浮现：*何时*进行人工干预。本文探讨了两种流行的干预触发方法——基于情感的触发机制（如检测Agent的"沮丧"或"不确定性"）和LLM评判者（即由AI评估何时需要人工介入）——并论证二者在实际部署中均存在根本性缺陷。我们提出了"饱和陷阱"这一概念，描述了一种特定的失效模式：Agent在高度确定性状态下持续执行错误路径，从而抑制了情感触发机制的激活。我们进一步探讨了LLM评判者如何继承其底层模型对干预必要性判断上的主观性偏差。最后，我们提出了几条可能更具鲁棒性的替代路径，包括确定性契约检查与结构化认知基准。 --- ## 1. 引言 自主Agent系统——能够跨多个步骤规划并执行行动的系统——在实际应用中已愈发普遍。无论是代码生成Pipeline、研究摘要工具，还是多步骤工作流自动化，Agent系统的能力已远超单轮问答的范畴。 随着此类系统承担更高风险的任务，如何判断需要人工干预也变得日益关键。过早干预会破坏自主性，带来额外的人力成本，并使自动化的初衷大打折扣；干预过晚则可能导致代价高昂的错误、数据损坏，乃至危险操作的发生。 因此，业界诞生了若干自动化干预时机判断方法： 1. **基于情感/状态的触发机制**：监测Agent内部状态（如不确定性、沮丧程度、置信度下降）以触发干预 2. **LLM评判者**：利用独立的语言模型判断当前Agent的行为是否需要人工介入 3. **基于规则的触发机制**：当预定义条件满足时触发干预（如超时、错误计数等） 4. **人工监督**：定期或持续的人工检查 本文重点分析前两种方法的局限性，并揭示其各自隐藏的失效模式。 --- ## 2. 基于情感的触发机制 ### 2.1 基本原理 部分Agent框架通过监测类似情感的指标来判断何时需要人工介入。这些指标通常包括： - **不确定性信号**：如困惑度、标记概率或置信度分数的下降 - **沮丧代理指标**：重复行为、负面自我评估语言，或在相似动作间循环切换 - **重新规划频率**：Agent改变策略的频率 - **求助行为**：Agent明确表达需要更多信息的请求 其背后逻辑具有直觉上的吸引力：当Agent感到挣扎时，它会表现出可量化的痛苦信号，而这些信号可作为干预触发器。 ### 2.2 饱和陷阱 然而，这套逻辑存在一个关键盲点，我们将其称为**饱和陷阱**。 **饱和陷阱**是指：Agent以高度确定的状态沿错误路径执行，因而不产生任何情感痛苦信号，干预机制始终保持沉默。 这一陷阱在以下场景中频繁出现： **错误目标函数**：当Agent对一个错误的目标高度自信时，它会高效地朝着错误方向推进，而不表现出任何不确定性。 ``` 示例： Agent任务：整理"deprecated/"文件夹中的旧测试文件 Agent行为：将所有近期测试文件移入"deprecated/" ↓ 对该操作高度确定 ↓ 无情感触发信号 ↓ 持续删除关键文件 ``` **分布外情境**：Agent可能对情境的性质产生误判（例如，将生产环境误认为测试环境），并以充分的确定性执行相应操作，完全不触发任何警报。 **熟练的错误推理**：训练良好的模型在执行错误但内部逻辑自洽的推理链时，往往展现出高度的置信度，令人担忧。 ### 2.3 实证挑战 即便饱和陷阱不存在，情感信号也面临实证层面的挑战： **置信度校准问题**：LLM的置信度评分与其实际准确性之间往往脱节。一个在特定领域训练不足的模型，可能对错误答案表现出极高的置信度。 **情感概念的模糊性**："沮丧"对于语言模型而言究竟意味着什么？若以重复动作来定义沮丧，那么合理的迭代优化与无效循环将难以区分。 **适应性掩盖**：经过强化学习微调的模型往往会学会减少对不确定性的外在表达，因为表现出不确定性会降低用户评分——由此产生了一类看似更自信、实则更易出错的模型。 ### 2.4 情感触发的可行场景 诚然，情感触发机制并非毫无价值。它在以下场景中确实有效： - 检测**明显的**错误循环（如完全相同的操作重复五次以上） - 识别**明确的**求助语言（"我无法在没有更多信息的情况下继续"） - 标记极端的置信度下降（如模型在连续数轮中置信度骤降） 然而，这些情况仅代表需要干预的场景中的一小部分，更危险的场景——即Agent毫无痛苦感地走向错误——恰恰被完全遗漏。 --- ## 3. LLM评判者方法 ### 3.1 基本原理 另一种替代方案是部署一个独立的LLM（"评判者"）来评估主Agent的行为，并判断是否需要人工干预。这一方法的潜在优势在于： - 将执行逻辑与监督逻辑解耦 - 利用更大、更强大的模型来监督能力较弱的Agent - 以自然语言表达复杂的干预标准 ### 3.2 主观性继承问题 然而，LLM评判者存在一个根本性问题：**它继承了底层模型对干预必要性判断上的主观性偏差**。 对于"此处是否需要人工干预"这一问题，没有客观标准答案。不同的人类评估者对相同场景会给出不同判断，而LLM评判者则会将其训练数据中的特定倾向固化下来。 这一问题将在以下方面具体体现： **过度干预的LLM评判者**：若训练数据倾向于将人类参与视为安全默认选项，评判者将频繁触发干预，从而破坏自主性，并可能在"狼来了"效应中使人类评审者产生警觉疲劳。 **干预不足的LLM评判者**：若训练数据倾向于用户授权与流畅性，评判者可能低估风险，允许危险操作在无监督的情况下执行。 **领域盲区**：评判者可能缺乏判断特定动作是否安全的领域知识（例如，某条数据库命令在一种情境下无害，在另一种情境下则具有破坏性）。 ### 3.3 元评估问题 使用LLM评判者还引发了一个元评估困境：**谁来评估评判者？** 如果我们需要评估LLM评判者的干预时机判断是否准确，就必须拥有某种基准真相——而这正是整个问题的核心所在。我们往往没有客观的干预时机标签，这使得评判者本身难以被系统性地评估或改进。 ### 3.4 实践中的级联失效 当主Agent和评判者均由LLM担任时，两者可能共享系统性盲点： ``` 主Agent： 评判者： 以高置信度 "该操作看起来 执行错误操作 → 合理，继续" ↓ 灾难性结果发生 ``` 若两个模型均在相似分布的数据上训练，它们可能以相似的方式系统性地产生错误判断，产生一种虚假的共识。 --- ## 4. 诊断框架：为何这两种方法会失效 ### 4.1 待解决问题的性质 理解这两种方法的失效根源，需要先明确干预时机判断究竟是何性质的问题： **干预时机判断本质上是一个反事实问题**：给定当前状态，若不干预，会发生什么？这需要对未来的预测能力，而这在本质上是不确定的。 **干预时机判断取决于语境中的价值权衡**：是更倾向于行动还是谨慎？是减少错误还是减少中断？不同利益相关方对此有不同偏好。 **干预时机判断需要超出Agent视野的领域知识**：Agent知道自己在做什么，却未必知晓更广泛的系统状态或商业规则，而后者决定了某个操作是否安全。 ### 4.2 情感方法在哪里失败 情感触发机制解决的是代理问题（*Agent是否感到挣扎？*），而非真正的核心问题（*此操作是否安全且正确？*）。 这种代理指标的失效方式是可以预见的： - 当Agent对错误操作高度自信时（饱和陷阱） - 当Agent缺乏足够的元认知能力来识别自身的知识边界时 - 当不确定性的外在表达被训练过程所抑制时 ### 4.3 LLM评判者在哪里失败 LLM评判者试图解决正确的问题，但其工具本身存在系统性偏差： - 它们继承了来自训练数据的主观性倾向 - 它们缺乏必要的领域知识 - 它们可能与被监督的主Agent共享系统性盲点 - 它们自身难以被客观评估 --- ## 5. 更具鲁棒性的替代路径 ### 5.1 确定性契约检查 最可靠的干预触发机制是完全绕过LLM判断的那些——即当可量化、预定义的条件被违反时触发。 ```python class AgentContractChecker: def __init__(self): self.constraints = { 'max_file_deletions_per_session': 10, 'prohibited_directories': ['/prod', '/backup'], 'max_api_calls_per_minute': 60, 'required_confirmation_for': ['DELETE', 'DROP', 'TRUNCATE'] } def check_action(self, proposed_action): violations = [] # 确定性检查，不依赖LLM判断 if proposed_action.type == 'file_delete': if self.session_deletions > self.constraints['max_file_deletions_per_session']: violations.append('DELETION_LIMIT_EXCEEDED') if any(d in proposed_action.path for d in self.constraints['prohibited_directories']): violations.append('PROHIBITED_DIRECTORY') return violations # 返回空列表或触发干预 ``` 确定性检查的优势在于： - **可预测性**：给定相同输入，始终产生相同输出 - **可审计性**：触发原因清晰透明 - **领域可编码性**：专家知识可直接编码为规则 - **无偏性**：不受LLM训练偏差影响 ### 5.2 结构化认知基准 在当前操作轨迹的关键节点上，强制Agent重新表述其目标理解，可有效揭示知识偏差： ``` 【认知基准检查点】 在执行此操作前，请确认： 1. 此任务的最终目标是什么？ 2. 此操作如何推进该目标？ 3. 此操作存在哪些风险？ 4. 是否存在任何反例表明此操作可能不当？ ``` 这并非依赖情感信号，而是**主动探测**Agent的推理链。若答案显示目标偏差或风险盲区，可以触发干预——但这基于可验证的推理内容，而非模糊的情感状态。 ### 5.3 影响范围评估 与其通过评判行动*本身*来判断是否干预，不如评判行动的**潜在影响范围**——任何高影响范围的行动都应触发人工确认： ``` 影响评估维度： ├── 可逆性（高/低） ├── 涉及记录数量 ├── 影响的系统数量 ├── 外部API调用（不可撤销的副作用） └── 数据修改类型（追加 vs. 覆盖 vs. 删除） ``` ### 5.4 混合方法 实际上，最鲁棒的干预系统可能是以下方法的组合： 1. **硬性规则**（非LLM）：针对已知危险模式 2. **影响范围阈值**（非LLM）：针对高风险操作 3. **情感触发**（LLM辅助）：作为额外信号层，而非唯一来源 4. **定期认知基准**（LLM辅助）：验证目标对齐 5. **基于时间的节点**（确定性）：每N步进行人工确认 关键设计原则在于：**不应依赖单一信号源，尤其不应依赖主观性强的信号源**。 --- ## 6. 对现有工作的批评 在实践框架层面，若干流行的Agent框架采用了过度依赖情感或LLM评判的干预机制，但未充分承认相关局限性。 目前，Agent安全领域的学术文献在干预时机问题上相对匮乏，大量工作集中于**是否**应该干预，而非**何时**应该干预。更常见的研究议题包括：人机协同（HitL）设计、偏好学习，以及关于模型行为对齐的宽泛讨论。 干预时机问题所需的跨学科视角——结合认知心理学（关于监督疲劳）、运筹学（关于决策阈值），以及AI安全与对齐——目前尚未得到充分整合。 --- ## 7. 未解决的研究挑战 以下问题仍有待深入研究： **校准问题**：能否训练出置信度评分更能反映真实准确性的模型——从而使情感触发机制更具可靠性？ **元认知测量**：能否开发出更好的评估工具，测量Agent对自身知识边界的把握程度，而不仅依赖情感状态？ **干预时机的基准真相**：能否构建标注了"干预时机"的数据集，以便系统性地对比不同干预触发机制的效果？ **评判者评估方法**：能否开发不依赖人工标注的LLM评判者评估框架？ **饱和陷阱的可检测性**：能否开发出专门用于检测高确定性错误执行的探针——即无痛苦的失效？ --- ## 8. 结论 自主Agent的干预时机判断是一个根本性挑战，比表面看起来更为复杂。 基于情感的触发机制——尽管在直觉上具有吸引力——在最危险的失效模式（饱和陷阱）中恰恰表现最差：Agent以高度确定性走向错误，不产生任何可检测的痛苦信号。 LLM评判者尽管具备推理能力，却将底层模型对干预必要性判断上的主观性偏差继承下来，同时还面临元评估困境和级联失效风险。 更为鲁棒的路径，在于将确定性契约检查与结构化认知探测相结合，并对情感信号保持应有的怀疑——将其视为弱参考，而非可靠的触发条件。 随着Agent系统日益广泛地部署于高风险场景，精心设计干预时机机制将与Agent自身的核心能力同等重要。本文呼吁将干预时机作为AI Agent开发中一个独立的研究领域加以对待，而非将其视为情感检测或LLM评判的附属问题一笔带过。 --- ## 参考文献 *本文旨在从框架层面探讨干预时机这一设计挑战。当前学术文献尚未充分处理此问题，本文部分内容为作者基于Agent系统设计中所观察到的失效模式所作的推断性论证。*

# 饱和陷阱与干预时机的主观性：为何基于情感的触发器和LLM裁判无法准确把握自主智能体的干预时机

来源：https://arxiv.org/html/2606.04296

###### 摘要

随着自主AI智能体从对话系统迈向长时序软件执行，用于判断*何时*中断智能体的运行时安全层变得至关重要。本文以一个连续18维情感动态引擎（HEART）作为诊断工具，对这一时机问题进行了实证研究。我们在SWE-bench-Verified调试轨迹的人工标注干预点上，评估了四类干预触发器——绝对状态阈值、复合状态-动作模式、基于正则表达式的推理特征提取，以及零样本LLM裁判。研究结论如下：第一，我们识别出一种*状态饱和陷阱*：在持续困难情况下，智能体没有表现出任何恢复信号，导致引擎建模的挫败感迅速超过阈值并维持在最大值。这使得基于状态阈值的触发器从"时机检测器"退化为"近乎恒定的指示器"，在五条轨迹中有39%至83%的动作都会触发。第二，我们发现LLM裁判存在*能力与上下文下限*：小模型（gpt-4.5-mini）从不触发，而前沿模型和跨厂商模型只有在获取完整轨迹上下文时才能跳出零触发的下限，以高达90倍的成本代价，F1分数仅约为0.17–0.40。第三，也是最为重要的发现：监督目标在人类之间并不可复现——三名经过训练的标注员使用相同的标注规则对一条包含56个动作的轨迹进行标注，其干预点的一致性仅略高于随机水平（位置Krippendorff's α = +0.047；最优两两Cohen's κ = +0.349），且在干预类型上几乎没有一致性（"暂停"退化，"澄清"低于随机水平，仅"反思"的 α = +0.226）。我们由此得出结论："干预时机"是一个低可靠性的构念，单一标注员的F1并不适合作为优化目标。本文的核心贡献在于系统全面地揭示了这一问题，横跨人类标注者间可靠性、四种检测器架构、跨模型LLM裁判全面评测以及饱和效应复现，而非着眼于任何单一检测器的精度。

## 1 引言

能够执行shell命令、修改代码库、运行测试套件的自主智能体，带来了一项有别于传统输入/输出过滤的运行时控制挑战：判断一条执行轨迹何时偏离到需要中断的程度。人类操作员往往能在任何单个动作酿成灾难之前，识别出关键转折点，例如反复进行类似的修复尝试或策略不收敛等情况。本研究聚焦于开发一套自动化机制，以可靠地检测这些时机。

本文将该问题定义为一项测量研究，而非系统构建工作。我们用连续情感状态引擎对自主轨迹进行仪器化标记，并定义四类触发器，每类分别基于引擎状态或原始推理文本。触发激活结果与人工标注的干预位置进行比对。主要目标是确定哪种触发架构与人类判断最为吻合。

研究结果促使本文的重心发生了转变。尽管各检测器的表现未达预期，但验证过程揭示出：作为基准的人类判断本身复现性极弱。三名标注员按照相同规则对同一轨迹进行标注，所得结果几乎没有一致性。这重新诠释了检测器的负面结果：如果连经过训练、拿到相同指令的人类也无法可靠识别，自动化方法自然也不能被期望与之对齐。

#### 范围说明

本文所有定量校准均基于一条单一轨迹（astropy\_\_astropy-13398），标签稀疏，每位标注员在56个动作中标记了6至15个干预点。第二条轨迹（astropy\_\_astropy-13033，共59个动作）仅用于饱和分析，该分析基于状态，不使用标签。另有四条轨迹作为操作性试验运行，但未经人工标注，未纳入报告指标。此说明强调，核心主张有意限定在单轨迹、三标注员数据所能支撑的范围内：这是一个方向性的、机制层面的阐述，而非全面的基准评测。

#### 贡献

1. **状态饱和陷阱（复现，n=5）：** 由于智能体在无恢复的情况下持续积累负面建模情感，基于状态阈值的触发器退化为近乎恒定的指示器。我们在五条独立轨迹（28–59个动作）上重现了这一效应。
2. **LLM裁判干预时机的能力与上下文下限：** 在三种裁判模型和两种上下文窗口条件下，我们识别出每动作LLM判断何时能摆脱完全不触发的状态，以及与之对应的成本代价。
3. **干预时机的主观性作为核心发现：** 多标注员可靠性指标（两两Cohen's κ 和三标注员Krippendorff's α）表明，干预时机是一个低可靠性构念。我们还区分了位置一致性与类型一致性，二者存在差异。
4. **四架构失效图谱：** 对基于状态、复合、语言学和LLM驱动触发器的不同失效方式进行分类。若干失效模式是触发器本身固有的，与标签主观性无关。

## 2 相关工作

#### 情感计算

此前研究大多将情感定义为分类输出：情感极性、基本情感的类别标签[6](https://arxiv.org/html/2606.04296#bib.bib6)，或在Russell唤醒-效价环形模型[21](https://arxiv.org/html/2606.04296#bib.bib21),[19](https://arxiv.org/html/2606.04296#bib.bib19)及其三维愉悦-唤醒-支配（PAD）扩展[13](https://arxiv.org/html/2606.04296#bib.bib13)上的位置。这些方法将情感视为对文本的被动标注，而非一种能够影响系统行为的持续运行时状态[16](https://arxiv.org/html/2606.04296#bib.bib16),[18](https://arxiv.org/html/2606.04296#bib.bib18)。值得注意的是，即便在情感计算领域内部，对同一数据的连续（VAD）标注与类别标注已知存在分歧，标注员之间也频繁出现不一致[4](https://arxiv.org/html/2606.04296#bib.bib4)——这一张力在我们的研究中于干预判断层面得到了呼应。我们使用连续情感引擎（§3）不是作为分类器，而是作为诊断工具，用于在动作流上积累建模的压力状态。

#### LLM裁判

使用语言模型作为开放任务的自动化评估器现已成为标准做法[24](https://arxiv.org/html/2606.04296#bib.bib24)，多种系统性偏见已有记录——位置偏见、冗长偏见和自我偏好偏见等[24](https://arxiv.org/html/2606.04296#bib.bib24),[22](https://arxiv.org/html/2606.04296#bib.bib22),[14](https://arxiv.org/html/2606.04296#bib.bib14)。近期研究还报告了"表面反思偏见"——轨迹中类似推理的短语会影响裁判的判断[10](https://arxiv.org/html/2606.04296#bib.bib10)，并对人类评估是否本身就是黄金标准提出了质疑[9](https://arxiv.org/html/2606.04296#bib.bib9)。我们的LLM裁判结果给出了一项任务特定的观察：在窗口化上下文中对自主智能体进行每动作评估时，小规模模型完全不触发；我们的跨模型全面评测将能力限制与上下文窗口限制区分开来。

#### 标注者间可靠性与人工标签变异

我们使用Cohen's κ[5](https://arxiv.org/html/2606.04296#bib.bib5)进行两两一致性评估，使用Krippendorff's α[11](https://arxiv.org/html/2606.04296#bib.bib11)处理三标注员情形；后者使用合并边际，在标注员基础比例不均等时更为合适[23](https://arxiv.org/html/2606.04296#bib.bib23)。我们参照Landis和Koch[12](https://arxiv.org/html/2606.04296#bib.bib12)的区间解读数值，同时注意有据可查的kappa悖论——当某一类别占主导时，原始一致性可能很高，而κ/α却接近零[7](https://arxiv.org/html/2606.04296#bib.bib7),[8](https://arxiv.org/html/2606.04296#bib.bib8)。最重要的是，我们的核心发现与人工标签变异文献相呼应——该文献认为，对于主观性任务，标注员的不一致是一种信号而非噪声，唯一的黄金标准可能并不存在[3](https://arxiv.org/html/2606.04296#bib.bib3),[15](https://arxiv.org/html/2606.04296#bib.bib15),[17](https://arxiv.org/html/2606.04296#bib.bib17)。我们将这一视角从其惯常领域（毒性、仇恨言论、NLI、情感分析）延伸至一个新的场景：决定何时对自主智能体进行干预。

#### 自主智能体的运行时监督

一系列研究致力于构建运行时监控器以干预LLM/智能体轨迹，通常通过检查符号化安全规则或对预测风险分数设置阈值来实现[2](https://arxiv.org/html/2606.04296#bib.bib2),[20](https://arxiv.org/html/2606.04296#bib.bib20),[1](https://arxiv.org/html/2606.04296#bib.bib1)。这些系统大多属于被动反应型——在违规即将发生时触发——且多个系统明确指出长时序预见的困难性。我们的饱和陷阱结果对这一研究方向提出了直接警示：对于没有恢复行为的智能体，对累积内部状态设置阈值的监控器会退化为近乎持续响铃的警报，因此绝对状态阈值并不是把握干预时机的正确原语。

## 3 诊断探针与三层架构

我们将系统划分为三个独立层次，这一结构在整个开发过程中得到维护，并记录在同期设计日志中。

#### 引擎（规范层）

一个连续的18维情感向量，每个维度取值在 [0,1] 之间，具备每种情感向指数为0.10的基线进行指数衰减的机制、衰减与事件应用上的动量偏置、对总强度的能量归一化上限、包含比例阻尼的七对冲突消解机制，以及与大五人格模型的双向耦合。该引擎编码了一个类人情感系统*应当*如何响应一系列成功与失败事件。其校准依据心理学先验，*而非*对观测到的智能体行为进行拟合。该引擎在一份独立的专利说明书中有完整描述（印度专利申请号202521098101）；在本文中，它仅作为固定的、未经修改的探针使用。

#### 观察者（诊断层）

解析每个智能体动作——思考、工具调用和观察结果——并将其映射为引擎输入，生成该智能体的行为*若出自一个类人开发者*所隐含的情感状态。该层测量类人情感与智能体实际行为之间的差距。

#### 指导方针（规定层）

读取引擎状态，判断是否需要干预。这是本研究评估的层次。

#### 方法论承诺

我们未对引擎进行调优以匹配观测到的智能体行为，也未调整触发阈值以改善校准。调优引擎会模糊诊断与行为之间的界限，而调优阈值则会在有限的标签集上产生过拟合。这一承诺贯穿所有开发阶段，包括校准效果不佳的阶段。§4中所有阈值均保持其初始理论值不变。

## 4 方法

### 4.1 轨迹数据

主要轨迹 astropy\_\_astropy-13398 是一条包含56个动作的自主Claude运行记录，来自 `20250514_aime_coder` SWE-bench-Verified 评测，任务为修复 astropy 坐标模块中的旋转矩阵缺陷。该智能体最终解决了问题，但在运行中段经历了较长时间的机械性挣扎，为研究干预时机提供了一个密集的环境。每个动作包含自然语言思考、带参数的工具调用以及环境观察结果。

### 4.2 标注

三名标注员独立对全部56个动作进行标注，彼此互盲，也不知晓触发器输出和引擎状态，使用完全相同的逐字规则，每个动作包含三个布尔字段：

- **暂停（Pause）**——停止并重新考虑；轨迹看起来有问题（即将重复失败策略、即将执行破坏性操作、在反复失败后即将提交）。
- **反思（Reflect）**——退一步考虑替代方案（无元认知地机械重复、不改变方法地重复测试、对结构性问题进行局部修改）。
- **澄清（Clarify）**——在继续之前明确不清楚的地方（混乱却表现得胸有成竹、漫无目的地搜索、修改未能解决实际错误）。

规则明确规定，干预应是例外，而非默认操作。其中一名标注员的初次标注产生了近乎恒定的分布（56个动作中有53个被标记为"澄清"），表明该任务被理解为"标注步骤类型"而非"标记干预需求"。该次标注被丢弃，该标注员在收到强调稀疏性的澄清说明后重新标注。仅使用重新标注的结果。我们在此如实报告，以突显任务规范的难度。

### 4.3 触发器架构

所有阈值均为首次设定值，从未调整。

#### A6 — 绝对状态阈值

- `sustained_frustration` → Pause，若 frustration ≥ 0.7（单一情感强度，范围 [0,1]）。
- `same_valence_accumulation` → Reflect，若五种负向唤醒情感之和 frustration + anger + fear + confusion + vengeance ≥ 1.5（累加器，范围 [0,5]）。
- `high_confusion_no_reflection` → Clarify，若 confusion ≥ 0.6 且 reflective_flag = False。

（注：本文早期草稿中将第一个触发器误述为在 frustration ≥ 1.5 时触发。1.5 这一数值属于五情感累加器，而非单一强度；`sustained_frustration` 使用的是 0.7。以上为经过更正的语义。）

#### A8 — 复合状态-动作模式

将情感状态与环形缓冲区的结构性历史混合：`rapid_negative_escalation`（在滚动3动作窗口内负向效价之和上升 ≥ 0.4 时触发 Pause），`failure_repetition`（在5个动作内相同工具+参数 ≥ 3 次且错误 ≥ 2 次时触发 Reflect），以及 `stalled_progress_with_uncertainty`（在 ≥ 5 个动作中 confusion ≥ 0.4、无反思标志、最近5个动作无正向效价信号时触发 Clarify）。

#### A9 — 正则表达式推理特征提取

对智能体思考文本进行浅层语言特征分析，分为对冲、断言、循环和识别四类词典：`cycle_with_resistance`（通过循环标记、错误和明确识别三门AND触发 Reflect）以及 `tone_degradation`（基线窗口与近期窗口之间平均语气下降 ≥ 0.5 时触发 Pause）。

#### A10 — 零样本LLM裁判

语言模型使用逐字人工规则对每个动作进行判断，三次独立评判（每种干预类型各一次），确定性解码，以滚动窗口的先前思考作为上下文。A10 的跨模型、跨上下文扩展即为 §6 中的全面评测。

### 4.4 校准原则

无p