该论文针对生产环境中AI代理的运行时治理问题，提出了一种五平面参考架构。传统企业安全基于数据边界防护，但AI代理通过读取上下文、调用工具、连接器和修改系统记录，将风险内化于工作流内部的行动序列中，这些序列可能组合出未授权的业务流程变更。现有策略引擎仅支持基于原子主体的请求时决策，而代理系统需要状态化评估复合主体（其权限通过委托链衰减）。论文提出的架构由四个可组合原语构成：五平面分解（意图裁决推理平面，以及网络、身份、端点、数据四个执行平面）、任意点中介、带有能力衰减的复合主体、以及作为结构化证据基础的审计。作者定义了一组六种中断原语以泛化允许/拒绝，陈述并论证了四个正确性不变量，并展示了在五个具体工作流中消除七种生产代理威胁的方法。政策引擎核心的参考实现提供了测量证据：衰减正确性和证据可重构性在每次试验中成立，裁决运行在个位数微秒级别，审计底层的防篡改行为完全符合设计。论文明确限定范围：该架构治理的是委托动作而非模型行为，下一步计划是对真实代理基准进行全面评估。适合安全架构师、AI代理开发者及策略引擎设计者阅读。

本文研究了语言模型API在限制仅输出token排名（即按概率排序的token序列，但不提供具体概率值）时，是否仍然构成能够唯一标识模型的签名。作者发现，对于足够大的k，每个语言模型都有一组唯一的可行top-k排名集合，这可以作为模型的签名。更重要的是，他们证明了这种签名是第一个已知的多项式时间不可伪造签名：找到一个具有相同可行排名集合的模型是NP-hard问题。在安全方面，尽管token排名足以近似窃取模型的最后一层参数（类似于logits的泄露），但通过限制API只返回足够小的k（例如，小于某个阈值），可以防止参数窃取，同时仍然能够提供不可伪造的签名。研究表明，存在一个k值范围，使得API既能展示不可伪造签名（用于模型身份验证），又能防止参数泄露。这项工作为语言模型的安全部署提供了理论依据，尤其是在需要公开模型身份但又要保护模型参数的应用场景中。

本研究首次系统性地探索了单层二元神经网络中碰撞查找的算法复杂性。给定一个随机矩阵 A ∈ ℝ^{m×n}，输入 x ∈ {-1,1}^n 通过激活函数 φ 映射到二元输出向量 φ(Ax) ∈ {-1,1}^m，其中 φ 在区间 [κ, ∞) 上具有恒定行为，阈值 κ ≥ 0。研究者确定了阈值尺度 κ = Θ(1/√α)（α = m/n）作为分离两种互补现象的分界点。当 κ ≪ 1/√α 时，提出了一种简单的在线算法，能够高效地产生大量碰撞。当 κ ≫ 1/√α 时，针对一种自然的随机化非周期激活函数和合适的振荡复杂度，证明了大规模碰撞空间满足重叠间隙性质（OGP），从而对在线算法产生了指数级下界。这是首次使用重叠间隙性质作为碰撞抵抗的严格判据。碰撞查找与平均情况搜索的关键区别在于，碰撞查找具有新的“最坏情况”方面：碰撞查找者完全控制碰撞对的选择。下界证明是在在线模型下进行的；将此类保证扩展到更广泛的算法类别，包括谱方法、代数方法、格方法或量子方法，仍然是一个开放的方向。

本文针对带噪声线性奇偶校验学习问题（LPN）及其稀疏变体证明了新的硬度放大结果。LPN问题是密码学中重要的平均情况困难问题，其困难性假设是许多密码方案安全性的基础。在标准LPN_{η,n,m}中，目标是从m个带噪声的线性样本中恢复秘密向量s∈F2^n，其中样本的噪声服从伯努利分布Ber(η)。作者基于Hirahara和Shimizu提出的直接积框架，展示了“实例分数放大”定理：对于任意ε,δ>0，任何以概率ε求解LPN_{η,n,m}的算法都可以转化为一个算法，在参数缩放后的相关LPN分布上以概率1-δ成功，其中缩放因子k=Θ((1/δ)log(1/ε))。等价地，能够在“小部分实例”上求解LPN的算法可以被转化为在“几乎所有实例”上求解LPN的算法，从而在广泛的参数范围内实现了自我放大。作者还将相同的放大方法扩展到有限域F_q上的LPN以及稀疏LPN（其中每个查询向量恰好有σ个非零项）。这些结果共同建立了一类广泛的LPN类型问题的困难性自我放大定理，加强了假定LPN及其稀疏变体在平均情况下困难的基础。适合密码学理论研究者、密码学安全基础方向的研究人员阅读。