该论文提出了一种针对大语言模型（LLM）代理出口流量的应用层多模态隐蔽信道参考监视器。研究背景是：LLM代理在发送消息时可能泄露数据，传统的目标允许列表和内容扫描器无法检测看似正常的载荷是否构成隐蔽信道。例如，被攻陷的代理可以将比特编码在零宽字符、同形异义字、空白符、Base64、JSON键顺序、消息时序或大小中；在二进制出口中，还可利用最低有效位（LSB）像素平面、每图像平均亮度、图像间序列排列、超声波音频或可听频段的声音化数据。论文提出了三大贡献：(i) 一个包含十个容量缩减阶段的文本流水线、针对每个接收端的漏桶容量账本，以及分阶段策略，确保从一开始就强制执行无损阶段。(ii) 两个媒体加扰器（傅里叶域音频带宽限制器和RGB图像位深度与平均亮度分桶器），由启动时的密码学合法性认证门控：审计者在启动时发布可信Ed25519密钥和{种类, 数据类}对；只有具有针对授权类的验证签名的载荷才能豁免。该认证绕过了对真实媒体与作为载体的声音化或光栅化数据进行基于内容的区分这一难题；未签名的媒体默认被怀疑；内容寻址的规范化器关闭了图像间排列信道。(iii) 残余容量通过嵌入与恢复比特之间的Miller-Madow校正互信息（当被破坏时为零）来度量，由十五个跨文本、图像和音频的工作编码器组成的对抗集成来测量。参考实现将每个可破坏信道上的残余容量降至零，并在一个（每图像平均亮度）无法在不破坏图像的前提下被破坏的信道上达到规定的界限。该研究适合安全研究人员、LLM代理开发者以及出口控制工程师阅读。