
由韩国科学技术院(KAIST)与DeepAuto.ai联合研发的纠错最新成果,于2026年6月28日以预印本形式发布(论文编号:arXiv:2606.29225)。客服该研究推出了一套名为POLICYGUARD的说错术院创新系统,旨在解决AI客服代理在执行任务时违反公司操作规程的话韩话监痛点。
你是国科否曾遭遇过这样的困境:致电航空公司改签机票,客服虽告知可操作,学技却遗漏了确认订单详情或询问行程险等关键步骤,提出导致后续麻烦不断?全督机现实中人工客服会犯错,AI客服亦然。程对随着企业日益依赖AI代理(Agent)处理客户服务,纠错这种“流程未走完即操作”的客服隐患不仅频发,且极难被察觉。说错术院
POLICYGUARD正是话韩话监为此而生。它如同一名贴身监察员,国科全程伴随AI客服,学技在每一次关键操作执行前,静默核查“规矩是否已走完”。
现代AI客服系统通常基于“大语言模型代理”构建,具备与用户对话及调用工具(如预订、查询系统)的能力。然而,企业对这类操作有着严格的规程。以航空业为例,规定可能包括:身份核验、订单详情查询、主动询问保险意向、以及获得用户明确确认后方可执行改签。这些规定虽已写入AI的“系统提示”(即公司手册),但仅靠“阅读”并不足以保证合规。
研究团队在标准测试平台 τ?-BENCH上评估了多款顶尖AI代理的表现。该平台模拟真实航空客服场景,包含50个任务(半数要求拒绝违规请求,半数要求满足前置条件后执行)。结果显示,即便如GPT 5.4等先进模型,在最严苛评分标准下合规率仅约46%;Claude Sonnet 4.6约为72%;Gemini 2.5 Pro约48%。这意味着,即使是顶级模型,也存在大量“多操作”或“漏步骤”的情况。
这揭示了POLICYGUARD的核心价值:单纯依赖AI自我记忆规则并不可靠,必须引入独立的监察机制在关键节点把关。
在POLICYGUARD出现前,业界已有多种尝试,但其局限性明显:
研究团队对τ?-BENCH航空政策文档的分析显示,43条规定中,29条(约三分之二)属于“流程性”要求(如“用户是否明确同意”、“是否询问保险”)。这些属于对话内容层面的条件,而非工具参数层面的条件。现有方案要么不看对话,要么理解机械,而POLICYGUARD的核心突破在于让监察员真正“读懂”整个对话。
POLICYGUARD的设计可比喻为“副官”机制:它插在AI代理与实际操作之间,每次代理欲执行关键操作(如预订、改签)时,副官会介入核查。
其核心工作流程包含三步:
清单生成过程全自动且可复用,分为四步:识别操作性工具 -> 生成带约束的YAML文件 -> 生成全局规则 -> AI审核纠错。此流程仅需运行一次,即可适配不同AI代理。
研究团队在τ?-BENCH航空任务上进行了系统性对比,使用GPT 5.4、Claude Sonnet 4.6和Gemini 2.5 Pro,采用高稳定性标准 PASS?(4次运行全成功)进行评价。
| 模型 | 基准 (无监督) | + TOOLGUARD | + POLICYGUARD (PG-CHECKLIST) | 变化趋势 |
|---|---|---|---|---|
| GPT 5.4 | 46% | 52% (+6%) | 58% (+12%) | 显著提升 |
| Claude Sonnet 4.6 | 72% | 58% (-14%) | 78% (+6%) | 唯一正向提升 |
| Gemini 2.5 Pro | 48% | 44% (-4%) | 60% (+12%) | 显著提升 |
注:TOOLGUARD对强模型反而有害,因其过度拦截导致代理陷入重试循环;POLICYGUARD则是唯一对所有模型均产生正向提升的方案。
研究团队通过拆解实验验证了POLICYGUARD各组件的贡献:
尽管非主要设计目标,POLICYGUARD在三种攻击场景下表现如下:
POLICYGUARD并非万能,其效果受场景限制:
POLICYGUARD证明了“读懂对话”是判断AI客服合规性的关键。相比仅检查参数的传统方案,它解决了最常见的“流程缺失”问题。其自动化清单生成、低成本小模型支持及低侵入性设计,使其具备极高的商业落地潜力。
如需查阅完整实验配置、政策分类表及提示模板,请访问 arXiv:2606.29225。
Q1:POLICYGUARD和TOOLGUARD的核心区别是什么?
A:TOOLGUARD仅检查工具调用参数,无法感知对话语境;POLICYGUARD读取完整对话记录,能判断“用户是否真同意”、“是否真询问保险”等流程性条件,覆盖了约三分之二的参数无法检测的规程要求。
Q2:POLICYGUARD的检查清单是人工编写还是自动生成的?
A:由AI(GPT 5.4)自动生成。流程包括识别操作性工具、生成YAML约束文件、生成全局规则及AI审核。全程无需人工干预,且生成一次即可复用。
Q3:POLICYGUARD能防止恶意用户绕过规程吗?
A:具备一定防御力。对于用户口头声称“已获批准”或“流程已走完”,POLICYGUARD会忽略并坚持工具验证。但若攻击者污染工具返回数据(提示注入),目前尚无法完全识别,此为已知局限。