在网络安全运营中心（SOC）面临持续且复杂的攻击压力时，如何让大语言模型（LLM）驱动的自主智能体在保持创造性的同时，严格遵循安全边界并保证系统稳定，一直是一个核心挑战。近期一篇来自arXiv的论文提出了一种名为“稳定智能体控制”（Stable Agentic Control）的架构，通过工具中介的方式，为LLM在高风险决策场景下的稳定运行提供了形式化保证。

该研究由计算机科学领域的研究人员完成，核心动机源于SOC在实际运营中的痛点：在攻击者持续施压的环境下，运营人员需要快速配置端点检测与响应（EDR）策略。传统基于LLM的智能体虽然能够进行创造性策略探索，但其非确定性输出可能导致不可预测的行为，这在对抗性压力下是难以接受的。为此，研究者设计了一种工具中介架构，让LLM智能体仅能通过一系列经过形式化验证的“确定性工具”与环境交互。

这些工具包括Stackelberg最优响应、贝叶斯观测器更新以及攻击图原语等。智能体从有限的动作目录中选择工具，而工具的输出接口强制执行这些动作的合法性。这种设计将LLM的创造性限制在一个安全的“沙盒”内，既保留了其探索多样化策略的能力，又确保了系统行为的可预测性。

为了从理论上证明该架构的稳定性，研究者引入了一个复合Lyapunov函数，并使用Lean 4证明助手进行了机器检查，实现了“零sorry”（即无未证明断言）。该证明涵盖了可控性、基于非对称传感器数据的可观性，以及输入到状态稳定性（ISS）鲁棒性，后者的定义考虑了智能对抗干扰。论文还提供了两个推论，将证书扩展至目录中的任何控制器或攻击者，意味着只要智能体或对手的行为不超出预定义的动作目录，系统稳定性就能得到保证。

实证结果进一步支持了理论分析。在282个真实企业攻击图上进行的测试中，所有稳定性声明均以一定裕度成立。在成对的攻防遥测数据上，使用Claude Sonnet 4作为控制器的工具中介智能体，将攻击者的预期收益（博弈值）降低了59%，相较于确定性的贪婪基线算法。更值得注意的是，在四个不同温度参数下进行的40次独立运行中，该结果呈现出零方差，表明架构对LLM的随机性具有极强的鲁棒性。

为了验证稳定性是否依赖于高级控制器，研究者还使用了能力较弱的Claude Haiku 4.5模型进行了额外40次运行。结果显示，虽然Haiku 4.5控制器收敛到的博弈值并非最优，但其行为始终保持在动作目录的边界内，系统稳定性并未因控制器能力的下降而受到破坏。这强有力地证明：架构的稳定性是工具中介设计带来的结构性特征，而非特定LLM模型的能力红利。

这项研究的核心贡献在于，它为LLM智能体在关键基础设施防御等高风险领域的应用提供了一条可行的路径。通过将形式化方法与LLM的语义理解能力相结合，研究人员在“创造性探索”与“安全稳定”之间找到了一个平衡点。未来，这种工具中介的架构思路有望被推广到更多需要形式化保证的自主决策场景，如金融交易、自动驾驶或电网管理，从而让AI系统在复杂、对抗性的环境中既能发挥智能优势，又能守住安全底线。