confidence-gating lifelong-learning conservative-policy guardrail-adaptation privacy-safety policy-induction sparse-feedback privacylens
Abstract
As AI agents move from chat interfaces to systems that read private data, call tools, and execute multi-step workflows, guardrails become a last line of defense against concrete deployment harms. In these settings, guardrail failures are no longer merely answer-quality errors: they can leak secrets, authorize unsafe actions, or block legitimate work. The hardest failures are often contextual: whether an action is acceptable depends on local privacy norms, organizational policies, and user expectations that resist pre-deployment specification. This creates a practical gap: guardrails must adapt to their own operating environments, yet deployment feedback is typically limited to sparse, noisy user-reported failures, and repeated fine-tuning is often impractical. To address this gap, we propose LiSA (Lifelong Safety Adaptation), a conservative policy induction framework that improves a fixed base guardrail through structured memory. LiSA converts occasional failures into reusable policy abstractions so that sparse reports can generalize beyond individual cases, adds conflict-aware local rules to prevent overgeneralization in mixed-label contexts, and applies evidence-aware confidence gating via a posterior lower bound, so that memory reuse scales with accumulated evidence rather than empirical accuracy alone. Across PrivacyLens+, ConFaide+, and AgentHarm, LiSA consistently outperforms strong memory-based baselines under sparse feedback, remains robust under noisy user feedback even at 20% label-flip rates, and pushes the latency--performance frontier beyond backbone model scaling. Ultimately, LiSA offers a practical path to secure AI agents against the unpredictable long tail of real-world edge risks.
한국어 요약
📋 한 줄 요약
**[AI 안전 / 가드레일 적응]** 희소한 사용자 보고만으로 고정 base 가드레일을 평생 적응시키는 보수적 정책 유도 프레임워크 LiSA 제안.
🎯 핵심 기여도
- AI 에이전트의 가드레일 실패가 단순 답변 품질 문제가 아니라 비밀 누출·안전하지 않은 행동 승인·정당한 작업 차단 등 구체적 배포 피해로 이어진다는 문제 정의.
- 희소·잡음 사용자 보고로부터 base 가드레일을 점진 개선하는 LiSA(Lifelong Safety Adaptation): 구조화 메모리를 통해 가끔의 실패를 재사용 가능한 정책 추상으로 변환.
- mixed-label 맥락에서 과일반화를 방지하는 conflict-aware 국소 규칙 도입.
- posterior lower bound 기반 evidence-aware confidence gating으로 누적 증거가 쌓일 때만 메모리 재사용이 확대되도록 설계.
💡 핵심 아이디어
가드레일의 "맥락 의존적 실패"는 사전 명세로 풀 수 없으므로, 배포 피드백을 보수적으로 일반화하는 별도의 메모리 레이어가 필요하다. 단, 메모리 사용은 경험적 정확도가 아니라 사후 분포의 하한 같은 증거 기반 신뢰도로 게이팅해야 한다.
🔬 기술적 접근법
- **모델/방법론**: 고정 base 가드레일 위에 구조화 메모리·국소 규칙·증거 기반 게이팅을 결합한 LiSA.
- **핵심 기법**: 실패 사례 → 재사용 가능한 정책 추상화, conflict-aware local rule로 mixed-label 오버제너럴리제이션 차단, posterior lower bound로 메모리 재사용 신뢰도 게이팅.
📊 주요 결과
- PrivacyLens+, ConFaide+, AgentHarm에서 sparse feedback 하에 메모리 기반 강한 베이스라인을 일관되게 능가.
- 20% label-flip 잡음에서도 견고성 유지.
- 단순 백본 모델 확장보다 우수한 latency-performance frontier 도달.
💭 의의 및 한계
**의의**: AI 에이전트 배포 후 발생하는 long-tail 안전 문제를 재학습 없이 점진 대응하는 실용 경로 제시. **한계**: 메모리 정책 추상화의 품질이 base 모델 해석 가능성에 의존, 매우 적대적 사용자 보고에 대한 견고성은 추가 검증 필요.
🚀 실용적 활용
- 기업 환경 AI 에이전트의 데이터 누출·권한 오용 방지.
- 조직별 프라이버시·정책 규칙을 학습으로 흡수하는 가드레일 적응 레이어.
- 가드레일 fine-tuning이 비현실적인 대규모 멀티테넌트 배포.