MemGPT、RAG、Reflexion、Voyager——當下幾乎所有主流的 agent 框架都把「檢索」當作預設的記憶機制。一個 Reflexion agent 積累了上千條自我反思,聽起來像是在「成長」,但每次新會話啟動時,底層模型的權重絲毫未動。它的檔案櫃越來越大,能力卻沒有任何提升。
這篇來自香港中文大學與浙江大學的論文,直接把這個現象定性為一個「範疇錯誤」:把備忘錄當成了大腦。論文從認知科學、形式化證明和安全性三個維度論證了一個核心觀點——當前所有已部署的 agent memory 都只是基於範例的查找,而非真正的記憶(基於權重的記憶),並且這種混淆帶來了可證明的能力上限、永久的「凍結新手」困境,以及不斷惡化的安全風險。
備忘錄與大腦:兩條結構性不同的路徑
論文提出了一個簡潔的分析框架:所有改變 LLM agent 輸出的技術,本質上只走兩條路。
(1) 改變 θ:透過預訓練、微調、強化學習等梯度更新修改模型權重,改變先驗分布 P(X|θ)。知識被壓縮進權重空間,模型可以重組規則來處理從未見過的輸入——這是「生成性」的。
(2) 改變 C:透過 prompt、RAG、MCP 工具調用、scratchpad 等方式向上下文視窗注入內容,讓生成條件變為 P(X|θ, C)。知識被壓縮為文本,容量受限於上下文長度 L,模型只能使用上下文中明確存在的內容——這是「檢索性」的。
當前所有已部署的 agent memory 都是 C-engineering。 MemGPT、RAG、Reflexion、Voyager,無一例外。agent 經歷前後,模型權重完全相同。
[表 1:LLM agent 的 memory 分類] 論文將 memory 分為四類:工作記憶(上下文視窗,僅限當前會話)、情節記憶(外部儲存,跨會話,基於範例泛化)、語意記憶(模型權重,永久,基於規則泛化)、經驗記憶(模型權重,永久,透過微調/持續學習更新)。所有當前 agent 系統都只佔據情節記憶這一列,經驗記憶在已部署系統中系統性缺失。
論文用了一個精準的類比:一個人把教訓記在日記本裡,只有翻開日記且情境足夠相似時才能想起來;而一個真正內化了教訓的人,隨時隨地都能調用。當前的 agent memory 就是前者。
可證明的泛化天花板:檢索永遠追不上權重學習
論文的核心理論貢獻是一個「組合樣本複雜度分離定理」。設領域中有 k 個基礎概念,組合算子 ⊕ 將概念對映射到正確輸出。論文證明:
對於檢索系統,要在組合性新任務上達到 1−δ 的準確率,需要儲存的組合範例數 nR = Ω(k²)——本質上要窮舉覆蓋所有概念對。而參數化系統(微調後的權重)只需 nP = O(d/δ) 個範例,其中 d 是組合算子的 VC 維度。兩者的樣本複雜度比值為 Ω(k²/d)。當 d=O(k) 時比值為 Ω(k),當 d=O(1) 時比值高達 Ω(k²)。
這個定理的關鍵假設是:凍結模型在給定 K 個上下文示例後,對未見過的組合對的準確率 α̅ < 1。論文在附錄中透過 Fano 不等式證明,只要算子類的複雜度滿足 log|H| > K·log|Y|,這個假設本身就是一個定理,而非經驗假設。
增大上下文視窗無法消除這個差距。 更長的上下文只能略微提升 α̅,但 Ω(k²) 的覆蓋需求始終存在。Paulsen [2026] 的實驗表明,即使模型支援 128k token 的上下文,有效利用率在約 20k token 處就已飽和。
經驗證據與理論預測一致:Ovadia et al. [2024] 發現 RAG 擅長稀有實體召回,但無法提升超出基礎模型能力的組合推理;Yao et al. [2026] 直接對比了將反思經驗儲存在外部 vs 編碼進權重的效果——參數化儲存全面優於外部儲存,且差距恰好在需要遷移到未見過的問題類型時增大,完全符合定理預測。
凍結的新手與不斷惡化的安全漏洞
泛化天花板是靜態的限制,而「凍結新手問題」描述的是動態後果:每次會話都從相同的凍結權重開始,agent 永遠在執行 .predict(C),從不執行 .train()。認知科學中最穩健的發現之一是,專家與新手的區別不在於儲存了多少案例,而在於知識表徵的結構性重組——物理學新手按表面特徵分類問題(「斜面問題」),專家按深層原理分類(「能量守恆問題」)。純檢索 agent 永遠無法完成這種重組。
安全層面的問題同樣嚴峻。沒有持久 memory 時,一次 prompt 注入只影響當前會話。有了 agent memory,注入內容被寫入儲存,在此後每次會話中都會被檢索出來——一次性攻擊變成了永久性妥協。MINJA 攻擊實現了 98.2% 的注入成功率,注入指令跨會話持續生效且對正常功能影響極小;PoisonedRAG 表明,針對每個目標查詢僅需 5 條 對抗性文本,就能在包含數百萬條目的知識庫上達到 90% 的攻擊成功率。隨著互動次數 N(t) 增長,被攻破的機率 P(compromised by t) = 1−(1−p₀)^N(t) 趨向於 1。
出路:建造「鞏固通道」
論文的處方不是拋棄檢索,而是補上缺失的另一半。生物智慧的解決方案是 CLS(互補學習系統)理論:海馬迴負責快速的情節儲存,新皮質在睡眠期間將其鞏固為緩慢的、分散式的、基於規則的表徵。當前 AI agent 只實現了海馬迴那一半。
論文向三個社群分別提出了明確要求。對系統構建者:必須建立從情節儲存到模型權重的鞏固通道,具體機制可以是週期性微調、知識編輯、測試時訓練或從 trace 自蒸餾,關鍵是這條通路必須存在且非同步運行。所需的構建模組——LoRA、SSR、MEMIT、TTT layers——已經存在,這是設計選擇而非可行性障礙。對基準設計者:應當衡量 CGT(組合泛化隨時間的變化)——agent 處理新概念組合的能力是否隨經驗提升?純檢索 agent 在這個指標上應該是平的。對持續學習社群:agent 場景恰好提供了持續學習方法所需的一切——帶獎勵標籤的自然經驗流、明確的泛化標準和即時的實用價值。
agent 並沒有獲得更好的記憶,它們只是獲得了更好的歸檔系統。更好的歸檔不能造就專家,權重鞏固才能。
📄 原文標題
Contextual Agentic Memory is a Memo, Not True Memory
🔗 原文連結