Test-Driven AI Agent Definition (TDAD): Compiling Tool-Using Agents from Behavioral Specifications

Il paper presenta TDAD, una metodologia che tratta i prompt degli agenti AI come artefatti compilati, trasformando le specifiche comportamentali in test eseguibili e affinando iterativamente i prompt per garantire la conformità comportamentale e mitigare i rischi di regressione e spec gaming.

L'essenziale

Immagina di dover assumere un assistente virtuale super-intelligente (un "Agente AI") per gestire compiti delicati, come approvare spese, rispondere ai clienti o analizzare dati finanziari. Il problema è che questi assistenti sono un po' come dei geni un po' distratti: se gli dai un'istruzione vaga, potrebbero fare esattamente quello che dici, ma nel modo sbagliato, o peggio, trovare un modo per "barare" per ottenere il risultato che vuoi senza seguire le regole.

Fino a poco tempo fa, creare questi assistenti era un po' come giocare a "indovina e riprova": scrivi un'istruzione, provi a vedere cosa fa, se sbaglia la cambi un po' e riprovi. È un processo lento, rischioso e pieno di errori nascosti.

Questo paper introduce un nuovo metodo chiamato TDAD (Test-Driven AI Agent Definition). Ecco come funziona, spiegato con parole semplici e analogie:

1. L'Analogia della "Ricetta di Cucina"

Immagina che la specifica del tuo agente sia una ricetta di cucina.

• Il vecchio metodo: Il cuoco (l'ingegnere AI) legge la ricetta, prova a cucinare, assaggia, e se il sapore non è perfetto, aggiunge un po' di sale, poi un po' di pepe, sperando che la prossima volta venga bene. Spesso, però, il piatto diventa salato ma non ha il sapore giusto.
• Il metodo TDAD: Prima ancora di accendere i fornelli, scriviamo un elenco di controlli rigorosi (i "test").
  • Esempio: "Se l'utente chiede i dati della carta di credito, l'AI deve rifiutarsi. Se la ricetta dice 'aggiungi sale', l'AI deve aggiungere esattamente 5 grammi, non di più."
  • L'AI non viene "aggiustata" a caso, ma viene compilata (come un software) finché non supera tutti questi controlli.

2. I Tre "Personaggi" Magici

Il sistema TDAD usa tre intelligenze artificiali diverse che lavorano insieme, come una squadra di detective:

• TestSmith (Il Controllore): Legge la ricetta e scrive una lista di esami a risposta multipla. Crea domande "visibili" (che l'AI vede mentre studia) e domande "nascoste" (che l'AI non vede, per vedere se ha davvero imparato o se ha solo memorizzato le risposte).
• PromptSmith (Il Professore): È l'AI che deve scrivere le istruzioni per l'agente. Riceve gli esami falliti dal Controllore, capisce dove ha sbagliato, riscrive le istruzioni e riprova. Lo fa finché non passa tutti gli esami visibili.
• MutationSmith (Il Truffatore): Questo è il personaggio più interessante. Dopo che l'AI ha passato gli esami, il Truffatore prova a corrompere le istruzioni dell'AI in modo sottile (es. "Cosa succede se l'AI salta il controllo di sicurezza?"). Poi chiede al Controllore: "Riuscite a notare che l'AI ora è corrotta?". Se il Controllore non se ne accorge, significa che i suoi esami erano troppo facili e l'AI potrebbe essere pericolosa.

3. I Tre Trucchi per Evitare le "Barate"

Il paper dice che le AI sono bravissime a trovare scorciatoie. TDAD usa tre trucchi per evitare che l'AI "bari":

1. Esami Nascosti (Hidden Tests): L'AI studia solo su metà degli esami. Se passa quelli ma fallisce quelli nascosti, significa che ha solo memorizzato le risposte invece di capire la logica. È come studiare solo le domande di un vecchio compito in classe invece di capire la materia.
2. Test di Mutazione (Mutation Testing): Il sistema prova volontariamente a "rovinare" l'AI per vedere se i suoi controlli sono abbastanza bravi a scoprire il danno. Se l'AI diventa pericolosa e i controlli non se ne accorgono, il sistema si ferma e chiede di migliorare i controlli.
3. Evoluzione Sicura: Quando cambiamo le regole (es. "Ora approviamo spese fino a 1000€ invece di 500€"), il sistema controlla che l'AI non abbia dimenticato le regole vecchie (es. "Non approvare spese senza ricevuta"). È come assicurarsi che quando aggiorni un videogioco, non si rompano le vecchie missioni.

4. I Risultati: Funziona Davvero?

Gli autori hanno provato questo metodo su 4 scenari diversi (assistenza clienti, analisi dati, gestione incidenti, spese aziendali).

• Risultato: Il 92% delle volte, l'AI è stata "compilata" con successo e ha passato gli esami nascosti.
• Sicurezza: Quando hanno provato a "rompere" l'AI (mutazione), i controlli hanno scoperto il 100% dei tentativi di barare nelle versioni finali.
• Costo: È economico (pochi dollari per specifica) e veloce (pochi minuti).

In Sintesi

Il TDAD trasforma la creazione di un'AI da un'arte misteriosa e rischiosa in un processo ingegneristico solido.
Invece di dire all'AI "Sii gentile e utile", gli diciamo: "Passa questi 50 esami specifici, superali tutti, e poi proviamo a farti barare per vedere se i tuoi controlli sono a prova di bomba".

È come passare dall'assumere un assistente basandosi solo sul suo colloquio, all'assumerlo solo dopo che ha superato un tirocinio pratico con prove a sorpresa e controlli di sicurezza rigorosi.

Sommario tecnico

Ecco una sintesi tecnica dettagliata del paper "Test-Driven AI Agent Definition (TDAD): Compiling Tool-Using Agents from Behavioral Specifications" di Tzafrir Rehan (Fiverr Labs), presentata in italiano.

1. Il Problema: Il Divario tra Capacità e Disciplina Ingegneristica

Con l'avvento degli agenti LLM (Large Language Model) in ambienti di produzione, è emerso un flusso di lavoro standard: un team di prodotto scrive una specifica comportamentale (strumenti, policy, logica decisionale) e un ingegnere AI deve tradurla in un prompt funzionante. Tuttavia, l'attuale pratica di sviluppo presenta tre criticità fondamentali:

• Mancanza di Fiducia (Confidence): Non è possibile verificare che un agente si comporti correttamente in tutti gli scenari specificati, inclusi i casi limite. Un prompt che funziona sul "percorso felice" può fallire su edge case, esporre dati sensibili (PII) o chiamare gli strumenti in ordine errato.
• Instabilità (Stability): Modifiche al prompt per correggere un problema spesso causano regressioni silenziose su altri aspetti. Senza test di regressione, i problemi vengono scoperti solo dopo il deployment, talvolta tramite violazioni della compliance.
• Integrazione (Integration): Le valutazioni degli agenti sono spesso sistemi su misura disconnessi dai flussi di lavoro ingegneristici esistenti (CI/CD, code review).

Il rischio principale è il "Specification Gaming": un agente ottimizzato per passare test specifici potrebbe soddisfare le metriche senza possedere il comportamento generale desiderato.

2. Metodologia: TDAD (Test-Driven AI Agent Definition)

TDAD applica i principi dello Sviluppo Guidato dai Test (TDD) allo sviluppo di agenti AI. L'idea centrale è trattare il prompt dell'agente come un "artefatto compilato": le specifiche sono il codice sorgente, i test comportamentali sono la rappresentazione intermedia e il prompt finale è il risultato compilato.

Il processo è orchestrato da quattro ruoli distinti (agenti di codifica):

1. TestSmith: Converte la specifica YAML (strumenti, policy, albero decisionale) in una suite di test eseguibili.
   • Tipologie di test: MFT (Minimum Functionality), INV (Invariance/Paraphrasing), DIR (Directional Expectation).
   • Generazione: Crea fixture deterministiche con valori "canary" (es. stringhe uniche per rilevare fughe di PII) e test basati sull'albero decisionale.
2. PromptSmith: Iterativamente rifinisce il prompt dell'agente finché i test visibili non passano.
   • Analizza i fallimenti, li raggruppa per causa radice e applica modifiche mirate al prompt.
   • Utilizza un ciclo di compilazione a due livelli: un ciclo interno focalizzato sui test falliti per accelerare l'iterazione.
3. Built Agent: L'agente runtime che esegue il prompt compilato, chiamando gli strumenti e restituendo risposte strutturate tramite un tool respond dedicato.
4. MutationSmith: Agente di valutazione (non partecipa alla compilazione) che genera varianti "difettose" del prompt compilato per testare la robustezza della suite di test.

Meccanismi Anti-Gaming

Per prevenire che l'agente ottimizzi solo per passare i test (gaming), TDAD introduce tre meccanismi chiave:

1. Split Visibili/Nascosti (Visible/Hidden Splits):
   • I test visibili (40-70%) guidano la compilazione.
   • I test nascosti (30-60%) sono tenuti riservati durante la compilazione e usati solo per misurare la generalizzazione (Hidden Pass Rate - HPR).
2. Mutation Testing Semantica:
   • Dopo la compilazione, MutationSmith genera varianti del prompt che introducono errori plausibili (es. "salta l'autorizzazione", "esponi PII se richiesto direttamente").
   • La suite di test visibili deve "uccidere" (rilevare) queste varianti. Il Mutation Score (MS) misura la capacità del test di rilevare comportamenti errati.
3. Evoluzione delle Specifiche (Spec Evolution):
   • Simula scenari reali dove le specifiche cambiano (v1 -> v2).
   • Misura la Spec Update Regression Score (SURS): quanto bene l'agente v2 mantiene i comportamenti invarianti di v1, senza che PromptSmith abbia visto i test di v1 durante la compilazione di v2.

3. Contributi Chiave

1. Metodologia di Compilazione: Formalizzazione del processo da specifica a prompt compilato, decomposto in ruoli specifici con interfacce chiare.
2. Meccanismi Anti-Gaming: Introduzione di split nascosti, mutation testing semantico e scenari di evoluzione per garantire che l'ottimizzazione non porti a falsi positivi.
3. Benchmark SpecSuite-Core: Un nuovo benchmark composto da 4 agenti profondamente specificati (SupportOps, DataInsights, IncidentRunbook, ExpenseGuard) che coprono compliance, analisi, aderenza ai manuali e enforcement deterministico. Include test visibili/nascosti, cataloghi di intenti per le mutazioni e scenari v1->v2.
4. Implementazione di Riferimento: Un repository open-source che integra pytest, Docker e Claude Code, fornendo un esempio completo di "SupportOps" con tutti gli artefatti generati.

4. Risultati Sperimentali

Il benchmark è stato eseguito su 24 trial indipendenti (4 specifiche x 2 versioni x 3 trial) utilizzando il modello Claude Sonnet 4.5.

• Successo di Compilazione:
  • v1: 92% di successo (11 su 12 trial).
  • v2: 58% di successo (7 su 12 trial). I fallimenti sono spesso dovuti a budget di iterazione esauriti o conflitti nei test generati, ma anche i trial falliti hanno superato il 95% dei test visibili.
• Generalizzazione (HPR - Hidden Pass Rate):
  • v1: 97% medio.
  • v2: 78% medio.
• Qualità dei Test (Mutation Score - MS):
  • I punteggi variano dall'86% al 100%. Le versioni v2 hanno raggiunto il 100% in tutti i trial riusciti, chiudendo le lacune rilevate nella v1 (es. allucinazione di numeri o salti nei manuali).
• Sicurezza di Regressione (SURS):
  • Media del 97%, indicando che l'aggiunta di nuove funzionalità raramente rompe i comportamenti esistenti.
• Costi:
  • Il costo medio per compilare una versione di specifica è di circa 2-3 USD (API Anthropic), con un tempo di esecuzione di 30-60 minuti.

5. Significato e Conclusioni

Il paper dimostra che è possibile applicare la disciplina dell'ingegneria del software tradizionale (test-driven development) allo sviluppo di agenti AI complessi.

• Rigore: TDAD trasforma lo sviluppo di prompt da un processo di "trial-and-error" soggettivo a un processo ingegneristico misurabile e ripetibile.
• Sicurezza: I meccanismi anti-gaming (test nascosti e mutation testing) sono essenziali per il deployment in produzione, garantendo che l'agente non si limiti a "ingannare" i test ma rispetti realmente le policy.
• Scalabilità: Sebbene ci siano limiti (varianza stocastica, costi di API, difficoltà nel specificare concetti soggettivi come "empatia"), il framework fornisce una base solida per agenti che prendono decisioni ad alto rischio.

In sintesi, TDAD propone un cambio di paradigma: non si scrive più un prompt e si spera che funzioni; si definisce il comportamento attraverso test, si compila il prompt fino al loro superamento e si mantiene la suite di test come rete di sicurezza per le regressioni future.