LDP: An Identity-Aware Protocol for Multi-Agent LLM Systems

本文提出了 LLM 委托协议（LDP），这是一种将模型身份、推理画像等属性作为核心原语的 AI 原生通信协议，并通过插件实现与评估证明了其在降低延迟、减少 Token 消耗及提升系统可治理性方面的优势，同时也揭示了未经验证的置信度元数据可能带来的负面影响。

要点

这篇文章介绍了一个名为 LDP (LLM Delegate Protocol) 的新协议。为了让你更容易理解，我们可以把现在的多智能体（AI 机器人）系统想象成一家繁忙的“超级外包公司”。

🏢 背景：现在的“外包公司”有什么问题？

想象一下，你是一家大公司的经理，你需要把任务分发给手下的员工（AI 模型）去处理。

• 现状（A2A 和 MCP 协议）： 目前，这些员工只有一张简单的名片。名片上写着：“我叫小明，我会写代码”、“我叫小红，我会做数学题”。
• 问题： 当你把任务交给他们时，你不知道他们的真实水平。
  • 小明可能是一个刚毕业、写代码很慢但很便宜的实习生（小参数模型）。
  • 小红可能是一个年薪百万、逻辑极强但很贵的资深专家（大参数模型）。
  • 现在的协议只告诉你“小明会写代码”，却不告诉你“小明写代码很慢”或者“小红做数学题其实有点粗心”。
  • 结果： 经理（路由器）只能瞎猜。有时候把简单的任务（比如“把文件重命名”）交给了昂贵的专家，浪费钱又慢；有时候把复杂的任务（比如“写一个复杂的算法”）交给了实习生，结果搞砸了。

🚀 解决方案：LDP 协议（给员工发“超级身份证”）

LDP 协议就像是给每个 AI 员工发了一张详细的“超级身份证”，并建立了一套更聪明的沟通规则。

1. 超级身份证 (Identity Cards)

现在的协议只给名字，LDP 给的是详细档案：

• 性格与特长： “我是‘深度分析型’选手，适合做复杂推理”或者“我是‘快速实用型’选手，适合做简单分类”。
• 能力评分： 明确标注“我的准确率大概是 85%"，“我的响应速度是 1 秒”。
• 成本标签： “我很便宜”或“我很贵”。
• 比喻： 就像你点外卖时，不再只看“这是一家餐厅”，而是能看到“这家店出餐快但口味一般”或者“这家店慢工出细活但价格高”。这样你点餐（分配任务）时就能按需分配，简单任务找快店，复杂任务找名店。

2. 灵活的沟通语言 (Payload Negotiation)

• 现状： 大家交流时，不管任务多简单，都非得用长篇大论的自然语言（像写散文一样），浪费了很多时间和流量（Token）。
• LDP 的做法： 允许双方协商用什么语言交流。
  • 如果是简单任务，直接发结构化数据（像填表格一样，只有关键信息），省字又省时间。
  • 如果对方看不懂表格，自动降级回自然语言（像手机信号不好自动切回 2G 网，保证能通）。
• 比喻： 就像你和朋友聊天，如果是点咖啡，直接发个表情符号📍☕️（结构化数据）就够了，没必要发一段“亲爱的朋友，我想请你喝杯咖啡，地点在……"（自然语言）。

3. 长期会话 (Governed Sessions)

• 现状： 现在的协议是“一次性”的。每说一句话，都要把之前的所有聊天记录重新发一遍，就像每次打电话都要先自我介绍并复述前 10 分钟的内容，非常啰嗦。
• LDP 的做法： 建立长期会话。一旦连接建立，上下文就保存在服务器上了，后续对话只需要说“接着刚才的”就行。
• 比喻： 就像你和一个老朋友聊天，不需要每次见面都重新介绍“我是谁，我们上次聊到哪了”，直接接着聊就行。这在大工程（多轮对话）中能节省大量成本。

4. 信任与验证 (Trust & Provenance)

• 现状： 你不知道 AI 说的话是它自己瞎编的，还是经过验证的。
• LDP 的做法： 每个回答都附带**“来源标签”**。
  • “这句话是我说的，我有 80% 的把握。”
  • “这句话我已经让另一个 AI 检查过了，通过。”
• 重要发现： 论文发现一个有趣的现象——如果只给“自信度”而不给“验证结果”，反而更糟糕。
  • 比喻： 就像一个吹牛的人说“我 100% 确定”，但没人核实，你信了反而容易出错。LDP 强制要求必须有“验证通过”的印章，才值得信任。

📊 实验结果：真的有用吗？

研究人员用本地的小模型做实验，对比了“旧协议（A2A）”和“新协议（LDP）”：

1. 速度变快了： 对于简单任务，LDP 能自动派给“快但便宜”的模型，速度比旧协议快了 12 倍！
2. 省钱了： 使用结构化语言（填表格），节省了 37% 的字数（Token），这意味着直接省下了真金白银的 API 费用。
3. 多轮对话更省： 在聊了 10 轮之后，旧协议因为要重复发送历史，浪费了 39% 的流量，而 LDP 没有这个浪费。
4. 安全性更高（模拟测试）： 如果黑客试图伪装成内部员工，LDP 能发现 96% 的伪装，而旧协议只能发现 6%。
5. 关于质量： 有趣的是，在简单的任务池子里，LDP 并没有让最终答案变得“更聪明”（因为模型本身能力有限），但它让资源分配更合理了。

💡 总结

这篇论文的核心思想是：AI 模型不是黑盒子，它们有性格、有成本、有强弱。

以前的协议把它们当成普通的“服务”来调用，太粗糙了。LDP 协议就像给 AI 世界建立了一套**“精细化的人力资源管理系统”**：

• 知道谁擅长什么（身份卡）。
• 知道怎么沟通最省钱（协商语言）。
• 知道怎么长期合作不啰嗦（会话管理）。
• 知道谁的话可信（验证机制）。

虽然目前还在早期阶段，但它让 AI 之间的合作变得更聪明、更省钱、更安全，就像把一群散兵游勇变成了一支训练有素、分工明确的特种部队。

技术摘要

LDP：面向多智能体 LLM 系统的身份感知协议技术总结

1. 研究背景与问题定义

随着多智能体 AI 系统复杂度的提升，现有的智能体间通信协议（如 Google 的 A2A 和 Anthropic 的 MCP）逐渐显现出局限性。

• 核心问题：现有协议主要将智能体视为黑盒服务，仅暴露名称、描述和技能列表等基础信息，而缺乏模型层面的元数据（如模型身份、推理能力画像、质量校准、成本特征等）。
• 后果：路由决策者（Router）无法在模型选择时进行有效的“质量 - 成本”权衡，无法协商通信格式，难以验证输出来源的可信度，也无法在状态无保留（stateless）的协议中维持多轮对话的上下文治理。
• 目标：提出一种**AI 原生（AI-native）**的通信协议，将模型属性作为协议的一等公民（first-class primitives），以实现更高效、可治理的智能体委托（Delegation）。

2. 方法论：LLM 委托协议 (LDP)

作者提出了 LLM Delegate Protocol (LDP)，并基于 JAMJET 智能体运行时实现了参考插件。LDP 围绕三个核心观察设计：

1. AI 委托具有丰富且可操作的身份：模型家族、参数量、推理画像等属性应直接用于路由决策。
2. 通信开销是首要成本：Token 消耗直接决定延迟和金钱成本，需支持协商紧凑的负载格式。
3. 治理需要协议级支持：多轮会话、溯源追踪和信任边界无法在状态无保留的协议上可靠地“打补丁”。

LDP 的五大核心机制

1. 丰富的委托身份卡 (Delegate Identity Cards)：
   • 扩展了 A2A 的 Agent Card，包含 20+ 个字段，分为四类：核心身份（模型族、版本）、信任与安全（信任域、公钥）、能力（上下文窗口、质量提示、延迟提示、成本提示）和行为（推理画像如“深度分析型”或“快速实用型”）。
2. 渐进式负载模式 (Progressive Payload Modes)：
   • 定义了 6 种负载模式（从 Mode 0 纯文本到 Mode 5 缓存切片）。
   • 协商与回退：会话建立时协商最高支持模式；若高级模式失败（如 schema 校验错误），自动回退至低阶模式（如从语义帧回退到文本），确保通信不中断。
3. 受治理的会话 (Governed Sessions)：
   • 引入有状态的持久化上下文，支持多轮委托（迭代优化、验证链）。
   • 包含明确的会话生命周期（HELLO, CAPABILITY_MANIFEST, SESSION_PROPOSE 等），消除每轮请求重复发送历史上下文的开销。
4. 结构化溯源 (Structured Provenance)：
   • 每个任务结果携带元数据（置信度、验证状态、使用的负载模式）。
   • 允许下游合成器根据来源可靠性和验证状态对输出进行加权。
5. 信任域 (Trust Domains)：
   • 在协议层面定义安全边界，强制执行消息级签名、会话级信任域兼容性检查以及基于策略的任务验证（如能力范围、合规性）。

3. 实验设置

• 实现：作为 JAMJET 运行时的外部插件，与现有 A2A/MCP 适配器共存。
• 基线：对比 Google A2A（仅技能匹配）和随机路由基线。
• 环境：使用本地 Ollama 模型（Qwen3-8b, Qwen2.5-Coder-7b, Llama3.2-3b）作为委托智能体，Google Gemini 2.5 Flash 作为 LLM 裁判（LLM-as-judge）。
• 研究问题 (RQ)：涵盖路由质量、负载效率、溯源价值、会话效率、安全边界（模拟）和回退可靠性（模拟）。

4. 主要实验结果

4.1 路由质量与延迟 (RQ1)

• 质量：在小规模委托池（3 个模型）中，LDP 的整体输出质量并未显著优于 A2A 的技能匹配（LDP: 6.80 vs A2A: 7.43，无统计显著性）。这表明在模型池较小时，元数据路由的优势不明显。
• 延迟：LDP 在简单任务上实现了 ~12 倍 的延迟降低（2.9s vs 34.8s）。这是因为 LDP 能将简单任务路由到轻量级模型（Llama3.2-3b），而 A2A 仅凭技能名往往选择重型模型。

4.2 负载效率 (RQ2)

• Token 节省：使用语义帧 (Semantic Frames, Mode 1) 相比纯文本 (Mode 0) 减少了 37% 的 Token 数量（765 vs 1215），相比 A2A 的 JSON 格式减少 32%。
• 统计显著性：Token 减少具有统计显著性 (p=0.031, d=-0.7)。
• 质量影响：负载格式的改变未导致质量损失 (p=0.96)，结构化提示甚至略微提升了模型聚焦度。

4.3 会话效率 (RQ4)

• 上下文开销：在 10 轮对话中，A2A 的无状态重调用导致 39% 的 Token 为纯开销（重复发送上下文）。
• LDP 优势：受治理会话消除了重复传输，在 10 轮对话中总 Token 数减少 23%。

4.4 溯源与验证 (RQ3)

• 关键发现：有噪声的溯源（Noisy Provenance）比无溯源更有害。
  • 当置信度被人为夸大且标记为“已验证”时，合成器会过度加权错误输出，导致决策质量显著下降（6.85 vs 无溯源的 7.85）。
  • 这证明了 LDP 设计中显式验证字段（verification.performed, verification.status）的必要性：没有验证的置信度信号是危险的。

4.5 安全与回退 (模拟分析 RQ5 & RQ6)

• 安全检测：LDP 的信任域机制能检测 96% 的未授权委托攻击（如能力升级、跨域访问），而 A2A 仅能检测 6%（仅靠 Token 吊销）。
• 故障恢复：LDP 的负载回退链实现了 100% 的任务完成率，而 A2A 在通信故障下完成率仅为 35%。

5. 主要贡献

1. 协议规范：定义了 AI 原生的身份卡、渐进式负载协商、受治理会话、结构化溯源和信任域。
2. 参考实现：基于 JAMJET 的开源插件实现，展示了零修改宿主系统即可集成。
3. 实证证据：
   • 证明了元数据路由在延迟优化和Token 效率上的显著价值。
   • 揭示了无验证的置信度元数据可能降低系统性能的风险。
   • 通过模拟分析展示了协议级安全架构在攻击检测和故障恢复上的优势。

6. 意义与结论

LDP 提出了一种将 AI 智能体视为具有可测量属性的异构模型而非黑盒服务的范式转变。

• 实际价值：虽然在小规模实验中未显著提升绝对质量，但在延迟成本（12 倍加速）、通信成本（37% Token 节省）和系统鲁棒性（100% 故障恢复）方面具有显著优势。
• 设计启示：未来的多智能体协议必须包含验证机制，否则暴露的置信度元数据可能产生误导。
• 未来方向：随着委托池规模扩大和模型异构性增加，LDP 的路由优势预计将更加显著。该协议为构建可治理、高效且安全的下一代多智能体系统提供了基础架构。

总结：LDP 不仅仅是一个通信协议，更是一套治理框架，它通过显式暴露模型身份和协商机制，解决了当前多智能体系统中“盲目委托”和“通信低效”的核心痛点。