# 🥊 AI Adversarial Protocol
**Multiple LLMs answer the same question, audit each other, ground claims in tools, and only keep what survives scrutiny.**
让多个 LLM 围绕同一个问题独立作答 → 互相挑刺 → 调用外部工具求证 → 错的主动认错 → 投票收敛 — 比单模型答案更接近"真"。
[](https://github.com/laochendeai/ai-adversarial-protocol/actions/workflows/ci.yml)
[](https://www.npmjs.com/package/ai-adversarial-protocol)
[](https://www.npmjs.com/package/ai-adversarial-protocol)
[](https://github.com/laochendeai/ai-adversarial-protocol/releases)
[](LICENSE)
[](https://nodejs.org)
[](CONTRIBUTING.md)
[](https://github.com/laochendeai/ai-adversarial-protocol/stargazers)
[English](README.md) · **简体中文**
[`npm install -g ai-adversarial-protocol`](https://www.npmjs.com/package/ai-adversarial-protocol) · [快速开始](#-quick-start) · [FAQ](docs/FAQ.zh-CN.md) · [路线图](docs/ROADMAP.zh-CN.md) · [支持](SUPPORT.md) · [贡献](CONTRIBUTING.zh-CN.md)
---
## 项目定位
**AAP(AI Adversarial Protocol)** 是一个 Node.js CLI + HTTP Server,让你把任意数量、任意服务商的 LLM 编入一个**对抗式协作流水线**:
```
┌──── Phase 1: Generating ────┐
│ N 个模型并行独立作答 │
└──────────────┬───────────────┘
▼
┌──── Phase 2: Tool Grounding (可选) ─┐
│ search / fetch_url / exec_python │
│ 错了的模型 concede() 主动退出 │
└──────────────┬───────────────────────┘
▼
┌──── Phase 3: 结构化黑板 ─────────┐
│ claim / 证据 / 共识风险 │
│ 身份漂移 / 少数派保护 │
└──────────────┬───────────────────┘
▼
┌──── Phase 4: Auto-Challenge ────┐
│ 每个模型审计其他模型的输出 │
│ 标注事实错误/逻辑漏洞/遗漏 │
│ 挑刺结果回写结构化黑板 │
└──────────────┬───────────────────┘
▼
┌──── Phase 5: Voting ────────────┐
│ 多模式投票(majority/weighted/ │
│ consensus/unanimous) │
│ 共识不足 → 标"需人工",不强造结果 │
└──────────────────────────────────┘
│
▼
Multi-round(默认 2 轮):第二轮 prompt
含上一轮回答 + 挑刺,让模型修正
```
**为什么要做对抗:** 单 LLM 的 RLHF 偏置会让它对自己不知道的事情自信地编造。多 LLM 投票天然放大同向偏置(训练数据重叠 → 错得一致 → 多数票通过)。引入**外部工具接地** + **主动认错** + **同行 audit** 是把"求真"放在"听起来完整"之上的工程化路径。
## 为什么是 AAP
| 方案 | 常见问题 | AAP 的处理方式 |
|---|---|---|
| 单模型 | 回答很快,但自信幻觉难发现 | 把每个回答都当成需要被挑战的 claim |
| 朴素多模型投票 | 训练数据重叠会导致一起错、一起投 | 要求互相挑刺、证据来源和明确的"需人工审查"状态 |
| 只靠工具的 agent | 工具有帮助,但模型仍可能夸大证据 | 显示真实 tool calls,让同行审计,并允许 `concede()` |
| AAP | 生成、接地、挑战、修正、投票 | 宁可承认不确定,也不制造假 winner |
## Demo Gallery
下面这些动图展示同一套协议在不同任务里的运行轨迹:独立作答、可选工具接地、结构化黑板、互相挑刺、修正和投票。
| 世界杯结果对抗 | 代码理解对抗 |
|---|---|
| 
| 
|
| 问题求证 | 标准理解 |
|---|---|
| 
| 
|
---
## ✨ Features
### 多模型对抗
- 任意服务商混搭:OpenAI / Anthropic / Ollama 协议都支持,OpenAI 兼容代理(如 SiliconFlow、各种本地多模型网关)也走得通
- **多轮对抗**:默认最少 2 轮、最多 4 轮;修正轮会看到上一轮回答、挑刺和黑板控制信号
- **自适应轮次**:`maxRounds` 是安全上限,不是“已经求真”的信号;达到最小轮数后,如果仍有中/高严重性挑刺或黑板强制修正,会继续运行,到上限仍未解决则标记需复核
- **加权投票**:每个模型可设权重;模式可选 majority / weighted / consensus / unanimous
### 求真接地(Tier 3)
- **工具调用** 由模型自主发起:
- `search` — 通过本地 SearXNG 搜索互联网
- `fetch_url` — 抓取 URL 验证内容
- `exec_python` — 沙箱执行(一次性 Docker,`--network none`,stdlib only)
- `repo_list_files` / `repo_search` / `repo_read_file` — 可选本地仓库审计工具,只能访问配置过的 root
- `repo_run_command` — 可选验证命令工具,只执行 allowlist 中完全匹配的命令
- `concede` — **主动认错退出**:模型见到证据后承认错误、可选 defer to 同行
- **Capability probe**:自动探测每个模型对 tool-calling 的真实支持,结果缓存 24h;不可靠的模型在工具运行时被自动剔除
- **本地仓库安全边界**:repo 工具默认关闭、只读、root 白名单、限制行数/字节、密钥脱敏,并硬排除 `.git`、`dist`、`assets`、`node_modules`、Python 环境、缓存和生成产物
- **当前日期注入**:每个 prompt 自动带 system 消息告知"今天是 X 年 X 月 X 日",避免模型把训练截止时间当成"现在"
- **求真 > 收敛**:投票若不达共识,输出"需人工审查"而非强造 winner
### 用户意见参与对抗
- 用户意见会被拆成可验证 claim,不会被当成投票权或事实来源
- 用户提供的证据链接会被抓取、摘要,并进入 claim review prompt
- 输出包含采纳 / 反驳 / 部分采纳 / 证据不足、证据状态、采纳矩阵和精简证据图
- 反附和评分会下调“盲审阶段没有依据、看到用户意见后无证据支持”的模型本轮投票权重
### 结构化黑板协议
- 每一轮生成后都会更新结构化 claim、证据引用、共识簇和 controller 事件
- 模型互相挑刺会回写进黑板,并转成下一轮修正指令
- 对低独立证据的多数一致做风险标记,避免把“两个模型说法一致”直接当成真
- 少数派差异 claim 会被保留下来等待裁决,不被多数措辞覆盖
- 如果运行时模型声称自己是另一个模型家族,会输出身份漂移信号,并反馈到模型画像评分
### 结构化裁决与预测模型
- 通用概率预测框架:base rate、加权 signal、不确定性区间、Brier Score、Log Loss
- 世界杯冠军概率 MVP:rating / 近期状态 / 阵容健康 / 赛程路径 + 确定性种子模拟
- 美国总统竞选 MVP:提名概率 × 大选胜率,支持州级 Electoral College signal
- 标准冲突裁决:适用范围、上位/下位、强制/推荐、专门/通用、生效日期、替代和过渡期
### 可观察性
- **TUI**(基于 ink)实时显示:
- 每个模型的流式输出 + token 计数
- 顶部最终求真结果:代表答案、置信度、是否需复核、停止原因
- 每轮完整 Markdown 报告:`~/.aap/runs/