15-EFT.WP.Methods.Falsification v1.0 | 第6章 证伪算子与自动化框架

目录 ／ 文档-技术白皮书 ／ 15-EFT.WP.Methods.Falsification v1.0

第6章 证伪算子与自动化框架

I. 范围与目标

• 本章给出证伪算子族在输入/模型/流水线三个层级的定义、组合与自动化编排框架，覆盖对抗生成、变异与模糊化、时基与资源扰动、以及在线注入与回退。所有算子均在锁定环境 EnvLock 与共同时基 ts = alpha + beta * tau_mono 下执行，产出可复现的证据与度量（cov_spec，kill_rate，TS.latency/TS.error，FDR/FWER）。
• 通过标准
  算子库覆盖目标域与威胁模型；自动化编排能生成满足预算 budget.cpu/gpu/mem、budget.power 与距离约束（epsilon_linf 或 epsilon_l2）的样本；各层注入点具备幂等与回退，生成日志具备 hash(·) 与 fingerprint 签名。

II. 术语与符号

1. 算子与预算
   • 输入级算子：mutate(x; op, budget)，如 noise, blur, occlude, synonym, prompt_shift。
   • 模型级算子：gradient_attack, weight_jitter, quantize_jitter(qbits)，drop_layer(k)。
   • 流水线级算子：delay(dt)，jitter(sigma)，drop(rate)，reorder(k)，clock_skew(alpha,beta)。
   • 距离与投影：B_p(x, epsilon)（l_p 球），投影 Pi_{B_p}；步长 eta；迭代步 attack_steps。
2. 注入点与图
   Inject@Input，Inject@Preproc，Inject@Model，Inject@Postproc，Inject@IO；运行图节点以 Graph.sig 标注签名。
3. 随机与确定性
   rng.seed，rng_family；确定性执行 deterministic = true/false；非确定性屏蔽记录 NonDetMask。

III. 公设与最小方程

• P51-8（算子可合成公设）
  若 op_a 与 op_b 在量纲与域上兼容，则其复合 op_b ∘ op_a 的距离上界满足三角不等式：dist( (op_b ∘ op_a)(x), x ) ≤ dist( op_a(x), x ) + dist( op_b(x), x )。
• P51-9（注入可交换性边界公设）
  对通勤对 (op_i, op_j) 存在交换域 D_comm，若 x ∈ D_comm 则 op_i ∘ op_j (x) = op_j ∘ op_i (x)；离开 D_comm 时需显式声明执行顺序与副作用。
• S52-13（FGSM 与投影约束）
  x_adv = clip_D( x + epsilon * sign( grad_x L( model, x, y ) ) )，其中 clip_D(·) 将结果截断到输入域与约束集合。
• S52-14（PGD 迭代攻击，l_inf 球）
  x_0 = x；循环 t = 0..attack_steps-1：
  x_{t+1} = Pi_{B_inf(x, epsilon)}( x_t + eta * sign( grad_x L( model, x_t, y ) ) )；最终 x_adv = clip_D( x_{attack_steps} )。
• S52-15（黑盒梯度估计，SPSA）
  g_hat = ( 1 / m ) * Σ_{i=1..m} ( L( x + c * delta_i ) - L( x - c * delta_i ) ) * ( 1 / ( 2c ) ) * delta_i^{-1}，其中 delta_i ∈ {−1, +1}^d，按坐标自乘逆。
• S52-16（权重量化抖动）
  W_q = Q_qbits(W)，W_j = W_q + U( -delta_q, +delta_q )；量纲与域校核 check_dim(W_j)，并保持 Graph.sig 不变。
• S52-17（时基扰动一致性）
  流水线级 clock_skew(alpha,beta) 与时基映射满足 ts' = alpha' + beta' * tau_mono；若在线离线对照，则 | (alpha', beta') - (alpha, beta) | ≤ tau_skew 进入“无漂移”域。

IV. 数据与清单口径

1. Op.card（最小字段）
   • {id, layer ∈ {input, model, pipeline}, threat_model, domain, constraints, params, rng_family, determinism, cost_model, safety_guard}。
   • threat_model 示例：epsilon_linf, epsilon_l2, semantic_edit, timing_fault。
   • constraints 明示 check_dim(expr)、取值域、FDR/FWER 联动策略。
2. Inject.graph
   {nodes, edges, inject_points[ {node_id, hooks, precedence, rollback} ], signature: Graph.sig }；hooks 支持 pre, post, around；rollback 提供恢复策略。
3. Budget.card
   {cpu, gpu, mem, power, walltime, retries, max_fail_rate}，与 TS.latency/TS.error 联动触发降级。

V. 算法与实现绑定

1. 接口扩展（承接 I50-*）
   • I50-11 register_operator(op_card:dict) -> OpHandle
   • I50-12 compose_operators(chain:list[OpHandle]) -> OpChain
   • I50-13 plan_injection(graph:Graph, chain:OpChain, policy:dict) -> InjectionPlan
   • I50-14 execute_injection(rt:Runtime, plan:InjectionPlan, inputs:any) -> Logs
   • I50-15 estimate_gradient(model:any, x:any, method:str, opts:dict) -> grad:any
   • I50-16 perturb_timebase(stream:any, alpha:float, beta:float) -> stream'
   • I50-17 audit_signature(artifact:any) -> {hash:str, fingerprint:str}
   • I50-18 rollback(rt:Runtime, anchor:str) -> Runtime
   • I50-19 enforce_determinism(rt:Runtime, mask:any) -> Runtime
2. 编排策略（摘要伪代码）
   • op_set ← registry.filter(threat_model, layer)
   • chain ← compose_operators( select(op_set, policy.compat) )
   • plan ← plan_injection(graph, chain, budget ∪ precedence)
   • rt' ← enforce_determinism(rt, NonDetMask)；sig ← audit_signature(rt')
   • logs ← execute_injection(rt', plan, inputs)
   • 产出度量：cov_spec, kill_rate, TS.latency, TS.error；若 TS.error > tau_err 或 cov_spec 未提升，则 rollback(rt', anchor)

VI. 计量流程与运行图

• Mx-55 算子库准入
  校验 Op.card 与 safety_guard；执行量纲与域检查；对 gradient_attack 进行小样本烟测，记录 effect_size 与资源曲线。
• Mx-56 注入计划生成
  结合 Inject.graph 与 Budget.card 解约束，产出 InjectionPlan；声明执行序、兼容性与投影函数 Pi_{B_p}。
• Mx-57 执行与在线观测
  以影子/金丝雀流执行；采集 TS.latency/TS.error，违例流与覆盖增量 Δcov_spec；异常触发 GateDecision ∈ {hold, block}。
• Mx-58 回退与审计
  失败则 rollback 到 anchor，生成 hash(·) 与 fingerprint，归档日志与策略快照；通过则更新 anchor 与签名。

VII. 验证与测试矩阵

1. 算子正确性
   • 对每个 op，执行域内外边界样本三点法；验证 check_dim(expr) 与域约束。
   • 对 gradient_attack，比较 FGSM/PGD/SPSA 在相同 epsilon 下的违例率与方差。
2. 资源与时序
   • 在 budget.* 约束下压测，记录 TS.latency P50/P95 与 TS.error；超过阈值触发降级。
   • 对 clock_skew 注入，验证 S52-17 的 tau_skew 门限。
3. 重放与一致性
   固定 rng.seed 重放 3 次，delta_offon ≤ tau_offon；cov_spec 与 kill_rate 变异系数 ≤ tau_cv。
4. 统计与错误控制
   断言检验进入门控，FDR ≤ q_star 或 FWER ≤ alpha_family；对多算子串联进行家族错误率合成。

VIII. 交叉引用与依赖

• 依赖：《Core.Threads》（编排与资源）、《Core.DataSpec》（字段与量纲）、《Core.Errors》（异常与门限）、《Core.Metrology》（度量与置信）。
• 交叉：与本卷第4章（样本口径）对接输入域与追溯；与第5章（用例与覆盖）共享 C_total/C_hit；与第7章（统计检验）共享 alpha/beta/FDR；与《EFT.WP.Methods.Inference》第5章（算子稳定性与精度）共享数值安全基线。

IX. 风险、限制与开放问题

• 风险与限制
  Oracle 歧义导致误判；复合算子引入不可交换副作用；黑盒梯度方差大导致无效扰动；量化抖动可能改变 Graph.sig 的语义等价类。
• 开放问题
  针对多模态的统一距离度量与投影；自适应编排（基于在线反馈动态选择 op 与步长 eta）；跨域共享 InjectionPlan 的迁移与再校准。

X. 交付件与版本管理

• 交付件
  Op.catalog.json，Inject.graph.json，InjectionPlan.json，Budget.card，Run.logs，Coverage.report，KillRate.report，TS.observability.csv，GateDecision.log，anchor.sig。
• 版本策略
  新增/移除算子或改变威胁模型递增 minor；更改编排与门控策略递增 major；所有版本生成 hash(·) 与 fingerprint，并更新 EnvLock 附注。