当AI团队从"单打独斗"变成"协作军团"，强化学习该如何管好这支队伍？——来自独立研究者的前沿梳理

这项由独立研究者完成的综述性工作以预印本形式发布于2026年5月，论文编号为arXiv:2605.02801v1，归属计算机科学（自然语言处理）方向，发布时间为2026年5月4日。有意深入了解的读者可通过上述编号查询完整论文及配套资料库。

**研究概要**

多年前，当人们谈论人工智能的时候，脑海中浮现的往往是一个聪明的"助手"——你问它问题，它给出答案，整个过程简单直接。然而，现实世界的任务很少如此干净利落。撰写一份完整的调研报告、开发一套复杂的软件系统、在互联网上搜集并整合海量信息……这些任务需要的不是一个聪明的单打独斗者，而是一支分工明确、协同作战的团队。

正因如此，AI领域正在经历一场从"单一智能体"向"多智能体团队"的深刻转型。这场转型带来的核心挑战，用一句话来概括，就是：当一群AI一起工作的时候，我们该如何训练它们？

这篇综述研究正是为了回答这个问题。研究者以"编排追踪（orchestration trace）"这一概念作为核心分析工具，系统梳理了如何为多智能体大语言模型系统（LLM-MAS）设计奖励机制、如何将功劳分配给正确的"队员"，以及如何让整个团队的协调行为本身也能被学习和优化。研究者还将学术界的方法与工业界的实际部署案例（特别是Moonshot旗下的Kimi智能体群、OpenAI的Codex以及Anthropic的Claude Code）进行了对比，发现两者之间存在相当显著的规模差距，这一差距揭示了当前学术研究与实际应用之间真实存在的鸿沟。

---

**一、从"一个人干活"到"一群人协作"，问题在哪里**

以一位全能型厨师为例。他一个人负责切菜、炒菜、摆盘、端盘，每一步都由他完成，最终一道菜做好了，他清楚地知道哪个环节做得好、哪个环节拖了后腿。这就是单个AI智能体的工作方式——一个"大脑"负责全程，训练和改进都相对直接。

然而，当这变成一支厨师团队时，情况就复杂了。有人负责切配，有人负责控火，有人负责调味，有人负责最后的摆盘，还有一位主厨负责统筹指挥。最终这道菜端上来之后，顾客说"味道不好"——那么，到底是谁的责任？是切菜切得不够细，还是火候没掌握好，还是调味出了问题？

这个问题，在AI领域被称为"信用分配"（credit assignment）问题，而它在多智能体系统中变得格外棘手。

当前的强化学习（reinforcement learning，简单理解为"通过奖励和惩罚让AI学会做事"的训练方式）在单个智能体上已经取得了相当好的成果——DeepSeek-R1的长链推理、GPT系列的对话能力，都受益于这套训练范式。但当AI智能体从一个变成几十个、甚至几百个，并且它们相互交流、相互依赖时，旧的训练方法就开始出现裂缝。

研究者指出，LLM-MAS（大语言模型多智能体系统）与传统的多智能体强化学习（MARL）存在七个关键区别。这些区别让直接套用旧方法行不通。

第一，AI智能体之间传递的不是简单的信号，而是自然语言——完整的句子、段落，甚至长达数百个词的报告。这使得"每条消息贡献了多少价值"这个问题变得极难量化。第二，每个智能体"看到的世界"可能是几千个词的对话记录、工具返回的文档或者另一个智能体的摘要报告，信息量庞大且形式各异。第三，团队规模不是固定的——Kimi K2.5公开报告中描述的系统可以动态生成多达100个子智能体，K2.6甚至扩展到了300个，而团队规模本身就是由AI的决策决定的，这在经典框架中根本不存在。第四，AI们之间的交流是完全自由的自然语言对话，没有固定格式，远比传统MARL中那些简单的数字信号复杂。第五，一次任务可能历经数千步骤，持续数小时，多个子智能体并行工作，最慢的那个会拖累整支团队。第六，团队中的AI们扮演着不同的角色——规划者、执行者、批评者、验证者、总结者——角色的异质性带来了全新的信用分配挑战。第七，也是最根本的一点：需要被奖励和追责的"单位"变多了，不再仅仅是"哪个动作对了"，而是"哪条消息起了关键作用"、"哪次委派决策是正确的"。

---

**二、"编排追踪"——用一张事件地图来理解AI团队的协作过程**

为了给这个复杂的问题提供一个统一的分析框架，研究者引入了"编排追踪"（orchestration trace）这个核心概念。

可以把它理解为一张详细的"工作流程图"。假设你在一家快递公司工作，仓库里有一批货物需要分拣、打包、分配路线、最终派送。这整个过程如果用图表来记录，每个步骤（分拣、打包、路线规划、派送）都是图上的一个节点，步骤之间的依赖关系（必须先打包才能派送）是图上的连线，每个节点还标注了是谁在哪个时刻做了什么。这张图，就是"编排追踪"在AI世界里的模样。

在AI多智能体系统中，这张图包含的节点类型主要有几种：编排者的决策（由谁来做这件事）、子智能体的启动（生成一个新的AI助手来处理子任务）、智能体之间的消息传递、工具调用（比如搜索互联网或执行代码）、结果的返回和汇总、以及最终的聚合步骤。

研究者用数学语言将这个概念严格化，把经典的"分布式部分可观测马尔可夫决策过程"（一个描述多个决策者在信息不完整情况下协作的经典模型）扩展为一个支持动态增减智能体数量的新版本。这个扩展并非意在建立一套全新的数学理论，而是提供一套清晰的"词汇表"，让不同方法之间的比较有了共同的语言。

理解编排追踪的关键在于一个核心观察：当一支AI团队共享一个最终奖励（比如任务完成了就得1分，失败就得0分），而这个奖励被平均分配给所有决策步骤时，随着任务变得越来越长、步骤越来越多，每一步能"感受到"的信号就越来越微弱。就好像一盏灯的亮度固定，但要照亮的房间越来越大——最终每个角落都处于昏暗之中。这就是"信用扩散"问题，也是为什么长时间、大规模的多智能体任务特别难以训练的根本原因。

---

**三、AI团队的六种"组织架构"——不同的分工方式，不同的训练挑战**

就像现实世界的公司有不同的组织结构一样，AI多智能体系统也有几种典型的"组织架构"，每种架构都决定了奖励如何设计、信用如何分配。

最常见的一种是"集中编排者加子智能体"模式。有一个主控AI负责接收任务、拆解任务、分配给不同的子AI执行，并最终整合所有子AI的结果。Kimi的Agent Swarm、研究中提到的M-GRPO方法都属于这种结构。这种结构最大的优点是逻辑清晰——所有决策权在主控AI手中，训练时可以专注于提升主控AI的决策质量。

第二种是"规划者-执行者-批评者"三角模式。三个具有不同职能的AI互相协作：规划者负责制定策略，执行者负责具体操作，批评者负责审查结果并提出改进建议。这种结构非常适合需要反复迭代和自我纠错的任务，比如撰写文章或调试代码。研究中提到的MALT就是典型代表，它通过为每个角色设计专属的评分标准，让训练更有针对性。

第三种是"辩论/委员会"模式。多个AI同时对同一个问题表达意见，然后由一个"仲裁者"来综合判断。这种结构把每条消息本身的价值放到了聚光灯下——消息质量好坏直接影响最终结果，因此也是消息层面信用分配最自然的场景。

第四种是"并行群体"模式。大量相似的AI同时处理同一个大任务的不同部分，最后再汇总。Kimi的并行智能体群就是这种模式的典型实现。这种模式的核心挑战是效率——如何确保这些并行的AI真的在做不同的有用工作，而不是在重复劳动？

第五种是"层级式智能体"模式。智能体可以生成更低层的子智能体，形成类似公司多级汇报结构的树状架构，适合极其复杂的长任务。

第六种是"托管/平台式"模式。这种情况下，AI被包裹在一个固定的"容器"（研究中称之为"harness"，可以理解为运行平台或运行框架）中工作，工具、提示词、执行环境都由平台统一管理。OpenAI的Codex和Anthropic的Claude Code都属于这种模式。这种架构对训练有一个特殊约束：强化学习只能调整AI模型本身的参数，而不能修改外层的平台配置。

---

**四、奖励设计的八个家族——给AI团队的"薪酬体系"**

训练AI就像是设计一套绩效考核制度。奖励信号是这套制度的核心，它决定了AI会朝哪个方向努力。研究者将奖励设计归纳为八个"家族"，理解这八个家族，就相当于理解了"如何给AI团队制定薪酬"。

第一类是"共享团队奖励"，也就是最简单的一种：整个团队完成任务，所有人都得分；失败，所有人扣分。这种设计简单直接，但容易出现"搭便车"问题——某个成员偷懒，但因为别人表现好，整体奖励还是不错，于是偷懒的成员也得到了奖励，训练信号就此失真。

第二类是"个体智能体奖励"，针对每个AI的表现单独打分。这能有效避免搭便车，但反过来可能导致AI只顾自己负责的小任务，忽视整体协作。

第三类是"角色专属奖励"，针对不同职能的AI（规划者、执行者、批评者）分别设计评分标准。这种方式更精细，但需要事先为每种角色手工设计评分规则，工作量大。

第四类是"过程奖励"，不仅仅看最终结果，还在任务进行中不断打分，奖励正确的中间步骤。这相当于把"完成整篇作文"换成了"每写好一段都给一点奖励"，信号更密集，但也更容易被AI钻空子——只要让每一步看起来正确，不管最终结果如何。

第五类是"工具使用奖励"，专门针对AI调用工具（如网络搜索、代码执行）的行为打分。挑战在于，如果奖励设计不当，AI可能会频繁调用毫无意义的工具来刷分。

第六类是"辩论/验证者奖励"，让一个独立的AI（或者辩论解决机制）来评判消息的质量。这种方式在辩论式架构中特别有用，但也存在"验证者本身不可靠"的风险——如果打分的AI和被打分的AI来自同一个家族，它们可能会互相迁就，共同"演戏"糊弄训练。

第七类是"编排奖励"，这是研究者特别强调的一类新型奖励，专门针对团队架构级别的行为打分——比如并行执行带来了多少真实的速度提升、任务拆解是否合理、所有子智能体是否都真正完成了有价值的工作。Kimi的PARL系统就使用了这类奖励：总奖励等于"任务表现分"加上"并行效率奖励"再加上"完成率奖励"。关键细节是，后两项奖励只在训练早期有效，到了训练后期会逐渐减弱直至归零——这是一种"脚手架"策略，先用辅助奖励引导AI学会并行协作，等能力成熟后再撤去辅助，让AI专注于最终任务目标。

第八类是"混合奖励"，也是实际中最常用的方式：将前七类奖励按不同权重组合在一起。现实中几乎所有主流方法都采用这种组合策略。核心难题在于，不同奖励之间的权重如何确定？目前所有已知方法都是靠研究者手工调整的，没有任何自动化机制。

---

**五、信用分配的八个层级——功劳该分到多细？**

解决了"奖励是什么"，接下来要解决的是"奖励给谁"。研究者构建了一个八层的信用分配体系，从最粗到最细，就像是在不断缩小焦距看同一张照片。

最粗的层级是"团队整体"——整支队伍共同承担结果。接下来是"编排者"——主控AI的决策是否正确应该被单独考量。再往下是"角色层"——规划者的功劳、执行者的功劳应该分开计算。然后是"个体智能体"层——具体是哪个AI做出了有价值的贡献。再往下是"轮次"层——某一轮交互特别关键。更细是"消息"层——某一条具体的消息改变了局面。然后是"工具调用"层——某次工具调用的时机或参数特别重要。最细是"词语/标记"层——单个词或符号的选择是否影响了结果。

研究者通过梳理大量已有研究发现，目前学术界主要在"智能体"和"角色"这两个层级上做了较多工作，而"编排者"层和"消息"层的研究则明显偏少。

"消息"层的稀缺尤其值得关注。试想一次多轮讨论，其中某一条关键消息——"这个方案有个根本性缺陷"——直接扭转了整个任务的走向。如果用统一的平均信用分配，这条消息和其他所有普通的闲聊消息得到相同的权重，训练信号就严重失真了。目前，研究中仅有C3（Contextual Counterfactual Credit Assignment）这一个方法显式地在消息层面做了反事实的信用估算——即估算"如果这条消息被换掉或删掉，结果会有多大变化"。这种反事实估算在概念上非常强大，但计算成本很高。

"编排者"层的信用分配则面临一个更深的哲学困境：当编排者决定"生成一个新的子智能体来处理这个子任务"时，这个决策值不值得奖励？问题在于，训练只记录了"生成了子智能体"之后发生的事，而"不生成子智能体会发生什么"根本没有被执行过。这就像你已经选择了左边的路，右边的路通往哪里只能猜测，无从验证。这种"未实现分支的信用无法估算"问题，被研究者称为"反事实歧义"，是整个领域目前尚无公开解法的核心难题之一。

研究者还特别指出，信用分配中的密度和可见度存在一种根本的权衡关系。词语层级的信号最密集（每个词都能产生梯度），但与最终结果的关联最遥远。团队整体层级的信号最直接与任务目标相关，但每次任务只产生一个数字，信号极为稀疏。所有中间层级都处于这两个极端之间，各有各的优势和代价。

---

**六、学习编排——训练AI团队的五个核心决策**

掌握了"奖励给什么"和"信用给谁"之后，来看核心议题：如何训练AI团队的协作行为本身？研究者将编排行为拆解为五个子决策，并逐一分析了各自的训练状态。

第一个子决策是"何时生成子智能体"。编排者需要在某个时刻判断：当前的任务复杂到需要额外增派人手吗？或者继续独自处理效率更高？这个决策直接影响整个任务的成本和效果。训练这个决策面临的根本挑战，正是前面提到的"未实现分支"问题。Kimi PARL通过设计专门的奖励信号（既奖励真正的并行加速，又惩罚无意义的生成）来引导学习，但这些辅助奖励最终都会在训练收尾阶段被移除。

第二个子决策是"把任务委派给谁"。在确定需要生成新智能体之后，编排者要从现有的智能体池中选择合适的执行者，或者创建一个具有特定角色的新智能体。Puppeteer方法为此专门训练了一个中央评判者，专门衡量每次委派决策的质量。ParaManager则走得更远，将"委派给子智能体"和"直接调用工具"统一成同一个决策空间，让编排者能够更灵活地在两者之间权衡。

第三个子决策是"如何沟通"。消息的内容、长度、格式都是可以被优化的。C3从信用分配角度解决这个问题，而LatentMAS则采用了一种更激进的方案：直接取消自然语言消息，用连续的数学向量代替，从根本上规避了语言层面的信用分配难题，并在不做任何训练的情况下取得了14.6%的性能提升。这个结果令人深思——有时候，调整沟通的"介质"比优化沟通的"内容"更有效。

第四个子决策是"如何聚合"。当多个子智能体分别完成了各自的子任务并返回结果时，编排者需要将这些结果整合为一个连贯的答案。M-GRPO将聚合步骤本身视为一个独立的智能体决策，赋予其专属的奖励信号。Context-Folding则为聚合步骤设计了一个范围调整奖励，避免子任务结果被原封不动地复制粘贴到主任务中，导致信息"虚假膨胀"。

第五个子决策是"何时停止"。这是整篇综述中最出人意料的发现：在研究者检索的所有文献中，没有任何一篇工作显式地将"何时停止任务"训练为一个强化学习目标。目前所有系统要么在外部验证器确认任务完成时停止，要么在预设的步骤上限到达时强制中止。"停止决策"本应是一个需要权衡"再多做一步能带来多少收益"与"这一步的成本"的复杂判断，却至今是一个被完全忽视的空白。

---

**七、工业界vs学术界——真实的规模差距有多大**

这篇综述的一大特色，是将学术界的研究成果与工业界的实际部署进行了正面比较，并得出了一个让人清醒的结论：两者之间存在相当显著的规模差距。

研究者重点分析了三个工业界案例，但采用了不同的分析角度。Kimi Agent Swarm（K2.5和K2.6版本）是研究者认定的"公开训练证据最充分的工业案例"。根据公开的技术报告，K2.5系统使用了并行智能体强化学习（PARL）来训练编排者，系统规模可达100个子智能体、1500个协调步骤。K2.6进一步将部署规模扩展至300个子智能体、4000个协调步骤，并引入了跨供应商协调的"Claw Groups"研究预览。研究者明确指出，K2.5的数字被作为"已公开的训练依据"引用，而K2.6的数字仅作为"部署规模参考"，并不代表独立验证的训练细节。

OpenAI的Codex和Anthropic的Claude Code则被作为另一类证据使用。Codex的官方材料将其描述为管理并行软件工程智能体的"指挥中心"，Claude Code的文档则提供了完整的子智能体API接口，并且Anthropic工程团队公开了一份用16个并行Claude实例共同构建C语言编译器的案例研究，涉及约2000次工作会话。然而，这两个系统的公开材料中都没有明确说明多智能体协调本身是否作为强化学习的训练目标，因此研究者将它们定位为"部署形态和工程压力的证据"，而非"训练机制的证据"。

相比之下，学术界的同类研究通常在10到100个步骤、规模相对较小的团队上进行评估。从任务长度的角度看，Kimi公开报告的训练规模比主流学术方法高了一到两个数量级。这个差距并不只是"数字上的差异"，它直接影响了信用分配问题的难度——任务越长，每个决策步骤能"感受到"的训练信号就越微弱，这个我们前面提到的"信用扩散"问题就越严重。

---

**八、评估基准的缺失——现有考试题根本考不出真正的合作能力**

研究者在评估体系方面提出了一个严肃的批评：目前几乎所有常用的AI评测基准（benchmark，可以理解为AI参加的"标准化考试"）都只考察一件事——最终任务的完成率。而这个单一指标，根本无法区分AI团队的成绩提升到底来自于"更好的协作"，还是仅仅来自于"调用了更多算力"。

这就好比评价一个足球队的水平只看进球数，而不看传球配合、跑位战术、防守组织。你当然能知道这支球队进了多少球，但你无法判断这是凭真正的团队协作赢来的，还是靠一个超级前锋一人硬拖赢来的。

研究者认为，一个真正适合多智能体系统的评测体系应该同时衡量四个维度：第一是任务完成的准确率（这是必要的，但远远不够）；第二是并行效率，即AI团队比单个AI快了多少，以及每个子智能体是否真的在做有价值的工作；第三是协作质量，包括消息是否冗余、讨论是否多元、最终是否达成了有效的共识；第四是协议开销，即为了协调这些AI所额外消耗的资源（词元数量、时间延迟），以及一条错误消息会在多大程度上"污染"下游的工作。

此外，理想的评测体系还应该覆盖不同的任务长度档次（短任务、中等长度任务、长任务），并且要包含针对安全对抗的测试——比如专门测试系统在面对恶意注入内容时的抵抗能力。

目前学术界最接近这个标准的是MultiAgentBench，但它仍然只覆盖了部分维度，且任务规模远远不及Kimi公开报告的长度。研究者明确指出，建立这样一个开放、可审计的评测基准，是当前整个领域最紧迫的基础设施缺口。

---

**九、安全隐患——AI团队有什么独特的"漏洞"**

将AI组织成团队，不仅带来了能力上的提升，也带来了单个AI系统所没有的安全挑战。研究者从"信用承载单元"的角度出发，梳理了多智能体系统特有的攻击面。

对于单个工具调用的AI，常见的安全威胁是"间接提示注入"——一个恶意的网页或邮件内容，被AI当成了合法指令来执行。在多智能体系统中，这个威胁被放大了：一个子智能体被恶意内容"污染"之后，它生成的摘要会被传递给编排者，编排者再将"指令"传递给其他子智能体，恶意内容就像感冒病毒一样在团队内部扩散。

除此之外，研究中提到的多智能体特有攻击还包括：智能体之间的消息污染（专门设计的消息，能在各种不同的团队网络结构中都产生攻击效果）、共享记忆中毒（向AI团队共用的"笔记本"里写入恶意内容，影响所有看到这份笔记本的AI）、工具权限越级（某个子智能体绕过权限限制，调用了它不应该使用的工具），以及针对编排者的欺骗攻击（通过伪造任务摘要，让编排者把任务分配给错误的智能体）。

研究者还特别强调了一个至今尚未被当作强化学习目标的安全属性："可引导性"（steerability）——人类监管者能否在任务执行到一半时介入、修改某个决策，并让后续的AI们都能理解并遵从这个修改？这不仅是一个用户体验问题，更是一个安全问题。而有趣的是，解决它所需要的技术工具——判断哪个决策步骤最关键、修改它会产生什么后果——与前面讨论的信用分配机制高度重叠。

---

**十、十五个悬而未决的核心问题**

研究者在综述的最后列出了十五个在2026年5月前尚无公开解法的研究方向，这些问题分布在算法、奖励设计、工程系统、安全性和评估五个方面。

在算法层面，最核心的挑战是信用分配在长任务中的稳定性——现有方法在数百步任务上已经出现不稳定的迹象，而工业界实际使用的任务长度高出一到两个数量级。此外，当AI团队规模是动态变化的时候，如何公平计算每个成员的"边际贡献"（这在数学上被称为Shapley值），目前还没有适用于动态团队的版本。未被生成的那条分支路径的信用估算问题，以及训练规模与部署规模不一致时的泛化能力问题，也都是亟待解决的算法挑战。

在奖励设计层面，工具调用的定价原则、验证者与被验证者共同"漂移"的防范机制、以及过程奖励与最终结果奖励之间如何动态平衡，都是尚待系统性回答的问题。

在工程系统层面，多智能体强化学习的训练成本比单智能体高出十到百倍这一现实约束，如何通过更高效的并行化和解耦策略来解决，是学术界迄今尚未完全攻克的工程难题。此外，如何设计一个能够存储和重放不同形状、不同长度的编排追踪记录的"经验缓冲区"，目前也没有成熟方案。

在安全性层面，多智能体特有的跨智能体信息流污染问题和动态生成子智能体时的隔离机制，以及"可引导性"作为训练目标的形式化定义，都是需要明确解答的空白。

在评估层面，最迫切的需求是建立一套开放的、覆盖四个维度、能够处理工业级任务长度的标准评测基准。

---

说到底，这篇综述做的事情，是在一个快速演进的领域里，用一套清晰的语言把已经发生的事情梳理清楚，同时坦诚地指出什么还没有被解决。编排追踪这个概念，奖励设计的八个家族，信用分配的八个层级，编排行为的五个子决策——这些分类工具的价值，不在于它们提供了答案，而在于它们帮助研究者和工程师更清楚地知道问题在哪里、自己的工作在整个图景中处于什么位置。

Kimi展示了工业界能做到什么规模，而学术界的大多数工作还在相对较小的规模上探索。这个差距可能会缩小，但在真正缩小之前，它提醒我们不要把小规模实验的结论直接推广到生产系统中去。同时，"何时停止"这个决策竟然在所有已知方法中都未被显式训练——这既说明了现有方法的务实简化，也揭示了一个唾手可得的研究机会。

AI团队的管理，本质上和人类团队的管理面临同样的根本问题：功劳如何公平分配、信息如何高效流通、决策者如何避免独断专行、团队如何在不过度沟通的情况下保持协调。这些问题，人类花了几千年还在摸索，AI领域则压缩在短短几年内爆发。对这个过程保持清醒的观察和记录，正是这类综述研究的核心价值所在。有兴趣深入了解的读者，可以通过arXiv编号2605.02801查阅完整论文及配套的84条文献标注数据集。

---

**Q&A**

Q1：编排追踪（orchestration trace）和普通的AI对话记录有什么区别？

A：普通的对话记录是一条直线，记录了谁说了什么、AI如何回复。编排追踪则是一张网状图，除了记录对话内容，还记录了哪个AI在何时被创建、任务如何被拆分、哪些工具被调用、子任务的结果如何被汇总，以及所有这些步骤之间的依赖关系。核心区别在于，编排追踪能捕捉多个AI并行工作时的完整协作结构，而不仅仅是线性的对话流。

Q2：Kimi Agent Swarm的并行智能体强化学习（PARL）具体是怎么运作的？

A：PARL训练一个"主控AI"，让它学会把大任务拆分并派发给多个子AI并行处理。奖励由三部分组成：任务完成质量分、并行效率加分（真正的并行才加分，刷数字的不算）、所有子AI都完成工作的完成率加分。关键设计是后两项在训练后期会逐渐减弱至零，确保最终训练出的系统真正以任务质量为核心目标，而不是靠刷辅助指标得高分。

Q3：多智能体AI系统为什么比单个AI更容易受到安全攻击？

A：主要原因有三点。第一，攻击面随团队规模增长——每个子AI都可以是入口，每条消息都可以是攻击载体。第二，AI之间互相信任对方的输出，一个被"污染"的子AI产生的摘要会被其他AI当成可信信息使用，导致恶意内容在团队内部传播。第三，动态生成的子AI在运行时才出现，无法提前审查，隔离机制更难实施。这些因素叠加，使得多智能体系统的安全防护比单智能体复杂得多。