AISI: почему test-time compute меняет оценку AI-агентов

AISI показал, почему один score уже плохо описывает AI-агента: результат зависит от бюджета токенов, повторных попыток и длины задачи.

Официальная OG-обложка AISI к материалу о test-time compute в оценке AI-агентов

Факты проверены 3 июля 2026 года. Британский AI Security Institute опубликовал разбор, из которого следует неприятный для привычных таблиц вывод: оценка AI-агента зависит не только от модели и набора задач, но и от того, сколько токенов и вычислений агенту разрешили потратить во время решения. Если бюджет остановили слишком рано, benchmark score становится нижней оценкой, а не реальным потолком возможностей.

Test-time compute AI-агентов — это бюджет токенов и вычислений, который агент тратит уже во время выполнения задачи: на шаги, планирование, проверку результата, исправление ошибок и повторные попытки. Для простого чат-ответа это звучит как техническая деталь. Для агента, который чинит код, ищет уязвимость или проходит длинный cyber-range, это часто решает, увидим ли мы способность вообще.

На Toolarium мы уже разбирали, почему 100% в бенчмарке агента не доказывает способность. Новый материал AISI добавляет к этому важную поправку: даже честный score может вводить в заблуждение, если рядом не указан бюджет токенов и форма запуска.

Оценка агента должна быть кривой, а не одним числом

Стандартная таблица выглядит удобно: модель A получила 42%, модель B — 55%, значит B сильнее. В агентных задачах это слишком грубо. AISI предлагает смотреть на кривую возможностей: как меняется результат по мере роста test-time compute.

Если кривая продолжает расти на последнем измеренном бюджете, оценка ещё не дошла до плато. В таком случае опубликованный score показывает только то, что агент успел сделать до отсечки. Он не показывает, где способность закончилась.

Где проверяли Что менялось при большем бюджете Ограничение вывода
Cyber CTFs AISI Около 8% задач решались только при 10M+ токенов; отдельные задачи требовали до 50M токенов. Это narrow cyber tasks, а не доказательство автономного взлома реальных компаний.
TerminalBench 2.0 и SWE-Bench Pro При росте бюджета с 1M до 10M токенов результат на software engineering задачах вырос примерно на 25%. Результат зависит от среды, инструментов и того, разрешены ли повторные попытки.
FrontierMath и Humanity's Last Exam На maths/academic задачах AISI сообщает рост примерно на 22% при бюджете до 5M токенов. Больше compute помогает не везде: на HealthBench модели выходили на плато в обычном бюджете.
График AISI: рост success rate на семи AI-бенчмарках по мере увеличения test-time compute
AISI показывает, что на cyber, software engineering и части academic benchmarks success rate продолжает расти вместе с token budget. Источник: AI Security Institute.

Дополнительный compute можно потратить двумя способами. Первый — дать одному агенту длиннее работать в одной последовательной попытке: искать, ошибаться, проверять и возвращаться к задаче. Второй — запустить несколько независимых попыток и засчитать лучший успешный результат. Оба режима полезны, но они измеряют разные свойства: глубину одного рабочего цикла и вероятность, что хотя бы один запуск попадёт в правильную траекторию.

Поэтому сравнение агентных систем без описания бюджета похоже на сравнение разработчиков без указания времени на задачу. Один получил 10 минут, другой получил день, а в таблице осталась только галочка «решил / не решил».

Длинные задачи первыми страдают от жёсткого лимита

Самая сильная часть разбора AISI не в отдельных процентах, а в связи между человеческой длительностью задачи и расходом токенов. Институт сопоставил 211 software engineering задач METR и 78 cyber CTF задач AISI. Вывод простой: чем больше времени задача заняла бы у сильного человека, тем больше токенов обычно нужно агенту, чтобы показать успех.

График AISI: минимальное число токенов для успеха растёт вместе с человеческим временем задачи
На графике AISI каждая точка — минимальное число токенов, при котором наблюдался успех агента на задачах разработки ПО или cyber-задачах. Источник: AI Security Institute.

В сноске AISI описывает эту связь как степенную зависимость с показателем примерно 0,7-1,0. Практический перевод такой: минутная задача для человека может стоить агенту тысячи токенов, часовая — миллионы, недельная — миллиарды. Это не закон природы, а наблюдение по конкретным cyber и software-задачам. Но для оценки агентов оно уже достаточно важно.

Жёсткий лимит бюджета режет именно длинные задачи. Короткая задача успевает завершиться. Длинная обрывается посередине, хотя агент ещё мог двигаться в правильном направлении. В таблице это выглядит как «модель не справилась», хотя реальная причина может быть другой: оценка дала слишком мало времени и токенов.

Киберпример: 100M токенов всё ещё не значит полный успех

Связанная arXiv-работа AISI по multi-step cyber attack scenarios хорошо показывает обе стороны истории. Исследователи проверяли семь моделей, выпущенных с августа 2024 по февраль 2026 года, на двух симулированных cyber-ranges: 32-шаговой корпоративной атаке The Last Ones и 7-шаговой промышленной Cooling Tower.

На The Last Ones увеличение бюджета с 10M до 100M токенов давало прирост до 59%. Среднее число пройденных шагов при 10M токенов выросло от 1,7 у GPT-4o в августе 2024 года до 9,8 у Opus 4.6 в феврале 2026 года. Лучший отдельный прогон Opus 4.6 при 100M токенов прошёл 22 из 32 шагов. Авторы сопоставили это примерно с 6 часами работы из 14 часов, которые, по их оценке, понадобились бы эксперту-человеку.

Здесь важно не раздуть вывод. Это были симулированные сети без активных защитников и механизмов обнаружения. Полного сквозного прохождения модели не показали. На Cooling Tower прогресс был заметно слабее: лучший средний результат у Opus 4.6 составил 1,4 шага из 7 при 100M токенов, а лучший единичный максимум у GPT 5.3 Codex — 3 шага из 7.

Цена тоже требует аккуратности. Авторы оценили 100M-token attempt для Opus 4.6 примерно в $80 при standard API pricing на дату публикации и input-token caching. Эту цифру нельзя переносить на все модели и все будущие запуски: цены и кэширование быстро меняются, а длинные траектории требуют context compaction.

Что теперь спрашивать у любого бенчмарка

Для разработчика, security-команды или менеджера одного score уже мало. Рядом с результатом агентного бенчмарка должны быть минимум четыре ответа.

  • Какой был token budget на задачу?
  • Это одна длинная попытка или несколько параллельных запусков?
  • Агент остановился на плато или его оборвали, пока кривая ещё росла?
  • Сколько стоил успешный прогон и как эта цена считалась?

Это особенно важно для кибербенчмарков. Мы отдельно писали про кибербенчмарки для поиска уязвимостей в коде: там легко перепутать обнаружение конкретного бага, воспроизведение exploit chain и автономную работу в большой среде. Бюджет токенов добавляет ещё один слой: слабый результат может означать слабую модель, плохой scaffold или слишком короткую оценку.

Терминологически рядом лежит test-time scaling и распределение бюджета токенов, но здесь фокус другой. AISI говорит не о красивой технике ускорения или оптимизации инференса, а о методологии измерения: capability нужно публиковать вместе с кривой по compute.

Вывод для Toolarium

Главная мысль этой истории не в том, что «все бенчмарки сломаны». Они всё ещё нужны. Но agentic benchmark без бюджета токенов становится плохо читаемой цифрой. Он показывает результат конкретного режима запуска, а не чистую способность модели.

Если AISI прав, ближайшие сравнения AI-агентов должны выглядеть менее компактно: score при 1M, 10M, 50M и 100M токенов; отдельно надёжность, достижимая сложность и эффективность; отдельно стоимость. Для таблицы лидеров это неудобно. Для реальных решений — честнее.

Самый короткий практический тест: если в отчёте про AI-агента нет token budget, числа стоит читать как черновик, а не как verdict. Особенно когда речь о software engineering, cyber и других задачах, где агент может проверять свою работу и восстанавливаться после ошибок.

Источники

Telegram-канал @toolarium