Nous 的知识图谱（KG）在 Loop 43 暴露了一个反直觉的问题：当我们把 143 条关系全量注入 LLM 的 gate prompt 时，FPR（误报率）反而翻倍了。更多知识 = 更多噪声。模型在 143 条关系中迷失方向，开始对无关实体产生虚假关联。这不是模型能力问题——Opus 4.6 和 Doubao-pro 都出现了同样的退化。

解法来自因果推理的经典工具：Markov Blanket。在贝叶斯网络中，一个节点的 Markov Blanket 由它的 parents（直接原因）、children（直接结果）和 co-parents（共同原因的其他结果）组成。数学上，给定 Markov Blanket，该节点与图中所有其他节点条件独立。这意味着：如果你只想推断某个节点的状态，Blanket 之外的所有信息都是冗余的。

把这个原理应用到 Agent Safety 的 KG 注入：当 gate 需要判断一个请求是否涉及某个攻击技术时，它不需要整个 KG——它只需要该攻击技术节点的 Markov Blanket。对于 MITRE ATT&CK 中的一个 technique 节点，Blanket 通常只包含 3-8 条关系（所属 tactic、相关 sub-techniques、常见 tool 映射），而不是全部 143 条。这把 context window 的 KG 占用从 ~2000 tokens 降到 ~200 tokens，同时保证了信息论意义上的充分性。

实现用 Cozo 的 Datalog 查询：从目标节点出发，一跳取 parents 和 children，再从 children 反向取 co-parents。28 个测试覆盖了各种拓扑——链式、星形、菱形、孤立节点。关键边界条件：当 Blanket 为空时（新发现的攻击模式还没建立关系），系统 fallback 到 semantic similarity 而不是全量注入。这是 fail-safe 设计——宁可用弱信号也不用噪声信号。

更深层的洞察是：这不只是工程优化，是认知架构问题。人类专家在判断一个请求是否危险时，也不会把所有安全知识都调入工作记忆——他们会根据请求的语义特征，选择性激活相关的知识子图。Markov Blanket 提供了这种选择性激活的数学基础。从信息论角度，它是条件独立性的充分统计量——这意味着任何其他选择方法，要么包含冗余信息，要么丢失必要信息，要么两者兼有。