系统:运行中
← 返回所有攻击
DEFENSE MEDIUM NEW

读激活而非读消息:揪出多智能体系统中被策反的智能体

2026 年 7 月的一篇预印本指出,只盯着多智能体系统彼此说的话会漏掉隐蔽攻击。读取每个智能体的内部激活状态,即使消息看起来无害也能发现失陷——而且是修复该智能体,而非将其隔离。

2026-07-13 // 5 min affects: multi-agent-systems, autogen, gptswarm, open-weight-llms

这是什么?

2026 年 7 月 7 日,一篇题为《When Agents Go Rogue: Activation-Based Detection of Malicious Behaviors in Multi-Agent Systems》的预印本发布于 arXiv(2607.06807)。它瞄准了基于 LLM 的多智能体系统(MAS)防御中的一个盲区:多数防御手段读取智能体之间交换的文本,并假设攻击在语义上显而易见、系统以整齐同步的轮次运行。而真实部署同时打破了这两条假设。

作者提出 AcMAS,一套忽略表层消息、转而检查每个智能体内部激活状态的检测框架——即模型在推理时产生的隐藏层表征。其论点是:即便输出被精心伪装得很”干净”,失陷的智能体在内部”看起来”也不一样;而且这一信号能在真实 MAS 的异步时序中存活,正是基于图的传播模型在此崩溃的地方。

工作原理

多智能体系统是一组通过传递消息、调用工具、共享记忆来完成任务的 LLM 智能体。主流防御思路把它建模为一张:节点是智能体,边是交互,追踪一条恶意指令如何从一个节点传播到下一个节点。当攻击很”吵闹”(如可见的”忽略你的指令”注入)、且消息按节奏到达使图在时间上保持一致时,这套方法有效。

AcMAS 放弃了这两项前提。对每个本地智能体,它在模型处理输入时从其内部状态提取激活空间特征,再对这些特征打分,判断该智能体是行为正常还是已被策反。由于信号存在于单个智能体的一次前向传播中,它既不需要全局交互图,也不要求所有智能体共用同一时钟——论文称这种检测对同步鲁棒

该框架针对三类攻击进行评估,它们恰好覆盖了 MAS 的真实威胁面:

攻击类型          攻击者所做的事
--------------    --------------------------------------------------
隐蔽提示注入      将指令伪装成正常任务内容,规避文本级分类器
工具输出操纵      把被篡改的工具/API 结果作为可信上下文回灌到智能体循环
记忆投毒          向共享/长期记忆写入伪造条目,使其在日后浮现并操纵决策

第二个设计选择关乎检测之后发生什么。当前最先进的防御倾向于隔离被标记的智能体——将其移出系统——但这同时摧毁了它正在完成的有用工作,还可能使任务卡死。AcMAS 则用同样的激活信号尝试激活层面的纠正,把失陷智能体的内部状态推回正常,让它继续贡献。理解这一思路无需任何利用载荷,此处也不复现任何载荷。

为何重要

数字是重点。面对隐蔽攻击,AcMAS 相较基于图的基线,在同步设置下高出 +0.22 F1(0.94 对 0.72),在异步设置下高出 +0.55 F1(0.93 对 0.38)。异步差距最耐人寻味:它量化了当系统不按整齐轮次运行时,基于图传播的防御会退化到什么程度——跌至 0.38 F1,仅比掷硬币略好——而基于激活的检测器仍稳在 0.93。生产中的智能体系统多为异步,因此这才是真正要紧的场景。

它也正落在行业转向之中。微软安全团队在 2026 年 6 月反复警示,智能体”从读取走向行动”会放大任一失陷智能体的影响半径;而更广泛的智能体安全文献不断发现消息级过滤存在漏洞。基于激活的检查是另一种下注:与其试图抓住每一种可能的恶意措辞,不如盯住模型据以服从的机制

论文也坦承其局限:读取激活需要访问模型内部,即由你自行托管的开放权重模型。若你的 MAS 建立在闭源 API 模型之上,你看不到激活,这套防御便无法直接套用。因此 AcMAS 对运行自托管开放权重智能体的团队最为相关——这是一种日益增长但并不普遍的部署形态。

防御

给运行多智能体系统团队的具体建议:

  1. 不要只依赖文本级过滤。 隐蔽注入与工具输出操纵正是为绕过消息检查而设计的。把智能体间消息与工具结果都视为不可信输入,并增加一层不依赖载荷措辞的检测。

  2. 若你自托管开放权重模型,请把激活纳入监测。 论文表明,内部状态监测能在不同骨干模型、攻击强度与系统规模间泛化。按智能体采集隐藏状态特征,是一条你现在多半尚未采集的可行遥测来源。

  3. 优先选择纠正、或”隔离并复核”,而非一刀切隔离。 直接切断被标记的智能体可能拖垮任务,等于把拒绝服务的胜利拱手让给攻击者。应把响应设计成:疑似失陷的智能体被围控但可恢复,而非直接杀掉。

  4. 在异步执行下测试防御。 在同步基准上拿到 0.94 F1 的防御,到了系统实际运行的异步条件下可能崩到 0.38。在信任任何基于传播的控制之前,用真实、乱序的智能体时序做红队演练。

  5. 对三条向量分别建模。 隐蔽提示注入、工具输出操纵、记忆投毒是三个不同入口,归属不同(输入处理、工具集成、记忆存储)。给每一条各配一项控制,而非假设单一护栏能覆盖全部三条。

状态

项目参考日期备注
AcMAS 预印本arXiv:2607.068072026-07-07基于激活的 MAS 检测 + 纠正
报告检测(同步)论文2026-07-07隐蔽攻击 0.94 F1,对比图基线 0.72
报告检测(异步)论文2026-07-070.93 F1,对比图基线 0.38
关键局限论文2026-07-07需开放权重骨干(可访问激活)
行业背景微软安全2026-06-30”从读取到行动”的智能体风险扩张

这是早期研究,而非已发布产品——结果出自作者本人,尚待独立复现。但其方向值得关注:随着智能体系统日趋异步、攻击日趋隐蔽,读取模型内部状态的防御,或许会比只读其言辞的防御活得更久。

Sources