当一个智能体对另一个做红队测试:面向编码智能体的漏洞概念图
2026 年 7 月 13 日的一篇论文展示了一个研究型智能体探测生产环境中的编码智能体,并把所学转化为可复用、可证伪的概念——为安全团队沉淀的持久产物,而非又一个一次性漏洞利用。
这是什么?
2026 年 7 月 13 日,Xutao Mao、Xiang Zheng 和 Cong Wang 发表了 Agent Hacks Agent: Autoresearch for Production-Agent Red-Teaming(arXiv:2607.11698)。论文提出了一个务实的问题:Claude Code、Codex 等生产环境的编码智能体如今会处理不可信内容、文件、命令和工作区状态,因此它们的安全失效可被直接利用——而模型与工具每隔几周就会变化。如何对一个不断变动的目标做红队测试?
作者的答案是用一个智能体式研究环境去研究另一个。他们的系统称为 AHA,运行一个可证伪的发现循环,而关键在于:它不仅记录攻击在哪里成功,更记录为什么成功。经确认的发现会被提升进一个漏洞概念图(Vulnerability Concept Graph,VCG)——一种可审计的结构,安全团队可以检视、复用,并用它来验证自己的补丁。这是一篇防御性研究综述,而非可直接执行的漏洞利用。
工作原理
大多数红队流水线以攻击成功率为优化目标,并保留成功所产生的产物:一个基准、一个载荷、一个攻击程序。这些产物只能告诉你某个提示在某一天攻破了某个智能体;它们无法告诉你不安全行为背后的使能条件,而后者恰恰是会迁移到下一个模型版本的东西。
AHA 把红队测试重构为一项研究工作。循环的每次迭代在高层次上大致如下:
提出 -> 关于智能体某个面的漏洞假设
证伪 -> 构造一个可能推翻该假设的检验
实例化 -> 构建一个与假设一致的有效攻击
执行 -> 在隔离沙箱中运行(不针对真实目标)
反思 -> 阅读轨迹:使能条件是否成立?
提升 -> 若确认成立,写入漏洞概念图
图中的每个节点都是一个概念,把面向攻击者的攻击面与一条不安全轨迹关联起来,并携带五个字段:主张、使能条件、证伪器、迁移预测和支撑证据。证伪器是这里的纪律所在:只有当确实存在推翻某概念的途径、而它仍然成立时,该概念才得以存活。这更接近科学家表述一项发现的方式,而非模糊测试器倾倒成功输入的方式。
论文报告的结果正是让这一思路对防御者有价值之处。在 Claude Code 与 Codex 上、跨越涵盖直接与间接攻击的三个场景进行测试后,所发现的概念揭示出一个在不同模型与智能体间共享、可复用的漏洞内核。一旦将该图冻结——不再允许任何搜索——它在相同的单次(single-shot)协议下,仍比最强的冻结发现基线高出 14.2 个百分点,并且这些概念可以跨场景、跨攻击通道迁移。换言之,可迁移的资产是知识,而非载荷。
为何重要
对于任何在生产环境运行智能体的人,有两点尤为突出。
第一,红队知识可以积累,而非过期。 智能体安全工作惯常的失效模式是:某个越狱或注入被修补,相关文章随之过时,下一个模型发布又让时钟归零。一个捕获使能条件并预测迁移的概念图,是在尝试构建能够熬过模型更替的机构记忆——这与协调披露计划保存结构化记录、而非零散概念验证,出于同样的理由。
第二,“可复用漏洞内核”这一发现是对单一化(monoculture)的警示。 如果同样的底层弱点出现在两个独立构建的前沿编码智能体上,那么针对某个产品特性调校的防御,很可能漏掉了它们共享的根因。直接与间接攻击通道取自同一内核,进一步印证了本领域反复重学的一课:智能体的不可信输入问题是结构性的,而非某个模型独有的缺陷。
这篇论文提供的是一套方法与一次评估,而非某个具体缺陷的披露——没有关联的 CVE,也没有产品补丁。它的价值在于所提出的产物:一份可检视、可检验、记录智能体为何失效的档案,安全团队可用它来验证自己的修复。
状态
| 项目 | 详情 |
|---|---|
| 发表 | arXiv 预印本,2026 年 7 月 13 日提交(v1) |
| 所研究系统 | Claude Code、Codex(三个场景,直接 + 间接攻击) |
| 性质 | 防御性红队方法论;无 CVE,未披露产品漏洞 |
| 关键结果 | 冻结概念图在单次协议下比最强冻结基线高 14.2 个百分点 |
| 说明 | 预印本,尚未经同行评审;结果为作者自测 |