系统:运行中
← 返回所有攻击
AGENTS MEDIUM NEW

可观测性边界:为什么按代理部署的监控器会漏掉分布式后门

2026 年 7 月的一篇论文形式化地说明了:孤立地检查每个代理步骤的运行时监控器,无法发现被拆分到多个代理之间的后门——并表明只有改变监控器所观察的内容,检测才会重新奏效。

2026-07-17 // 7 min affects: llm-agents, multi-agent-systems, gpt-4o, llama-3.3

这是什么?

2026 年 7 月,论文 When Local Monitors Miss Compositional Harm: Diagnosing Distributed Backdoors in Multi-Agent Systems(arXiv,2026 年 7 月)为一种令所有运行协作代理集群的人都感到困扰的失效模式给出了精确的刻画:一个逐条检查每个消息、每次工具调用或每个步骤的运行时监控器,可以在每一步都完全正确,却依然放过一次攻击。原因在于危害是组合性的——单独看任何一个片段都不危险,但代理们由这些片段组装出来的对象却是危险的。

论文将此称为可观测性边界(observability boundary),其核心论断令人不安:局部安全并不等于全局安全。监控器只能识别其视图能够与普通流量区分开的内容。一旦攻击的各个碎片在监控器实际观察的窗口内显得无害,分类器再强也无济于事。2026 年 7 月的一项配套研究 Multi-Agent AI Control: Distributed Attacks Hamper Per-Instance Monitors 从控制评估的角度得出了相同结论,而其底层的攻击类别早在 2025 年末就已由 Collaborative Shadows 演示过。

工作原理

分布式后门将恶意载荷拆分到多个代理或多个步骤之间,使得每一次局部检查都能通过。一个代理发出一个看似无害的片段;另一个代理提供第二个;随后的协调步骤再将它们拼接或解码成你并不想构建的东西。单独看每条消息,都与监控器被训练或被配置去接受的无害分布相似。攻击存在于片段之间的关系中,而不在任何单个片段里——而这恰恰是按步骤监控器无法看到的关系。这与通过隐蔽信道的代理合谋以及多代理代码生成中的注入放大所揭示的结构性弱点相同。

论文最有价值的部分在于它排除了什么。作者们在同一批片段上比较了局部监控器、污点式(taint-style)、训练型、带标记与不带标记的组装监控器,发现检测从来不是来自更强的局部分类器——而只来自改变监控器所观察的内容。而更宽的视图也未必是解药:全轨迹监控器、解码器和训练型检测器仍会漏掉攻击,除非它们恢复出能够暴露载荷的那种特定表示。看到一切并不等于看到被组装出的对象。这里还存在一个形式化的界限:一旦片段在被观察的视图中与无害流量无法区分,任何在该视图上运作的检测器都无法将它们分开,无论其能力多强。这是对一处防御空白的诊断,而非操作指南——此处不复现任何分片载荷。

为什么重要

大多数确实关注运行时安全的代理部署都采用按实例监控:在每次工具调用上设一道守卫、在每条消息上设一个分类器、每个步骤设一次审批。这种设计成本低、可组合,但面对这一类攻击却是结构性失明的。随着团队把代理串联成规划者、执行者、审查者和子代理,代理之间的接缝就成了攻击面,而恰恰没有人从整体上盯住这些接缝。其后果接近致命三要素:如果被污染的组装物触及了有后果的工具,那么”每一步看起来都干净”这一事实提供的是虚假的保证,而非真正的安全,这也呼应了基于嵌入的防御在多代理环境中失效的结论。

防御

监控被组装出的对象,而不仅是每个步骤。 论文的核心教训是:检测需要改变监控器的视图。增加一个阶段,去重建并检查代理们真正产出的成品——最终的文件、命令、文档或计划——而不是信任一串各自获批的步骤就一定安全。

在判断之前先恢复表示。 仅有更宽的轨迹并没有帮助;监控器只有在把片段解码为能揭示载荷的形式时才会成功。如果你的代理可以让内容经过各种编码、拼接或模板化,你的组装检查就必须先归一化并解码到那种形式。

在已知编码族时,使用面向解码视图的门控。 论文报告称,当给定编码族时,一个在解码视图上运作的门控阻止了它所测试的每一次攻击。凡是你能够枚举出流水线所用变换的地方,在解码后的表示上做过滤都是一种强而具体的控制。

把”仅在无害流量上训练”的检测器当作可行方案。 值得注意的是,一个仅在无害流量上训练的监控器,在未见过的编码上恢复出了攻击的代码结构(平均 AUROC 为 0.874)。你未必需要带标签的攻击数据——对正常的组装输出建模并标记结构性异常,就是一个务实的起点。

约束跨代理的能力。 接缝处的最小权限能够限制影响半径:如果任何被组装出的成品在未经整体对象审查的情况下都无法触及敏感工具、文件或网络,那么分布式后门产出的就是可疑文本,而不是行动。

Status

项目详情
主要来源arXiv:2607.11751,When Local Monitors Miss Compositional Harm,2026 年 7 月
佐证arXiv:2607.07368,Multi-Agent AI Control: Distributed Attacks Hamper Per-Instance Monitors,2026 年 7 月
攻击类别arXiv:2510.11246,Collaborative Shadows,2025 年末
类别多代理 LLM 系统中的分布式 / 组合性后门
关键结果看似无害的片段在局部视图上不可检测;面向解码视图的门控阻止了所测试的每一次攻击
检测信号仅在无害流量上训练的监控器:在未见编码上恢复攻击结构,平均 AUROC 0.874
性质研究性诊断与防御;此处不复现任何漏洞利用载荷

Sources