对抗性信息流筛选如何左右 LLM 智能体的决策
2026 年 6 月的一项研究表明,在智能体行动前挑选它读到哪些看似无害的帖子,就能改变其决策——无需注入任何指令,也没有过滤器能识别的载荷。
这是什么?
2026 年 6 月 2 日,一篇题为 Adversarial Feeds Steer LLM Agent Decisions Against Their Defaults 的论文描述了一种大多数智能体评估从未测试过的操纵通道:决定智能体在行动前读到哪些内容的上游排序器。它并不是把指令藏进文档——即经典的间接注入模式——而是提出了另一个问题:如果智能体看到的每一条帖子本身都无害,而操纵完全在于挑选了哪些帖子、以及各自的比例,会发生什么?
在四个开源 instruct 模型上进行的数千次决策推演给出的答案是:仅凭信息流的筛选,就足以改变智能体的决策。这是已公开发表的防御性研究——此处并未引入任何新攻击——其教训是:智能体安全必须审计信息流这一层,而不仅仅是最终提示。
工作原理
实验协议除信息流之外一切保持不变。模型、人设、话题以及最终的强制选择问题都是固定的。唯一变化的是智能体在回答前于十轮”浏览”暴露阶段中所刷到帖子的构成与顺序。由于其余一切保持恒定,最终决策的任何变化都只能归因于信息流的筛选。
关键在于:没有任何一条内容包含指令。对抗性帖子只是有说服力地支持某一方,不点名个人,也没有明确的祈使句。没有越狱字符串,没有注入命令,没有被篡改的载荷——正因如此,输入扫描过滤器无法看到这次攻击。操纵在于对本无异常内容的选择,目标是下游的多步决策,而非单轮输出。
所测得的行为分为三种状态。有些模型会屈服,朝着信息流推动的方向漂移。有些则饱和,无论读到什么都返回固定的默认值。最具启发性的模式是一种默认方向的不对称性:单边信息流能可靠地推翻模型本就犹豫不决的决策,却无法撼动它已经坚定持有的立场。该效应遵循剂量-反应曲线,阈值约在每五条帖子中含两条对抗帖,并且在更换生成器(由另一个模型撰写帖子)后依然成立——排除了写作风格的伪影。
为何重要
其安全含义是具体的,而且在研究中包括与安全相关的选择,而不只是软性的政策观点。当智能体的安全默认是谨慎选项时——保留部署闸门、保留强制 MFA 与最小权限——控制上游排序的对手可以仅用看似无害的内容,将该默认侵蚀向更冒险的选择。这在精神上接近基于 RAG 的观点操纵以及搜索智能体背书的污染,但它完全移除了载荷。
对于任何接入第三方可影响通道的智能体,这种暴露都是真实存在的:社交平台、搜索排名、检索增强记忆、邮件分拣或推荐器。但它也是有界的。攻击只能撼动带可移动默认的可争议决策;四个受测模型中有两个处于饱和状态、纹丝不动,作者还指出,一次初步探测显示某前沿模型在同样攻击下仍保持其经过推理的默认。易感性随模型能力与对齐水平的提升而下降——因此这是一种分级风险,而非普遍性的突破。
防御
论文测试了两种简单的信息流层防御,发现二者都有帮助,至少在最明显的易感模型上如此。
- 平衡暴露。 在智能体所读内容中强制混入多种观点——而非任由单边流累积——在测试中大体恢复了安全默认。对信息流施加多样性约束是一种直接的缓解。
- 披露排序。 在人设层面加上一句简短提示,说明信息流可能被对抗性地挑选过,可显著降低该效应。告知智能体其信息流不可信,成本低廉且部分有效。
- 审计信息流层,而不只是提示。 只测试最终提示的基准会完全错过这一控制面。请让智能体面对对抗性排序器进行评估,并报告各模型自身的易感性,而非取平均。
- 限制影响半径。 与致命三要素一样,当被引导的智能体能够行动时危险达到顶峰。将高影响操作置于确认之后,收紧权限,并在不可逆决策上保留人工审核,使得被影响的建议无法不受控地执行。
- 优先采用稳健默认。 攻击在坚定持有的默认面前会失败。当决策与安全相关时,把安全选项固化为硬性策略,而不是留给信息流可侵蚀的可移动偏好。
状态
| 属性 | 结论 |
|---|---|
| 披露 | 公开研究论文,2026 年 6 月 2 日(2606.00914) |
| 通道 | 上游排序器 / 信息流筛选——无注入载荷 |
| 被撼动的模型 | Llama 3.2-3B、Gemma 4(4 个中的 2 个);Qwen 3.5-2B/9B 饱和 |
| 阈值 | 每 5 条中约 2 条对抗帖(剂量-反应) |
| 范围 | 可撼动可移动默认,包括安全决策;对坚定或已对齐的默认失效;前沿模型在初步探测中保持不变 |
| 缓解 | 平衡暴露、披露排序、信息流层审计、操作闸门 |
重构才是要点:在智能体场景中,一个智能体的输出不仅取决于它的权重和用户提示,还取决于排序器为它选择的信息轨迹。问题不再仅仅是模型面对干净提示时是否表现良好,而是在它回答之前,谁掌控着它读到什么。