系统:运行中
← 返回所有攻击
AGENTS MEDIUM NEW

FlowSteer:用一条提示词操纵多智能体工作流的形成

2026 年 5 月的一篇论文表明,仅凭提示词的攻击者即可在任何智能体运行之前,左右规划者-执行者多智能体系统构建工作流的方式,使恶意成功率最高提升 55%。

2026-07-06 // 6 min affects: gpt-4o-mini, gemini-2.5-flash, qwen-3.5-flash, deepseek-v3, planner-executor-mas

这是什么?

2026 年 5 月 12 日,来自云南大学、新加坡国立大学和华盛顿大学的研究者发表了 FlowSteer,研究了一个被多数多智能体安全工作忽略的攻击面。以往的攻击针对的是工作流形成之后的智能体、工具、记忆或智能体间消息;FlowSteer 针对的是工作流被构建的那一刻。

现代多智能体系统(MAS)越来越多地采用规划者–执行者架构:规划者将用户提示词转化为子任务、分配角色、连接依赖关系,并决定信息如何被路由与聚合。这种灵活性是其优势,而论文认为,也是其暴露之处。一条普通的用户提示词,无需访问任何内部组件,即可左右该工作流的形成,从而将整个系统引向攻击者选定的答案。作者将其称为工作流层面的安全,这是本文的核心贡献。

工作原理

论文以社会影响作为诊断工具:固定一个干净的工作流,每次扰动一个子任务,并测量最终输出向恶意目标偏移的程度。这一探测揭示了两个弱点。

第一是结构敏感性:同一条恶意信号,因其进入工作流的位置不同,影响会截然不同。位置可能在聚合阶段放大信号,也可能悄然抑制它。第二是框架敏感性:谄媚式线索——权威口吻、以服从为导向的措辞、被当作不容置疑之前提的断言——会让下游智能体更倾向于转发该信号。在受控探测中,这类框架使恶意成功率最高上升 37%

FlowSteer 将两者融入一条精心构造的提示词,分为两个部分:

[User Task]            # 真实的、看似良性的目标
[Malicious Argument]   # 与高影响力子任务对齐、伪装成证据的谄媚式恶意断言
[Structural Guidance]  # 以自然语言给出的引导,使重新规划偏向能持续传播信号的依赖关系

不执行任何载荷,不触及任何基础设施。攻击者只是塑造规划者读取的规划信号。在四个模型家族——GPT-4o-mini、Gemini-2.5-Flash、Qwen-3.5-Flash 和 DeepSeek-V3——以及两个基准(MisinfoTask 与 ASB-Bench)上,FlowSteer 相比朴素的恶意提示词,将恶意攻击成功率提升了一半以上(最高 +55%)。在单一干净配置上刻画出的漏洞先验可跨模型家族迁移;即便在完全黑盒的场景下,攻击者看不到执行拓扑、只能从规划者输出中推断出大致结构,攻击仍远高于朴素基线。

为何重要

令人不安的发现在于防御所处的位置。ARGUS、G-Safeguard 等现有 MAS 防护措施检查的是已形成的工作流——图结构、智能体输出、传播模式。而 FlowSteer 在工作流存在之前就污染了提示词信号,因此形成后再检查只能提供有限且不稳定的保护。让规划者-执行者系统具备自适应能力的那个提示词接口,正是操纵它们的通道。

这一点之所以重要,是因为这类架构正进入高风险场景——智能体辅助编程、金融风险分析、公共政策模拟——在这些场景中,末端的聚合步骤可能把一条布置得当的断言变成系统的最终答案。它同时把一个已知的对齐弱点武器化了:谄媚不再只是礼貌上的小毛病,而成了结构性的传播机制。

防御

作者为该攻击配套提出了 FlowGuard,一种在规划之前生效的输入侧防御。它分两步运行。意图分诊模块将提示词拆分为任务意图、方法/结构意图与框架意图。意图净化模块随后重写提示词,在保留真实目标的同时,弱化僵硬的结构性指令,将武断的外部断言改写为有待评估的证据,并剔除会带偏采纳的服从性线索。FlowGuard 将恶意成功率最高降低 34%,且不损害合法的任务指令。作者强调这只是第一步,应与规划者侧的校验、来源追踪和运行时监控相结合。

面向部署规划者-执行者系统的团队的具体建议:把规划者视为一道信任边界,而非假定工作流是干净的;在任务分解之前,对用户输入中的框架与服从性措辞进行规范化处理;不要仅依赖对图或输出的事后检查;在聚合阶段对高影响力断言要求交叉印证;并记录规划决策(分解与路由),使被操纵的工作流事后可审计。

状态

方面详情
披露arXiv 预印本,2026 年 5 月 12 日发布
类别规划阶段 / 工作流形成攻击(规划者-执行者 MAS)
测试对象GPT-4o-mini、Gemini-2.5-Flash、Qwen-3.5-Flash、DeepSeek-V3
效果相比朴素提示词最高 +55% 恶意成功率;可迁移;黑盒下有效
实际利用未见报告;研究成果
防御FlowGuard 输入侧净化(恶意成功率 −34%)

Sources