系统:运行中
← 返回所有攻击
DEFENSE LOW NEW

网络欺骗对 AI 攻击者比对人类更有效

2026 年 6 月的一项研究让 21 个攻击者模型面对经典欺骗陷阱:所有模型上钩的频率都高于人类——而且在识别出陷阱之后仍继续上钩。

2026-07-15 // 6 min affects: llm-agents, autonomous-offensive-agents, ai-red-team-tools

这是什么?

2026 年 6 月 19 日,研究者发表了 Honeyquest for LLMs: Rethinking Cyber Deception for AI Attackers,这是一项实证研究,提出了一个简单却早该回答的问题:网络欺骗——防御者用来抓捕入侵者的蜜标(honeytoken)、诱饵和陷阱——对由 AI 驱动的攻击者,是否与对人类同样有效?

整个网络欺骗实践都建立在以人为中心的假设之上:什么看起来诱人、什么看起来可疑,以及如何转移入侵者的注意力。随着基于大语言模型的自主攻击代理从演示走向真实作战,这些假设无一能被保证成立。该研究将最初的 Honeyquest 工具(在 RAID 2024 上提出)改造为自动化框架,大规模衡量 LLM「攻击者」如何判断埋有陷阱的侦察材料。核心结论:AI 攻击者自成一类,而且明显比人类更容易被欺骗。

工作原理

Honeyquest 向攻击者呈现逼真的侦察素材——配置片段、类似凭据的字符串、网络细节——其中一些是无害的,另一些则是刻意布置的诱人陷阱,例如只有入侵者才有理由去动的蜜标。该工具记录攻击者将哪些行「标记」为值得利用,从而把攻击者的判断转化为可测量的信号。这是一次防御性测量,而非漏洞利用:陷阱是诱饵,被评估的是判断,而非攻击能力。

LLM 版本运行了一个 21 个模型的队列,覆盖 10 家提供方,既有开放权重也有封闭权重,参数规模从约 80 亿到超过 1 万亿。它在 174 个侦察查询上产生了 10,962 条响应,并与在同一任务集上的 47 名人类参与者基线进行对比。

三项发现尤为突出。第一,队列中每一个模型落入陷阱的比例都显著高于人类基线。第二,一种在人类身上有充分记录的防御效应——注意力转移,即布置得当的诱饵会把攻击者从真实资产上引开——在 LLM 队列中统计上不存在。第三,也是最引人注目的,作者记录了一种识别—行动落差:模型经常在自己的推理文本中写道某一行看起来像陷阱,却仍然对其采取行动,比例高达 73.4%。模型是否在推理中点出陷阱,并不能预测它是否会避开陷阱(Spearman r = +0.08,p = 0.73)——说「这是诱饵」与咬住诱饵之间基本不相关。

为何重要

对防御者而言,这个反直觉的含义令人鼓舞:你已经熟悉的欺骗技术对机器攻击者格外有效。一个老练的人类渗透测试者会绕开的蜜标,自主代理很可能会去抓取——即便它自己的推理链已经标记了风险,它照样会抓。随着攻击性代理执行的侦察量不断扩大,廉价的绊线便成为一层高信号的检测手段,而且恰好针对那些最难限速的攻击者。

同样的结果也带来一条警示。如果注意力转移对机器无效,而口头上的识别又不能转化为回避,那么为欺骗人类而调校的欺骗手段可能留下盲区——或把精力浪费在只因人类认知偏差才奏效、而模型并不具备这些偏差的花招上。不应假设为人类红队校准的欺骗可以原封不动地迁移,而且各模型之间的易感程度差异很大:你面对的攻击者模型很重要。

防御

在自主代理真正会经过的路径上布置蜜标和诱饵资产——代码仓库、配置文件、环境变量、凭据存储——并对任何交互告警。该研究的核心实践信息是:这些绊线针对 AI 攻击者的触发比针对人类更可靠,因此它是面对代理型威胁时性价比最高的控制手段之一。关于基于蜜标的代理检测的相关工作,展示了如何把同样的思路接入你自己运行的工具型代理。

不要指望「模型会注意到」。由于识别并不能预测回避,一个推理出「这看起来像蜜罐」的模型既不是安全的攻击者,也不能证明你的欺骗失败了。请对行动进行监测——访问、读取、外泄尝试——而不是对攻击者声明的意图进行监测。

把面向 AI 的原生主动防御当作一个独立的设计问题来对待,而不是把以人为中心的欺骗换个外壳。针对你预期会面对的代理模型重新测量上钩率,淘汰依赖人类偏差的花招,保留机器可靠上钩的诱饵。最后,将欺骗与最小权限和溯源控制结合起来(参见 DeepMind 的代理陷阱分类法),使被触发的陷阱能够限制影响范围,而不仅仅是记录日志。

状态

项目详情
来源Honeyquest for LLMs: Rethinking Cyber Deception for AI Attackers,arXiv:2606.21037,2026 年 6 月 19 日提交
方法21 个 LLM 队列,10 家提供方,80 亿–1 万亿+ 参数;在 174 个查询上产生 10,962 条响应,对比 47 名人类参与者
关键数据识别—行动落差:陷阱被识别后仍有 73.4% 的时间被利用;识别与回避不相关(r = +0.08,p = 0.73)
性质研究成果,防御性;未复现任何漏洞利用
工具Honeyquest,最初见 arXiv:2408.10796(RAID 2024)

Sources