系统:运行中
← 返回所有攻击
DEFENSE MEDIUM NEW

用局部净化遏制多智能体系统中的传染性越狱

在多模态智能体网络中,一张被污染的图片就能让越狱在智能体之间逐个扩散,直至系统大面积沦陷。2026 年 5 月的一篇论文提出了一种无需训练的局部解法。

2026-07-05 // 7 min affects: multimodal-llm-agents, multi-agent-systems, rag, llava, qwen2-vl

这是什么?

当多个多模态智能体协作时——每个智能体都拥有自己的模型、一个检索库、一段对话历史,以及在交流中彼此交换的图像相册——单个被攻陷的智能体就可能把它的越狱传给其他智能体。这就是传染性越狱:最早由「Agent Smith」工作演示,其中一张对抗性图像被塞入某个智能体的相册后被反复检索并转发,于是攻陷在网络中呈指数级扩散,而非局限于第一个受害者。

2026 年 5 月发布于 arXiv 的论文《Catching the Infection Before It Spreads: Foresight-Guided Defense in Multi-Agent Systems》重新审视了这一问题,并提出了一种完全在推理阶段运行的防御。其核心结果是:在基于 LLaVA-1.5-7B 构建的 128 智能体模拟网络中,该框架将最大累计感染率从超过 95% 压低到 5.47% 以下,同时把交互多样性维持在接近正常系统的水平。

工作原理

该建模把每个智能体表示为一个多模态模型、一个基于图像相册的检索增强生成(RAG)模块、一段对话历史,以及一份与同伴交换过的图像记忆。每一轮中,智能体被配对为提问者与回答者;图像与文本随之流转,收到的图像进入回答者的相册。攻击——即病毒对抗样本(VirAE)——被精心构造,使其一旦进入相册就会被反复重新检索,从而最大化被再次转发的概率。正是这一检索反馈回路,把单点感染变成了指数级传播。

论文的核心批评针对以往防御的应对方式。这些工作注入一个全局共享的「治愈因子」——一种被设计得比病毒更具传染性的良性产物,使智能体优先检索它。这或许能抑制可见的恶意行为,但代价是把每个智能体都偏置到同一种被强加的回应上,从而使网络趋于同质化,而被污染的图像从未被真正清除。作者将其视为一种错配:治愈是全局干预,感染却由局部的交互行为构成。

他们的替代方案 Foresight-Guided Local Purification(FLP)无需训练,仅使用对话历史与相册、逐个智能体地运行,不访问底层模型或 RAG 模块。它包含三个阶段。首先,每个智能体在多个人格下模拟自身未来的交互轨迹,以在不同情境中探查其行为。其次,它以回应多样性作为诊断信号:良性行为在各人格间保持多样,而被感染的行为会坍缩为近乎相同的输出,因此人格之间的分歧会在检索与语义两个层面标示出感染。最后,一旦某个智能体被标记,净化便移除问题图像——对近期感染进行快速相册回滚,对陈旧感染则使用 Recursive Binary Diagnosis,递归地切分相册以定位并删除其中的 VirAE。在所报告的消融实验中,这达到了 97.7% 的威胁清除率,同时保留了 80.6% 的良性图像。

为什么重要

多智能体架构正走向生产环境,用于研究助手、代码流水线与工作流自动化,凡是在智能体之间传递图像或检索产物的系统都继承了这一暴露面。传染性越狱的棘手之处在于其影响半径是整个网络,而非单个智能体:攻陷单个低价值参与者的攻击者,原则上可以触及此后检索到被污染内容的每一个智能体。而论文关于「治愈」的告诫也可推广到图像之外:任何靠把每个智能体推向同一种固定安全行为来运作的防御,都可能以牺牲实用性换取抑制,并掩盖而非清除潜在的污染。

需如实说明的局限:这些是模拟结果,主要在单一 7B 开源模型、且各智能体同构的条件下取得(一种刻意易于感染的最坏情形配置),另加若干模型用于评估泛化。数据来自作者自身,而非独立评测,且该方法因逐智能体的前瞻模拟而增加推理开销。它是一项有前景的研究性防御,而非已部署的控制手段。

防御

无论使用哪种框架,实用的经验都成立。把智能体间的内容——检索到的图像、文档、工具输出——一旦越过智能体边界就视作不可信,不要让一个智能体的记忆在无校验的情况下悄然成为另一个智能体的检索来源。相较于只是用统一安全回应覆盖每个智能体的做法,应优先选择能清除污染并恢复原始行为的防御,因为被同质化的智能体既更不实用,又仍然携带毒素。留意论文所依赖的诊断信号:当某个智能体的输出突然坍缩为低多样性或在不同情境间重复时,应将其视为可能的感染迹象,而非单纯的怪异。积极地限定并使记忆过期——采用有界的 FIFO 式相册与历史,可以限制被植入产物能被持续检索的时长。而在网络于智能体之间交换媒体之处,应逐个智能体地隔离与清除,而非依赖单一的全局补丁;2026 年 5 月前后一条相邻的、以感染感知防护为主题的研究,从缓解一侧论证了同一观点。

状态

这是一项面向学术的研究性防御,而非带有已分配标识符的产品漏洞。

项目详情
来源《Catching the Infection Before It Spreads: Foresight-Guided Defense in Multi-Agent Systems》(arXiv:2605.01758)
发布2026 年 5 月
类型防御框架(无需训练,推理阶段)
建模威胁多模态多智能体系统中的传染性越狱 / 病毒对抗样本
配置主用 LLaVA-1.5-7B;另含 InternVL2-8B、Qwen2VL-8B、InstructBLIP-7B;128 智能体,64 轮
报告结果最大累计感染率从 >95% 降至 <5.47%;威胁清除 97.7%,良性保留 80.6%
对比基线Agent Smith(攻击)、Cowpox(此前的治愈因子防御)

主要来源发布于近 90 天内。持久的教训是:在智能体网络中,需要防御的单位是交互,而非单条回应——一种把所有智能体变得一模一样的防御,并没有治好感染,只是把它藏了起来。

Sources