系统:运行中
← 返回所有攻击
AGENTS MEDIUM NEW

长时程智能体需要面向传播的安全,而非单步防御

2026年6月的一篇论文梳理了针对长时程 AI 智能体的攻击如何在记忆、工具与规划之间传播,并在多个步骤中持续存在——而单步防御往往无法察觉。

2026-07-05 // 5 min affects: ai-agents, long-horizon-agents, multi-agent-systems, tool-using-llms

这是什么?

2026年6月12日,塔伊夫大学的 Ahmed Mohammed Almalki 与 Mehedi Masud 发表了A Security Analysis of Long-Horizon Agentic AI Systems: Threats, Evaluation, and Framework Development(arXiv:2606.14816)。这是一篇综述与框架论文,并非新型攻击,其论点具有结构性意义:关于智能体的安全研究文献是零散的。提示注入、记忆投毒与工具滥用被分别研究,而这种切分恰恰忽略了真正定义”长时程智能体”的特性——在某一步引入的恶意输入不会停留在本地。它会在记忆、推理与工具调用之间传播,并可能在此后的许多执行步骤中持续有效。

这一区别十分重要,因为现有的大部分评估都是为单步、问答式模型设计的。这些方法只衡量某个提示是否会一次性产生有害输出,几乎无法说明持续性(该次入侵是否会延续到后续回合?)或传播性(它是否会从受影响组件扩散到其他组件?)。该论文被收录于 Adversa 2026年7月的智能体安全资源汇总,其中将当月的主导主题概括为:把智能体视为需在运行时治理的内部威胁——这正是本文从评估侧所探讨的同一问题。

工作原理

论文提出了三个相互关联的产物。

第一是一套威胁分类法,按入口点而非症状来组织,将攻击归为五类:基于输入的攻击(提示、检索文档或网页内容中的恶意指令)、记忆攻击(将虚假数据写入长期记忆、随后作为可信知识被重用)、工具相关攻击(被操纵的 API 与数据库输出被当作合法结果接受)、规划攻击(对目标、子目标或中间推理步骤的操纵,其中目标劫持为最坏情形),以及多智能体攻击(滥用协作智能体之间的信任与通信通道)。

第二是一个五层传播框架——输入层、智能体核心、记忆模块、工具层、输出层——用以刻画一个从某一表面进入的威胁如何在到达运营者所检视的输出之前,先穿过记忆与规划。这是论文的核心观点:风险并不位于单一边界,而是沿着智能体自身的内部数据流传播。

第三是一套结构化评估方法,包含作者认为单步测试所遗漏的四个维度:多步执行分析、攻击传播评估、持续性度量,以及系统响应评估(系统能否检测、缓解并恢复?)。这些维度共同将评估从”该提示是否失败过一次”转向”入侵能扩散多远、持续多久”。

为何重要

长时程智能体正是当下被推向生产环境的系统:持续监控日志并据此更新未来决策的 SOC 监控智能体、自主软件工程智能体,以及可无人值守运行数小时的业务流程自动化。在所有这些场景中,早期写入的一条被投毒的记忆条目或被操纵的工具结果,可能在很久之后悄悄左右决策——此时注入内容早已滚出上下文。仅过滤输入、却从不重新校验智能体已存储内容的防御,将无法察觉这一点。

防御

该框架指向的是架构层面的防御,而非提示层面的措施。将智能体写入长期记忆的一切内容都视为不可信,直到重新验证;并为记忆条目附加来源标记,使后续步骤能区分运营者授权的事实与经由工具或网页进入的内容。严格限定工具凭据,并按每次操作授予,使被攻破的工具输出无法升级为更广泛的权限。在多智能体架构中,应在智能体之间引入信任验证与经认证的通道,而非默认协作方的消息是安全的。最重要的是,按论文的四个维度进行评估:开展长时程红队模拟,衡量一次注入是否会持续与传播,而不仅是是否一次得手;并为智能体加装监测,使被检出的入侵能够回滚,而非被无声地继续携带。这些方向与2026年年中主导智能体安全指引的运行时”零信任”护栏一致——涵盖 Anthropic、Google DeepMind 与微软 AI 红队。

状态

这是一篇概念性的综述与框架论文。它综合了约二十项既有研究,提出了分类法、传播模型与评估方法;未发布任何基准、利用代码或评分数据集,也未点名任何具体的脆弱产品。其价值在于为构建或评估长时程智能体的团队提供一副结构化的分析视角。该工作没有关联的 CVE。

项目详情
发表arXiv:2606.14816,2026年6月12日
类型综述 + 所提出的分类法/框架(未发布代码或基准)
影响范围长时程与多智能体 AI 系统整体;无单一产品
CVE

Sources