系统:运行中
← 返回所有攻击
DEFENSE MEDIUM NEW

带外注入防御尚未面对自适应攻击者

2026 年 6 月的一篇论文警告:CaMeL、Progent 等参考监视器防御仍以静态基准来评估——正是这一方法曾让带内防御显得强大,直到自适应攻击将它们攻破。

2026-07-02 // 7 min affects: llm-agents, progent, camel, fides, rtbas, forge

这是什么?

2026 年 6 月 25 日,LaunchSafe 的研究者发布了 Adaptive Evaluation of Out-of-Band Defenses Against Prompt Injection in LLM Agents。这篇论文对当前业界最为乐观的一类防御提出了令人不安的观点。一个使用工具的智能体会读取它无法控制的文本——网页、工单、PDF、邮件正文——当攻击者在其中植入指令时,后果不是一句不当的话,而是一个动作:泄露一条记录、删除一行、发起一次转账。在带工具的智能体中,提示注入是授权问题,而非内容问题。

第一代防御把它当作内容问题处理——输入分类器、护栏模型、对抗式微调。到 2025 年底,这一路线出现了有据可查的失效模式:Nasr 等人 取来十二种已发表的带内防御,多数原本报告近乎为零的攻击成功率,却用自适应、了解防御细节的攻击将其中大多数的成功率恢复到 90% 以上。第二代防御把执行移到模型之外——CaMeL、FIDES、Progent、RTBAS、Conseca、FORGE——用一个确定性策略来决定哪些动作被允许,而不论模型被诱导做了什么。论文的警告是:这些较新的防御,正在以与那些已被攻破者相同的方式被验证。

工作原理

按作者的框架,带外防御是对上世纪 70 年代安全原语的重新发现:Biba 完整性(读取不可信数据会降低主体等级;被降级的主体不得授权高完整性动作)、参考监视器(对每个动作进行中介、防篡改、小到可验证)、Saltzer–Schroeder 的最小权限,以及能力 / 信息流控制。缓冲区溢出、SQL 注入与 XSS 反复给出同一个教训:检测输了,结构赢了,而这个结构存在于攻击者所控制的通道之外。自然语言没有可用来分隔代码与数据的语法,因此这种分隔无法在模型内部强制实现,必须在模型之外强制实现。

已报告的数字很亮眼。ProgentAgentDojo 基准上的间接注入成功率从 39.9% 降到 1.0%;CaMeL 在受攻击下解决了 77% 的 AgentDojo 任务,且在其威胁模型下没有一次注入成功。但这些数字都来自静态基准——一组在防御出现之前就选定的固定注入尝试。这恰恰是那种衡量「对已知攻击集的抵抗力」、却被错误解读为「对攻击者的抵抗力」的方法。

为开始弥补这一缺口,作者在一个开放权重智能体(Qwen2.5-7B,自托管于单张 H200)上对 Progent 进行了自适应评估——这是 Progent 作者未曾测试的场景。在三次运行中,确定性关卡守住了:平均攻击成功率下降约六倍(25.8% 降至 4.2%),而针对 Progent 策略撰写模型手工构造的自适应攻击并未把它抬高(2.6%)。该结果落在 Progent 作者报告的同一低区间,并提示确定性关卡在本质上是比分类器更难攻破的目标——攻击者必须在遵守策略的前提下驱动一个有后果的动作,而不只是骗过一个检测器。

为何重要

诚实的解读是:这是一个数据点,而非定论。作者说得很清楚:只有一种防御、一个较弱的开放权重模型、一种黑盒攻击模板。没有运行优化的白盒(GCG)攻击,也没有仅限于已授权工具的攻击。一个可能的混淆因素是:「伪装成良性」的措辞同时削弱了针对智能体的指令,因此这一低数字反映的可能既是防御之强,也是攻击之弱。

无论如何都成立的,是方法论上的警告。对带外防御的信心,如今建立在同一套评估方法之上,而这套方法对带内防御的盲点已被证实。若干局限也由构造本身决定:动作中介对文本到文本的危害(被投毒的摘要)无能为力;来源标注是一个规范不足的可信基;「人在回路」任务仍退回到用户背书(伴随审批疲劳);而 CaMeL 自身就演示了可用的旁路信道。保护也并非免费——受防御的运行付出了约 15× 的模型调用,任务效用从约 45% 降至约 26%。

防御建议

对于自建或采购智能体安全的团队,这篇论文既是研究札记,也是采购与测试指南。

  • 优先选择确定性、带外的动作中介。 位于工具边界的参考监视器,比任何模型层的分类器或护栏都更牢靠。做决策的关卡本身不应是一个模型。
  • 不要把静态基准数字当作保证。 「39.9% → 1.0%」这样的标题描述的是在防御出现之前就选定的攻击。应要求供应商提供了解防御细节的自适应评估,包括优化攻击以及仅限已授权动作的攻击。
  • 锁定来源标注。 整套方法都依赖于正确标注哪些输入可信。要明确到底由哪个报头、哪个片段或哪个上游智能体来设定完整性——一个被遗忘、默认「可信」的标签会在源头破坏该不变式。
  • 保持纵深防御。 带内过滤器作为对抗非自适应攻击的一层仍有价值;只是不要把它当成边界。
  • 为成本做预算。 预期显著更高的令牌/延迟成本与一定的效用损失,并把背书请求率作为可用性与暴露面的信号加以监控。
  • 收缩影响范围。 工具的最小权限、出站网络限制、以及对异常有后果动作的监控,能在监视器被绕过时仍限定一次成功注入所能造成的后果。

状态

项目详情
发表Adaptive Evaluation of Out-of-Band Defenses(LaunchSafe),2026 年 6 月 25 日
所考察的防御CaMeL、FIDES、Progent、RTBAS、Conseca、FORGE(带外)
实证对象Progent,基于 Qwen2.5-7B,AgentDojo(banking/slack/workspace),3 次运行
关键结果平均 ASR 25.8% → 4.2%(受防御)→ 2.6%(自适应);关卡守住
成本约 15× 的模型调用;效用约 45% → 26%
未决威胁优化的白盒攻击,以及仅限已授权动作的攻击——尚未测试

结论不是「这些防御被攻破了」。它与自适应攻击对带内防御的效果恰好相反——但仅凭对单一弱模型的一次弱攻击,还不能确立带外执行能够抵御一个认真、经过优化的自适应攻击者。这项评估,仍是这个领域欠自己的功课。

Sources