Proteus 揭示:智能体技能审计器的泄漏远超一次性测试所显示的程度
2026 年 5 月的一篇论文量化了「自适应泄漏」:当攻击者利用审计器自身的反馈反复改写恶意技能时,SkillVetter 被绕过的比例超过 93%,而腾讯的 AI-Infra-Guard 仍会放行多达 41% 的致命变体。
这是什么?
2026 年 5 月 12 日,周兆嘉诚(上海交通大学)在 arXiv 上发布了 Proteus: A Self-Evolving Red Team for Agent Skill Ecosystems。智能体技能(agent skills)——即用户如今从市场和代码仓库安装的、可复用的指令、工具权限与可执行代码组合包——在到达智能体之前,越来越多地要先经过自动审计器的把关。这篇论文提出了一个这些审计器很少被检验的问题:如果攻击者提交的不是一个固定不变的恶意技能,而是不断依据审计器自身的反馈来改写它,会发生什么?
论文给出的答案令人不安。若把技能审计当作一次性分类器来评估,它看起来相当稳固;而若面对一个持续迭代的攻击者,它却大量泄漏。作者将这一差距称为自适应泄漏(adaptive leakage),Proteus 正是为量化它而构建的工具。
工作原理
Proteus 是一个度量框架,而非公开的漏洞利用工具。它的贡献在于给出了一种严谨地为残余风险打分的方法,因此机制比任何具体载荷都更重要(本文不复现任何载荷)。
其核心是一份回合契约(round contract)。每个候选技能都要经过统一的「审计 → 沙箱 → 预言机」流水线,只有同时做到三件事才计为成功:通过审计器、在目标智能体上真正执行、并产生可由预言机对照真值验证的危害。这样,「成功」就成为一个部署层面的事件,而不仅是一次审计裁决——一个骗过扫描器却什么都不做的技能不会被计入。
围绕这份契约,Proteus 将一个技能分解为五个可独立变异的维度:攻击目标、链式拓扑(单技能或链式)、内置代码、副作用通道,以及自然语言文档。关键在于,攻击者处于灰盒(grey-box)状态:在两回合之间,它读取审计器的结构化发现——原因码、严重度、证据指针——以及沙箱运行时轨迹,然后进行修改。这与现实相符,因为开源审计器公开其规则集,任何技能作者都能在本地复现自己提交时将收到的发现。
论文评估了两个审计器:ClawHub 技能生态中使用的 SkillVetter,以及被描述为所测公开审计器中最强的腾讯 AI-Infra-Guard(AIG)。二者以互补的方式失守:LLM 裁判组件会被那种把恶意步骤重新包装为连贯、符合既定目标的工作流的文档所绕过;而静态分析组件则会漏掉文档与底层代码描述不一致的情形。
为何重要
最引人注目的是泄漏的规模。在八个第一阶段配置中,Proteus 在五个回合内达到了 40%–90% 的攻击成功率。将成功变体扩展为族群后,该框架产出了 438 个既能绕过审计、又在沙箱中被确认为致命的技能——其中 SkillVetter 在每个单元格中被绕过的比例都不低于 93%,而更难攻的 AIG 仍会放行多达 41% 的联合成功。
有两项发现超越了单一审计器的范畴。其一,攻击者会随反馈而进步:其学习曲线斜率比那些把发现压缩为单一分数的基线陡约一个数量级,且在「仅改写文档」模式下比微软的 PyRIT 每种子高效约八倍。真正起作用的是结构化的反馈通道。其二,绕过手法可迁移:针对 AIG 优化的变体中有 87.7% 无需任何改动即可通过 SkillVetter,表明攻击者学到的是关于审计的一般性规律,而非某一工具的特有癖性。
对于运营技能市场、或允许智能体自动安装第三方技能的人而言,务实的教训是:在固定语料上测得的一次性审计通过分数,几乎无法说明一个有动机、会迭代的提交者能塞进多少东西。
防御措施
不要再以一次性数字来汇报审计准确率。 论文的核心方法论要点在于:静态基准会高估防护力。请像 Proteus 那样测试你的审计——面对一个能在看到发现后重新提交的自适应提交者——并公布那个数字。
假定你的规则集是公开的。 开源审计器在设计上就会泄露其逻辑,即使是闭源的也会被探测。请把审计发现视为攻击者可读的信息,并避免那种「唯一优势是攻击者看不到拒绝理由」的设计。
弥合文档与代码之间的鸿沟。 大量绕过源于文档看似无害、而内置代码另有所为。请核验技能的声明行为是否与其代码和声明的工具权限实际允许的行为一致,而不是把文字与代码分成两条线各自审计。
在运行时把关,而不仅在预加载时。 由于 Proteus 只有在技能执行并造成可验证危害时才计为成功,那些约束已安装技能在运行时能做什么的防御——严格的工具白名单、沙箱化的副作用通道、对凭据与网络汇点的出站控制——即便审计被骗,也能消除成功条件中「致命」的那一半。
关注链式拓扑,而不仅是孤立的技能。 多次攻击是靠插入一个看似无害的桥接技能得逞的,从而让一个读取凭据的步骤与一个网络汇点被读作一条连贯的业务工作流。请审计技能之间的数据流,而不仅是孤立地审计单个技能。
状态
| 项目 | 参考 | 日期 | 备注 |
|---|---|---|---|
| 论文 | arXiv:2605.11891 | 发布于 2026-05-12 | 周兆嘉诚,上海交通大学 |
| 方法 | 灰盒自进化红队;技能五维变异 | — | 审计 → 沙箱 → 预言机 回合契约 |
| 所评审计器 | SkillVetter(ClawHub)、腾讯 AI-Infra-Guard | — | LLM 裁判与静态分析存在互补盲区 |
| 第一阶段结果 | 5 回合内 40%–90% 成功率 | — | 两个审计器上学习曲线斜率均为正 |
| 扩展结果 | 438 个绕过审计且致命的变体 | — | SkillVetter 每单元格绕过率 ≥93%;AIG 联合成功率最高 41% |
| 跨审计器迁移 | 87.7% 针对 AIG 的变体也能绕过 SkillVetter | — | 无需重新变异 |
| 状态 | 研究性度量;未发布可用漏洞利用 | — | 作者将其定位为潜在的生态系统级风险 |
Proteus 与其说描述了一种全新的攻击,不如说提供了一把新的量尺。它所重组的技术——叙事重塑、代码与文档不一致、链式数据流——都已为人所知。真正新颖、值得警示的是这套度量:一旦允许攻击者依据审计器的反馈进行迭代,当今技能审计流水线中的残余风险,就远高于其一次性分数所暗示的水平。