系统:运行中
← 返回所有攻击
RESEARCH LOW NEW

RIFT-Bench:通过映射代码而非提示词来红队测试智能体

2026 年 6 月富士通的一篇论文,将智能体安全测试重新聚焦于系统结构。它从代码中提取智能体组件图,再实例化契合的攻击,可泛化到 45 个异构系统。

2026-07-03 // 5 min affects: llm-agents, multi-agent-systems, tool-integrated-agents

这是什么?

RIFT-Bench 是一套面向智能体(agentic)AI 系统的红队测试方法,由富士通欧洲研究院与富士通印度研究院的团队于 2026 年 6 月 22 日发表在 arXiv 上。其核心论点是:大多数 LLM 智能体的安全测试沿用了 LLM 红队测试的错误假设——把用户提示词当作唯一的攻击面,并且只以模型最终的文本输出来判定攻击是否成功。这种视角适用于聊天机器人,却不适用于一个会调用工具、保存记忆、协调多个智能体并在环境中执行真实动作的系统。

论文的关键观察是:智能体的漏洞源于不可信输入、工具、记忆与特权动作之间的交互,而非某个孤立的提示词。因此,要真正有意义地测试一个智能体,必须先理解它究竟是如何构建的。RIFT-Bench 把这种结构性理解作为评估的起点,而不是事后补充。

工作原理

该框架分两个自动化阶段运行。第一阶段 Discovery(发现)读取目标系统的代码库,从中提取作者称为 NodeSpec 的结构化表示:一张层次化的图,刻画每个智能体组件、组件之间如何交互,以及每个节点对应的实现代码块。Discovery 还配置了可调的工具模拟,使测试无需真正调用外部服务即可运行——这是一项兼顾安全与成本的措施,避免产生真实的副作用。

第二阶段 Scanning(扫描)利用 NodeSpec 图为具体系统实例化契合的攻击,然后执行、追踪并评分,生成漏洞报告。使该方法能在差异极大的智能体上复用的,是一个四级攻击面层次结构。surface(面)是入口类别,如工具、记忆、外部资源、用户输入;suite(套件)是某个面内的操作配置,例如经由工具输出的注入;probe(探针)是与其评估器配对的、可复用且与系统无关的模板;attempt(尝试)是探针在某系统真实工具与参数上的具体实例化。同一探针因此可以在众多架构上自动重新实例化,并与第二条轴——对抗目标(执行非预期动作、阻止任务完成、泄露内部信息或耗尽资源)——相结合。

由于 RIFT-Bench 评估的是系统本身而非模拟替身,其探针能触及仅测提示词所遗漏的失效模式——例如以描述层注入、未授权动作或输出篡改形式表现的恶意工具面,每一种都是拥有自身模板的独立套件。

为何重要

智能体安全长期存在的问题是:评估被绑定在某个框架或某个基准环境上,因此结果无法迁移。为某一实现编写的攻击集无法在另一实现上复用,异构系统之间的比较也变得不可能。RIFT-Bench 的贡献在于通用性:作者在覆盖五个领域——金融、医疗、个人助理、旅行以及开放式的「wild」任务——的 45 个智能体系统上验证了该流水线,并给出按攻击面、架构、框架、攻击者目标与评估器类型细分的攻击成功率。这些成功率在不同领域与目标之间差异显著,而这正是要点所在:单一的汇总数字会掩盖某个系统真正薄弱之处。

对防御方而言,其实用价值在于提供了一种可复现的方式来提问「这个智能体在哪里暴露?」,而不是「这个智能体是否通不过一套固定测试?」。随着智能体从原型走向企业工作流,这种从以提示词为中心到以结构为中心的测试转变,正是让安全测试跟上各系统迥异连线方式的关键。

防御

RIFT-Bench 本身就是防御工具,论文将防御评估内建于框架之中,而非另作处理。

在实际语境中测试防御,而非纸上谈兵。 防御方可以定义自定义的干预逻辑,由 RIFT-Bench 自动织入目标系统,使某项缓解措施与未设防系统面对相同的探针来度量。论文提供了一种简单的描述移除防御(在执行前剥离工具描述),并集成了既有工作中的提示词三明治(prompt sandwiching)数据分隔符作为基线。

在两个层面防御。 作者区分了组件级缓解(嵌入各模块的输入/输出过滤)与系统级缓解(改动智能体与工具间的编排逻辑,使注入无法抵达特权动作)。健壮的智能体通常两者都需要:若系统设计仍把不可信的工具输出路由到高权限动作,单个模块上的优秀分类器也无济于事。

先映射你自己的攻击面。 更深层的教训超越这一工具本身:无法保护未曾建模之物。厘清不可信输入从何进入——用户提示词、工具输出、记忆、外部资源——以及特权动作位于何处,是任何有意义测试的前提。

明确权衡取舍。 由于该框架同时度量健壮性、计算开销与任务效用,它使每项防御的代价可见。应把缓解视为需要度量的工程权衡,而非一个勾选框。

状态

项目参考备注
核心论文arXiv:2606.23927,2026 年 6 月 22 日富士通研究院(欧洲与印度)
方法NodeSpec + Discovery/Scanning从目标代码中提取的图
范围同一论文在 45 个智能体系统、五个领域上验证
已评估防御同一论文描述移除、提示词三明治、数据分隔符作为基线
独立报道Adversa AI 摘要,2026 年 7 月 2 日对该工作的公开收录

持久的要点是一次重新定位:智能体的安全是其架构的属性,而不仅是其提示词过滤器的属性。以映射系统构建方式为起点的测试,才能发现仅测提示词的红队在结构上无法看到的交互层弱点。

Sources