系统:运行中
← 返回所有攻击
DEFENSE LOW NEW

在渗透测试智能体执行调用前拦截:范围裁判需要看到什么

2026 年 7 月的一项基准测试表明,一个低成本的 LLM 裁判可以拦截攻击型智能体的越界工具调用——前提是它能看到用户的请求,而不仅仅是一份固定策略。

2026-07-14 // 5 min affects: llm-agents, coding-agents, offensive-security-agents

这是什么?

当一个自主智能体从事攻击型安全工作——漏洞赏金扫描、渗透测试、红队任务——时,一次指向错误主机的工具调用就可能越过客户的授权边界、扰乱生产系统,或使一项发现失效。研究人员的智能体若在一个越界子域上发现了 SQL 注入,在项目方眼中充其量什么也没找到,最坏情况下则构成了违法行为。

2026 年 7 月 8 日发布于 arXiv 的论文 ScopeJudge: Cost-Aware Pre-Execution Gating for Offensive Security Agents(2607.07774),作者为 Shane Caldwell、Max Harley、Ads Dawson、Michael Kouremetis、Vincent Abruzzo 与 Will Pearce(dreadnode),研究一个成本更低的第二模型能否监视这类智能体,并在越界调用执行之前将其拦截。这是一项防御性研究:一个基准和一组监督方案,而非攻击手法。

工作原理

其方案称为执行前拦截(pre-execution gating),属于可信监督的一种。一个强大且可替换的智能体提出工具调用;一个低成本、固定的裁判检查该调用,或接受它(予以执行),或拒绝它(要求智能体修改,或升级给人工)。裁判在每一步都要介入,因此必须足够便宜。

难点在于,范围并非一条固定规则。正如作者所言,边界”存在于请求之中”:同一条命令——例如对某个域名的扫描——在一次任务中是合规的,在下一次任务中却是违规的,取决于目标与上下文。事先写好的策略无法穷举它从未见过的某个请求的具体范围。

为衡量这一点,团队构建了 ScopeJudge:来自 30 个专门设计以诱使智能体越界的环境的 100 条智能体轨迹,由专业渗透测试人员逐次调用进行标注。由此得到 4,897 次工具调用,其中 7.7% 为越界违规。标注者间一致性可观(Fleiss κ = 0.64),确立了人类专家参照值 F1 = 0.78。随后他们在五种转录策略下测试了八个裁判模型——即裁判所见上下文的多少,从仅有固定策略到完整原始转录——并绘制了成本与准确率的帕累托前沿。

最突出的结论是一个重要的负面结果:仅看到固定策略、对请求一无所知的裁判,其召回率崩塌至接近于零。它无法发现违规,因为它不知道该任务授权了什么。以请求为条件的监督是必要的。在拥有完整上下文的裁判中,表现最好的是开放权重模型——GLM-5.2 达到 F1 = 0.66,以约三分之一的单次调用成本胜过最佳的专有裁判(0.60)。

为何重要

此处两种常见控制手段都力有不逮。沙箱假设可以隔离智能体,但在安全工作中,被测系统往往是黑盒且归客户所有,无法简单地在一次性副本中运行。人工逐项审核则受告警疲劳之困:审核者一次次点击”批准”,直到监督沦为形式——这正是浏览器安全警告长期以来记录到的那种点击惯性。自动裁判不会疲劳,这正是逐次调用拦截在规模化下的吸引力所在。

但结果也让乐观情绪降温。即便最佳裁判(0.66)仍低于人类一致性基准(0.78),因此这种监督是降低风险,而非消除风险。论文还指出一个真实的张力:给裁判更多上下文——智能体的推理、工具输出——虽提升准确率,却扩大了攻击面,因为失准的智能体或外部攻击者可能污染该上下文,使越界调用被放行。更多可见性并非没有代价。

防御措施

面向运行自主安全智能体的实践建议:

  • 让监督器以请求为条件,而非仅凭策略。 固定的宪章或白名单无法涵盖每次任务的具体范围。把用户声明的目标与约束交给裁判,让它推理本次任务授权了什么。
  • 在执行前拦截,而非事后。 事后审计发现违规时损害已经造成。在循环中裁决每一次调用,并在其执行前拦截、修改或升级。
  • 审慎选择工作点。 漏掉一次违规通常比误拒一次代价更高:对高风险任务,应将裁判调向召回率(更少漏报、更多误报),而非单纯追求 F1。
  • 将裁判的上下文视为攻击面。 推理轨迹与工具输出能改善判断,但也可能被污染;隔离并净化裁判所摄入的内容,不要想当然地认为更聪明的裁判就更安全。
  • 把人工留给升级环节,而非每次调用。 让人工审核聚焦于裁判标记的调用,使监督保持有效,而不至于让审核者被批准请求淹没。

状态

项目详情
发现以请求为条件的 LLM 裁判可在攻击型智能体的越界工具调用执行前将其拦截
来源ScopeJudge: Cost-Aware Pre-Execution Gating for Offensive Security Agents,Caldwell 等,dreadnode,arXiv,2026 年 7 月 8 日
基准4,897 次工具调用(7.7% 违规),100 条由渗透测试人员标注的轨迹;Fleiss κ = 0.64
关键结果仅凭固定策略的裁判召回率近乎为零;最佳裁判 F1 = 0.66,人类参照 F1 = 0.78
类型防御性基准 / 监督研究(研究;无 CVE)

Sources