STAC:串联无害的工具调用以劫持 AI 智能体
一项研究框架表明,一连串单独看来无害的工具调用能够诱导智能体执行有害的最终动作,以超过 90% 的成功率绕过前沿模型的安全防护。
这是什么?
顺序工具攻击串联(Sequential Tool Attack Chaining,STAC)是一类针对具备工具能力的 LLM 智能体的多轮攻击,出自一篇于 2025 年 9 月首次发布在 arXiv、并于 2026 年 2 月修订的论文(arXiv:2509.25624)。其核心思想说来简单,防起来却很难:攻击者不发出明显恶意的请求,而是引导智能体走过一连串工具调用,这些调用单独来看都无害,合在一起却完成了破坏性的目标。恶意意图直到最后一步才显现。
论文中的典型例子是由日常维护任务拼装出的数据销毁:先让智能体执行一次文件备份,再删除”重复”文件,然后进行一次”归档清理”——这个序列中的每个动作单独看都合情合理,其净效果却是抹除关键数据。由于没有任何一轮单独触发安全检查,传统的内容层防护找不到可拒绝的对象。
工作原理
STAC 与经典越狱的区别在于目标。通常的越狱试图让模型说出被禁止的内容;STAC 则试图让智能体通过其工具执行被禁止的操作,在外部环境——文件系统、银行 API、工作空间——中造成可能不可逆的真实改动。从生成文本到执行动作的这一跨越,使 STAC 成为智能体安全特有的问题,而非聊天机器人的问题。
研究者构建了一条自动化流水线来大规模生成此类攻击,理解它的四个角色便足以看清该技术为何隐蔽,而无需任何可运行的攻击代码:
首先,生成器规划一条由二到六个目标工具调用组成的链条,使其累积实现某一恶意目标,并安排除最后一步外的所有步骤单独看都无害。接着,验证器在目标环境中实际执行每个规划好的调用,并修正任何失败的调用,确保链条切实可执行。随后,提示撰写器编写一段看似无害的合成多轮对话,能够合理地引导智能体走到那些中间调用——在此阶段尚不接触真实智能体,只搭建上下文。最后,规划器接过这段合成历史,交互式地驱动真实智能体直至最终动作,并根据其实时响应进行调整。
# 仅为示意结构——不含任何可运行载荷
第 1 轮 -> 无害的准备性工具调用 (看似例行)
第 2 轮 -> 无害的上下文构建调用 (看似例行)
...
第 T 轮 -> 最终工具调用 (危害只在此显现)
分散式结构正是关键所在:恶意目标被拆散到各轮之中,只有对整条序列进行推理才能识别。论文有意不提供开箱即用的漏洞利用,而是记录攻击模式并提供一个用于研究的评测集。
为何重要
真正让 STAC 值得关注的是它的评测结果。在 483 个生成案例、涵盖 1352 组用户—智能体—环境交互中——这些案例建立在 SHADE-Arena 环境(银行、旅行、工作空间、垃圾邮件过滤管理,均在 AgentDojo 基础上扩展)之上,外加从 Agent-SafetyBench 抽样的数十个环境,并围绕十种智能体特有的失效模式组织——大多数受测智能体的攻击成功率超过 90%,其中包括一个能力很强的前沿模型。成功率随轮次上升,且该漏洞在不同模型家族与规模间都成立,并不局限于某种特定架构。
它之所以具有普适性,原因是结构性的。当前的智能体逐步执行工具,并或多或少孤立地评判每次请求;它们很少对一整条动作序列的累积效果做整体推理。一个能可靠拒绝单条危险指令的模型,仍可能被一次一小步地引向同一终点。论文还表明,为聊天机器人设计的多轮越狱方法很难迁移到此场景——这印证了另一批研究的观点:文本层的安全并不会自动转化为工具调用层的安全(arXiv:2602.16943)。防住模型所说的话,并不等于防住它所采取的动作。
防御
- 对整条轨迹进行推理,而非只看最后一轮。 论文中最有效的缓解措施是一段防御提示,让智能体在执行前,结合整段交互来权衡某一动作的危害与收益。配套的另一段提示让智能体总结用户在所有轮次中的累积意图。这些方法将攻击成功率最多降低 28.8%——效果可观,但远非彻底解决,因为成功率仍保持在 58.6% 或以上。
- 不要指望用抗注入防御来应对它。 spotlighting 或 datamarking 等旨在区分指令与数据的技术,在此提供的保护有限,因为 STAC 不使用任何注入指令:每次请求都是合法的用户轮次。请把序列级的意图当作与注入过滤相互独立的一道控制。
- 对不可逆和高影响的工具调用设卡。 对于删除数据、转移资金、更改权限或向外发送消息的动作,要求确认、双人复核或设置冷静期。危害在最终一步凝结,因此人机协同的检查在此处回报最大。
- 限制危险的工具组合。 梳理哪些工具在组合使用时可能产生不可逆效果,并施加最小权限,使同一智能体会话无法同时既枚举又批量删除,或既读取密钥又将其外泄。
- 在序列层面进行监控。 能够还原一次会话完整脉络的行为遥测——而不仅是逐次调用的放行/拒绝——才能让一条意图只能从头到尾才可读的链条浮现。请记录完整的工具调用历史,并对拼装成高影响效果的模式发出告警。
- 用多轮、感知工具的红队测试。 单条提示或纯文本的越狱测试集会低估这一暴露面。在部署前,应在真实环境中用多步工具轨迹评估智能体。
状态
| 项目 | 内容 |
|---|---|
| 技术 | 顺序工具攻击串联(STAC),针对工具使用的多轮攻击 |
| 首次披露 | arXiv 预印本,2025 年 9 月(2026 年 2 月修订) |
| 范围 | 483 个案例 / 1352 组交互;SHADE-Arena + Agent-SafetyBench;10 种失效模式 |
| 实测影响 | 多数受测智能体成功率 > 90%,含一个前沿模型 |
| 最佳已记录防御 | 推理式 / 意图总结式防御提示——最多降低 28.8%(残余成功率 ≥ 58.6%) |
| 性质 | 研究成果,防御导向;未发布可运行的漏洞利用 |
关键日期:2025 年 9 月——STAC 首次发布于 arXiv。2026 年 2 月——修订版本。这是一项评测与防御研究,而非针对某个具名产品的真实事件。
本文出于防御目的总结公开可得的安全研究,并有意省略任何可运行的攻击代码。
Sources
- → https://arxiv.org/abs/2509.25624
- → https://arxiv.org/html/2509.25624v1
- → https://openreview.net/forum?id=8nTMKYHkrV
- → https://www.researchgate.net/publication/396458907_The_Attacker_Moves_Second_Stronger_Adaptive_Attacks_Bypass_Defenses_Against_Llm_Jailbreaks_and_Prompt_Injections
- → https://arxiv.org/html/2602.16943v1