会员服务
攻击 · AI · 控制协议 · 监督 · 提示注入 ·
2 月 4 日
Bypassing AI Control Protocols via Agent-as-a-Proxy Attacks
翻译:通过代理作为代理攻击绕过AI控制协议
Jafar Isbarov,Murat Kantarcioglu
Jafar Isbarov,Murat Kantarcioglu

As AI agents automate critical workloads, they remain vulnerable to indirect prompt injection (IPI) attacks. Current defenses rely on monitoring protocols that jointly evaluate an agent's Chain-of-Thought (CoT) and tool-use actions to ensure alignment with user intent. We demonstrate that these monitoring-based defenses can be bypassed via a novel Agent-as-a-Proxy attack, where prompt injection attacks treat the agent as a delivery mechanism, bypassing both agent and monitor simultaneously. While prior work on scalable oversight has focused on whether small monitors can supervise large agents, we show that even frontier-scale monitors are vulnerable. Large-scale monitoring models like Qwen2.5-72B can be bypassed by agents with similar capabilities, such as GPT-4o mini and Llama-3.1-70B. On the AgentDojo benchmark, we achieve a high attack success rate against AlignmentCheck and Extract-and-Evaluate monitors under diverse monitoring LLMs. Our findings suggest current monitoring-based agentic defenses are fundamentally fragile regardless of model scale.


翻译:随着AI代理自动化关键工作负载,它们仍然容易受到间接提示注入攻击。当前防御依赖于监控协议,该协议联合评估代理的思维链和工具使用行为,以确保与用户意图保持一致。我们证明,这些基于监控的防御可以通过一种新颖的“代理作为代理”攻击被绕过,其中提示注入攻击将代理视为传递机制,同时绕过代理和监控器。虽然先前关于可扩展监督的研究关注小型监控器能否监督大型代理,但我们表明即使是前沿规模的监控器也容易受到攻击。像Qwen2.5-72B这样的大规模监控模型可以被具有类似能力的代理(如GPT-4o mini和Llama-3.1-70B)绕过。在AgentDojo基准测试中,我们在多种监控大语言模型下,对AlignmentCheck和Extract-and-Evaluate监控器实现了高攻击成功率。我们的研究结果表明,无论模型规模如何,当前基于监控的代理防御本质上都是脆弱的。
0
下载
关闭预览

相关内容

《军事人工智能网络代理对关键基础设施构成全球性威胁》
《军事人工智能网络代理对关键基础设施构成全球性威胁》
专知会员服务
20+阅读 · 2025年12月11日
《代理式人工智能:美国国防部的战略采纳》最新21页报告
《代理式人工智能:美国国防部的战略采纳》最新21页报告
专知会员服务
29+阅读 · 2025年11月10日
战略安全时间滞后:人工通用智能(AGI)驱动的CPA(成本-概率不对称性)逆转在美国反导中的应用(2027–2032) | 最新文献
战略安全时间滞后:人工通用智能(AGI)驱动的CPA(成本-概率不对称性)逆转在美国反导中的应用(2027–2032) | 最新文献
专知会员服务
22+阅读 · 2025年10月22日
《信息战中基于大语言模型的AI代理红蓝队对抗沙盒方法:探索反信息、提示注入与AI素养中的人类控制》最新报告
《信息战中基于大语言模型的AI代理红蓝队对抗沙盒方法:探索反信息、提示注入与AI素养中的人类控制》最新报告
专知会员服务
26+阅读 · 2025年5月29日
【新书】利用生成式人工智能进行网络防御策略
【新书】利用生成式人工智能进行网络防御策略
专知会员服务
31+阅读 · 2024年10月18日
【AI Agent行业深度】框架、应用方向、应用领域及相关公司一文深度梳理!(附下载)
【AI Agent行业深度】框架、应用方向、应用领域及相关公司一文深度梳理!(附下载)
专知会员服务
142+阅读 · 2024年1月1日
如何应对可迁移攻击?MSU最新《对AI系统可迁移攻击》全面综述数据、过程、模型和系统的攻击架构
如何应对可迁移攻击?MSU最新《对AI系统可迁移攻击》全面综述数据、过程、模型和系统的攻击架构
专知会员服务
29+阅读 · 2023年11月21日
《人工智能网络攻击带来的安全威胁》30页报告
《人工智能网络攻击带来的安全威胁》30页报告
专知会员服务
78+阅读 · 2023年5月4日
人工智能赋能网络攻击的安全威胁及应对策略
专知会员服务
46+阅读 · 2021年6月25日
深度学习赋能的恶意代码攻防研究进展
深度学习赋能的恶意代码攻防研究进展
专知会员服务
30+阅读 · 2021年4月11日
【美海军·系统顶点项目报告】《用于防空和导弹防御的自动作战管理辅助工具(AI)的安全风险评估》162页PDF
【美海军·系统顶点项目报告】《用于防空和导弹防御的自动作战管理辅助工具(AI)的安全风险评估》162页PDF
专知
37+阅读 · 2022年10月19日
推荐!《基于人工智能(AI)的空中和导弹防御(AMD):以结果为导向的辅助决策 》美国海军研究生院系统工程顶点报告145页
推荐!《基于人工智能(AI)的空中和导弹防御(AMD):以结果为导向的辅助决策 》美国海军研究生院系统工程顶点报告145页
专知
114+阅读 · 2022年9月1日
推荐!【中美俄AI军用方向】中文版《为国家安全和国防开发人工智能 》,美军重大AI应用案例及未来发展布局
推荐!【中美俄AI军用方向】中文版《为国家安全和国防开发人工智能 》,美军重大AI应用案例及未来发展布局
专知
72+阅读 · 2022年6月30日
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
90+阅读 · 2022年4月17日
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
专知
15+阅读 · 2020年3月13日
面对无处不在的黑客威胁,如何保护智能设备免受攻击?
面对无处不在的黑客威胁,如何保护智能设备免受攻击?
AI前线
21+阅读 · 2019年10月28日
AI新方向:对抗攻击
AI新方向:对抗攻击
网易智能菌
10+阅读 · 2018年11月14日
综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略
综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略
机器之心
16+阅读 · 2018年7月9日
腾讯:机器学习构建通用的数据异常检测平台
腾讯:机器学习构建通用的数据异常检测平台
全球人工智能
11+阅读 · 2018年5月1日
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
专知
29+阅读 · 2017年12月12日
支持智能终端通信的物联网管控机制研究
国家自然科学基金
2+阅读 · 2015年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于被控物理对象监测的核电厂网络空间攻击的检测和响应
国家自然科学基金
2+阅读 · 2015年12月31日
分布式中继网络中的物理层攻击检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于免疫机制的无线传感器网络攻击协同检测研究与设计
国家自然科学基金
0+阅读 · 2015年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
算法博弈论视角下的策略替代型网络博弈
国家自然科学基金
4+阅读 · 2014年12月31日
基于群体智能的多Agent协作模型与适应性研究
国家自然科学基金
18+阅读 · 2009年12月31日
Optimizing Agent Planning for Security and Autonomy
Arxiv
0+阅读 · 2月11日
CausalArmor: Efficient Indirect Prompt Injection Guardrails via Causal Attribution
Arxiv
0+阅读 · 2月8日
CHAI: Command Hijacking against embodied AI
Arxiv
0+阅读 · 2月7日
AgentDyn: A Dynamic Open-Ended Benchmark for Evaluating Prompt Injection Attacks of Real-World Agent Security System
Arxiv
0+阅读 · 2月6日
Attack Selection Reduces Safety in Concentrated AI Control Settings against Trusted Monitoring
Arxiv
0+阅读 · 2月4日
AgentDyn: A Dynamic Open-Ended Benchmark for Evaluating Prompt Injection Attacks of Real-World Agent Security System
Arxiv
0+阅读 · 2月3日
To Defend Against Cyber Attacks, We Must Teach AI Agents to Hack
Arxiv
0+阅读 · 2月1日
AI Kill Switch for malicious web-based LLM agent
Arxiv
0+阅读 · 1月29日
AgentGuardian: Learning Access Control Policies to Govern AI Agent Behavior
Arxiv
1+阅读 · 1月15日
VIGIL: Defending LLM Agents Against Tool Stream Injection via Verify-Before-Commit
Arxiv
0+阅读 · 1月14日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
攻击
AI
控制协议
监督
提示注入
相关VIP内容
《军事人工智能网络代理对关键基础设施构成全球性威胁》
《军事人工智能网络代理对关键基础设施构成全球性威胁》
专知会员服务
20+阅读 · 2025年12月11日
《代理式人工智能:美国国防部的战略采纳》最新21页报告
《代理式人工智能:美国国防部的战略采纳》最新21页报告
专知会员服务
29+阅读 · 2025年11月10日
战略安全时间滞后:人工通用智能(AGI)驱动的CPA(成本-概率不对称性)逆转在美国反导中的应用(2027–2032) | 最新文献
战略安全时间滞后:人工通用智能(AGI)驱动的CPA(成本-概率不对称性)逆转在美国反导中的应用(2027–2032) | 最新文献
专知会员服务
22+阅读 · 2025年10月22日
《信息战中基于大语言模型的AI代理红蓝队对抗沙盒方法:探索反信息、提示注入与AI素养中的人类控制》最新报告
《信息战中基于大语言模型的AI代理红蓝队对抗沙盒方法:探索反信息、提示注入与AI素养中的人类控制》最新报告
专知会员服务
26+阅读 · 2025年5月29日
【新书】利用生成式人工智能进行网络防御策略
【新书】利用生成式人工智能进行网络防御策略
专知会员服务
31+阅读 · 2024年10月18日
【AI Agent行业深度】框架、应用方向、应用领域及相关公司一文深度梳理!(附下载)
【AI Agent行业深度】框架、应用方向、应用领域及相关公司一文深度梳理!(附下载)
专知会员服务
142+阅读 · 2024年1月1日
如何应对可迁移攻击?MSU最新《对AI系统可迁移攻击》全面综述数据、过程、模型和系统的攻击架构
如何应对可迁移攻击?MSU最新《对AI系统可迁移攻击》全面综述数据、过程、模型和系统的攻击架构
专知会员服务
29+阅读 · 2023年11月21日
《人工智能网络攻击带来的安全威胁》30页报告
《人工智能网络攻击带来的安全威胁》30页报告
专知会员服务
78+阅读 · 2023年5月4日
人工智能赋能网络攻击的安全威胁及应对策略
专知会员服务
46+阅读 · 2021年6月25日
深度学习赋能的恶意代码攻防研究进展
深度学习赋能的恶意代码攻防研究进展
专知会员服务
30+阅读 · 2021年4月11日
热门VIP内容
相关资讯
【美海军·系统顶点项目报告】《用于防空和导弹防御的自动作战管理辅助工具(AI)的安全风险评估》162页PDF
【美海军·系统顶点项目报告】《用于防空和导弹防御的自动作战管理辅助工具(AI)的安全风险评估》162页PDF
专知
37+阅读 · 2022年10月19日
推荐!《基于人工智能(AI)的空中和导弹防御(AMD):以结果为导向的辅助决策 》美国海军研究生院系统工程顶点报告145页
推荐!《基于人工智能(AI)的空中和导弹防御(AMD):以结果为导向的辅助决策 》美国海军研究生院系统工程顶点报告145页
专知
114+阅读 · 2022年9月1日
推荐!【中美俄AI军用方向】中文版《为国家安全和国防开发人工智能 》,美军重大AI应用案例及未来发展布局
推荐!【中美俄AI军用方向】中文版《为国家安全和国防开发人工智能 》,美军重大AI应用案例及未来发展布局
专知
72+阅读 · 2022年6月30日
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
90+阅读 · 2022年4月17日
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
专知
15+阅读 · 2020年3月13日
面对无处不在的黑客威胁,如何保护智能设备免受攻击?
面对无处不在的黑客威胁,如何保护智能设备免受攻击?
AI前线
21+阅读 · 2019年10月28日
AI新方向:对抗攻击
AI新方向:对抗攻击
网易智能菌
10+阅读 · 2018年11月14日
综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略
综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略
机器之心
16+阅读 · 2018年7月9日
腾讯:机器学习构建通用的数据异常检测平台
腾讯:机器学习构建通用的数据异常检测平台
全球人工智能
11+阅读 · 2018年5月1日
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
专知
29+阅读 · 2017年12月12日
相关论文
Optimizing Agent Planning for Security and Autonomy
Arxiv
0+阅读 · 2月11日
CausalArmor: Efficient Indirect Prompt Injection Guardrails via Causal Attribution
Arxiv
0+阅读 · 2月8日
CHAI: Command Hijacking against embodied AI
Arxiv
0+阅读 · 2月7日
AgentDyn: A Dynamic Open-Ended Benchmark for Evaluating Prompt Injection Attacks of Real-World Agent Security System
Arxiv
0+阅读 · 2月6日
Attack Selection Reduces Safety in Concentrated AI Control Settings against Trusted Monitoring
Arxiv
0+阅读 · 2月4日
AgentDyn: A Dynamic Open-Ended Benchmark for Evaluating Prompt Injection Attacks of Real-World Agent Security System
Arxiv
0+阅读 · 2月3日
To Defend Against Cyber Attacks, We Must Teach AI Agents to Hack
Arxiv
0+阅读 · 2月1日
AI Kill Switch for malicious web-based LLM agent
Arxiv
0+阅读 · 1月29日
AgentGuardian: Learning Access Control Policies to Govern AI Agent Behavior
Arxiv
1+阅读 · 1月15日
VIGIL: Defending LLM Agents Against Tool Stream Injection via Verify-Before-Commit
Arxiv
0+阅读 · 1月14日
相关基金
支持智能终端通信的物联网管控机制研究
国家自然科学基金
2+阅读 · 2015年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于被控物理对象监测的核电厂网络空间攻击的检测和响应
国家自然科学基金
2+阅读 · 2015年12月31日
分布式中继网络中的物理层攻击检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于免疫机制的无线传感器网络攻击协同检测研究与设计
国家自然科学基金
0+阅读 · 2015年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
算法博弈论视角下的策略替代型网络博弈
国家自然科学基金
4+阅读 · 2014年12月31日
基于群体智能的多Agent协作模型与适应性研究
国家自然科学基金
18+阅读 · 2009年12月31日
Top
微信扫码咨询专知VIP会员
Top