会员服务
工具 · 操作 · 攻击 · ARM · 大语言模型 ·
4 月 5 日
Causality Laundering: Denial-Feedback Leakage in Tool-Calling LLM Agents
翻译:因果清洗:工具调用型LLM代理中的拒绝反馈泄露
Mohammad Hossein Chinaei
Mohammad Hossein Chinaei
from arxiv, 24 pages, 1 figure, 2 tables, 1 algorithm, preprint

Tool-calling LLM agents can read private data, invoke external services, and trigger real-world actions, creating a security problem at the point of tool execution. We identify a denial-feedback leakage pattern, which we term causality laundering, in which an adversary probes a protected action, learns from the denial outcome, and exfiltrates the inferred information through a later seemingly benign tool call. This attack is not captured by flat provenance tracking alone because the leaked information arises from causal influence of the denied action, not direct data flow. We present the Agentic Reference Monitor (ARM), a runtime enforcement layer that mediates every tool invocation by consulting a provenance graph over tool calls, returned data, field-level provenance, and denied actions. ARM propagates trust through an integrity lattice and augments the graph with counterfactual edges from denied-action nodes, enabling enforcement over both transitive data dependencies and denial-induced causal influence. In a controlled evaluation on three representative attack scenarios, ARM blocks causality laundering, transitive taint propagation, and mixed-provenance field misuse that a flat provenance baseline misses, while adding sub-millisecond policy evaluation overhead. These results suggest that denial-aware causal provenance is a useful abstraction for securing tool-calling agent systems.


翻译:工具调用型大语言模型(LLM)代理可读取私有数据、调用外部服务并触发现实世界操作,在工具执行环节构成安全威胁。我们识别出一种拒绝反馈泄露模式,称为"因果清洗"(causality laundering):攻击者探测受保护操作,从拒绝结果中学习,再通过后续看似良性的工具调用外泄推断信息。该攻击无法通过扁平化溯源追踪单独捕获,因为泄露信息源自被拒绝操作的因果影响而非直接数据流。我们提出智能体参考监控器(Agentic Reference Monitor, ARM),这是一种运行时执行层,通过查询覆盖工具调用、返回数据、字段级溯源及被拒绝操作的溯源图来仲裁每次工具调用。ARM通过完整性格传播信任,并用来自被拒绝操作节点的反事实边增强溯源图,从而同时对传递式数据依赖和拒绝引发的因果影响实施约束。在三个典型攻击场景的受控评估中,ARM可阻断扁平化溯源基线无法检测的因果清洗、传递式污染传播及混合溯源字段滥用,同时仅增加亚毫秒级策略评估开销。实验结果表明,感知拒绝的因果溯源是保障工具调用型代理系统安全的有效抽象手段。
0
下载
关闭预览

相关内容

大语言模型智能体(LLM Agents)工具调用的演进:从单工具调用到多工具协同编排
大语言模型智能体(LLM Agents)工具调用的演进:从单工具调用到多工具协同编排
专知会员服务
28+阅读 · 4月6日
从静态模板到动态运行时图:大语言模型智能体(LLM Agents)工作流优化综述
从静态模板到动态运行时图:大语言模型智能体(LLM Agents)工作流优化综述
专知会员服务
22+阅读 · 3月30日
LLM/智能体作为数据分析师:综述
LLM/智能体作为数据分析师:综述
专知会员服务
38+阅读 · 2025年9月30日
【EMNLP2025】ReCode:基于细粒度检索增强生成的LLM代码修复方法
【EMNLP2025】ReCode:基于细粒度检索增强生成的LLM代码修复方法
专知会员服务
10+阅读 · 2025年9月3日
【ICML2025】用于图神经网络的LLM增强方法:因果机制识别视角下的分析
【ICML2025】用于图神经网络的LLM增强方法:因果机制识别视角下的分析
专知会员服务
16+阅读 · 2025年5月14日
【博士论文】《自然语言处理中的因果推理》
【博士论文】《自然语言处理中的因果推理》
专知会员服务
24+阅读 · 2025年4月25日
从基础到突破的LLM微调终极指南:技术、研究、最佳实践、应用研究挑战与机遇的全面综述
从基础到突破的LLM微调终极指南:技术、研究、最佳实践、应用研究挑战与机遇的全面综述
专知会员服务
56+阅读 · 2024年11月17日
大模型如何用因果性?最新《大型语言模型与因果推断在协作中的应用》全面综述
大模型如何用因果性?最新《大型语言模型与因果推断在协作中的应用》全面综述
专知会员服务
50+阅读 · 2024年3月17日
【ICLR2024】能检测到LLM产生的错误信息吗?
【ICLR2024】能检测到LLM产生的错误信息吗?
专知会员服务
25+阅读 · 2024年1月23日
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
专知会员服务
66+阅读 · 2023年5月30日
「因果推理」概述论文,13页pdf
「因果推理」概述论文,13页pdf
专知
16+阅读 · 2021年3月20日
【ICML2020-Tutorial】因果强化学习-CRL,147页ppt,哥伦比亚大学-Elias Bareinboim
【ICML2020-Tutorial】因果强化学习-CRL,147页ppt,哥伦比亚大学-Elias Bareinboim
专知
13+阅读 · 2020年7月16日
最全推荐系统Embedding召回算法总结
最全推荐系统Embedding召回算法总结
凡人机器学习
30+阅读 · 2020年7月5日
【清华大学NLP】预训练语言模型(PLM)必读论文清单,附论文PDF、源码和模型链接
【清华大学NLP】预训练语言模型(PLM)必读论文清单,附论文PDF、源码和模型链接
专知
40+阅读 · 2019年9月27日
用深度学习揭示数据的因果关系
用深度学习揭示数据的因果关系
专知
28+阅读 · 2019年5月18日
北京大学何洋波博士《因果推断和因果图模型》机器学习报告
北京大学何洋波博士《因果推断和因果图模型》机器学习报告
专知
103+阅读 · 2018年11月11日
NetworkMiner - 网络取证分析工具
NetworkMiner - 网络取证分析工具
黑白之道
16+阅读 · 2018年6月29日
放弃 RNN/LSTM 吧,因为真的不好用!望周知~
放弃 RNN/LSTM 吧,因为真的不好用!望周知~
人工智能头条
19+阅读 · 2018年4月24日
模型汇总24 - 深度学习中Attention Mechanism详细介绍:原理、分类及应用
模型汇总24 - 深度学习中Attention Mechanism详细介绍:原理、分类及应用
深度学习与NLP
12+阅读 · 2017年11月30日
知识提取的一种应用,从上市公司年报中抽取因果关系
知识提取的一种应用,从上市公司年报中抽取因果关系
文因互联
10+阅读 · 2017年7月7日
面向动态演化的网构软件失效机理与测评方法
国家自然科学基金
1+阅读 · 2015年12月31日
基于控制器动态线性化的数据驱动控制方法及在精馏过程的应用
国家自然科学基金
1+阅读 · 2015年12月31日
大数据背景下面向操作模式的约简算法研究
国家自然科学基金
0+阅读 · 2015年12月31日
复杂系统中多密码算法密钥协同安全研究
国家自然科学基金
0+阅读 · 2015年12月31日
可信工业控制系统中信任冷启动方法研究
国家自然科学基金
1+阅读 · 2015年12月31日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
即时通讯匿名隐通道系统模型与算法研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于免疫的Rootkit隐遁攻击动态内存取证方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
工件可拒绝的折衷排序和在线排序
国家自然科学基金
0+阅读 · 2014年12月31日
因果推断的统计方法
国家自然科学基金
26+阅读 · 2011年12月31日
AgenTEE: Confidential LLM Agent Execution on Edge Devices
Arxiv
0+阅读 · 4月20日
ClawGuard: A Runtime Security Framework for Tool-Augmented LLM Agents Against Indirect Prompt Injection
Arxiv
0+阅读 · 4月13日
DRIFT: Dynamic Rule-Based Defense with Injection Isolation for Securing LLM Agents
Arxiv
0+阅读 · 3月26日
Is Your LLM-as-a-Recommender Agent Trustable? LLMs' Recommendation is Easily Hacked by Biases (Preferences)
Arxiv
0+阅读 · 3月18日
You Told Me to Do It: Measuring Instructional Text-induced Private Data Leakage in LLM Agents
Arxiv
0+阅读 · 3月12日
AttriGuard: Defeating Indirect Prompt Injection in LLM Agents via Causal Attribution of Tool Invocations
Arxiv
0+阅读 · 3月11日
Beyond Linear LLM Invocation: An Efficient and Effective Semantic Filter Paradigm
Arxiv
0+阅读 · 3月5日
Preference Leakage: A Contamination Problem in LLM-as-a-judge
Arxiv
0+阅读 · 3月4日
Assessing Deanonymization Risks with Stylometry-Assisted LLM Agent
Arxiv
0+阅读 · 2月26日
AgentSentry: Mitigating Indirect Prompt Injection in LLM Agents via Temporal Causal Diagnostics and Context Purification
Arxiv
0+阅读 · 2月26日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
工具
操作
攻击
ARM
大语言模型
最新内容
《提升战术级作战规划水平:城市进攻作战中的机动样式研究》
《提升战术级作战规划水平:城市进攻作战中的机动样式研究》
专知会员服务
1+阅读 · 今天1:36
《人员配置对陆军突击清障车与联合突击桥战备状态的影响研究》
《人员配置对陆军突击清障车与联合突击桥战备状态的影响研究》
专知会员服务
1+阅读 · 今天1:28
管理咨询报告:美国国防部量子技术开发与实施评估(译文)
管理咨询报告:美国国防部量子技术开发与实施评估(译文)
专知会员服务
1+阅读 · 今天1:16
【博士论文】可解释人工智能的数学基础与 Bandit 优化的研究进展
【博士论文】可解释人工智能的数学基础与 Bandit 优化的研究进展
专知会员服务
1+阅读 · 5月8日
生成-过滤-控制-重放:LLM强化学习中Rollout策略的全面综述
生成-过滤-控制-重放:LLM强化学习中Rollout策略的全面综述
专知会员服务
0+阅读 · 5月8日
认知战与交战性质的改变:神经战略视角
认知战与交战性质的改变:神经战略视角
专知会员服务
5+阅读 · 5月8日
美国《国防授权法案》指令要求界定“认知战”:区分相关概念
美国《国防授权法案》指令要求界定“认知战”:区分相关概念
专知会员服务
4+阅读 · 5月8日
人工智能对特定国防资源管理流程的影响(万字长文)
人工智能对特定国防资源管理流程的影响(万字长文)
专知会员服务
5+阅读 · 5月8日
《多域作战概念实证检验:美军“史诗怒火”行动中跨域协同的地理空间混合方法分析研究》245页报告
《多域作战概念实证检验:美军“史诗怒火”行动中跨域协同的地理空间混合方法分析研究》245页报告
专知会员服务
8+阅读 · 5月8日
《预设时间的单次协同估计、制导与控制框架:实现同时目标拦截》2026最新40页报告
《预设时间的单次协同估计、制导与控制框架:实现同时目标拦截》2026最新40页报告
专知会员服务
10+阅读 · 5月8日
《美空军条令出版物:网络空间作战(2026版)》
《美空军条令出版物:网络空间作战(2026版)》
专知会员服务
11+阅读 · 5月8日
《美空军条令出版物:空军作战中的信息(2026版)》
《美空军条令出版物:空军作战中的信息(2026版)》
专知会员服务
13+阅读 · 5月8日
为指挥控制与防御构建智能网络结构:集成感知与通信以提升频谱利用率
为指挥控制与防御构建智能网络结构:集成感知与通信以提升频谱利用率
专知会员服务
9+阅读 · 5月8日
人工智能如何变革军事C5ISR作战
人工智能如何变革军事C5ISR作战
专知会员服务
12+阅读 · 5月8日
《自主空中加油:用于相对导航与自主对接的双向多目标检测系统》97页
《自主空中加油:用于相对导航与自主对接的双向多目标检测系统》97页
专知会员服务
8+阅读 · 5月8日
相关VIP内容
大语言模型智能体(LLM Agents)工具调用的演进:从单工具调用到多工具协同编排
大语言模型智能体(LLM Agents)工具调用的演进:从单工具调用到多工具协同编排
专知会员服务
28+阅读 · 4月6日
从静态模板到动态运行时图:大语言模型智能体(LLM Agents)工作流优化综述
从静态模板到动态运行时图:大语言模型智能体(LLM Agents)工作流优化综述
专知会员服务
22+阅读 · 3月30日
LLM/智能体作为数据分析师:综述
LLM/智能体作为数据分析师:综述
专知会员服务
38+阅读 · 2025年9月30日
【EMNLP2025】ReCode:基于细粒度检索增强生成的LLM代码修复方法
【EMNLP2025】ReCode:基于细粒度检索增强生成的LLM代码修复方法
专知会员服务
10+阅读 · 2025年9月3日
【ICML2025】用于图神经网络的LLM增强方法:因果机制识别视角下的分析
【ICML2025】用于图神经网络的LLM增强方法:因果机制识别视角下的分析
专知会员服务
16+阅读 · 2025年5月14日
【博士论文】《自然语言处理中的因果推理》
【博士论文】《自然语言处理中的因果推理》
专知会员服务
24+阅读 · 2025年4月25日
从基础到突破的LLM微调终极指南:技术、研究、最佳实践、应用研究挑战与机遇的全面综述
从基础到突破的LLM微调终极指南:技术、研究、最佳实践、应用研究挑战与机遇的全面综述
专知会员服务
56+阅读 · 2024年11月17日
大模型如何用因果性?最新《大型语言模型与因果推断在协作中的应用》全面综述
大模型如何用因果性?最新《大型语言模型与因果推断在协作中的应用》全面综述
专知会员服务
50+阅读 · 2024年3月17日
【ICLR2024】能检测到LLM产生的错误信息吗?
【ICLR2024】能检测到LLM产生的错误信息吗?
专知会员服务
25+阅读 · 2024年1月23日
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
专知会员服务
66+阅读 · 2023年5月30日
热门VIP内容
相关资讯
「因果推理」概述论文,13页pdf
「因果推理」概述论文,13页pdf
专知
16+阅读 · 2021年3月20日
【ICML2020-Tutorial】因果强化学习-CRL,147页ppt,哥伦比亚大学-Elias Bareinboim
【ICML2020-Tutorial】因果强化学习-CRL,147页ppt,哥伦比亚大学-Elias Bareinboim
专知
13+阅读 · 2020年7月16日
最全推荐系统Embedding召回算法总结
最全推荐系统Embedding召回算法总结
凡人机器学习
30+阅读 · 2020年7月5日
【清华大学NLP】预训练语言模型(PLM)必读论文清单,附论文PDF、源码和模型链接
【清华大学NLP】预训练语言模型(PLM)必读论文清单,附论文PDF、源码和模型链接
专知
40+阅读 · 2019年9月27日
用深度学习揭示数据的因果关系
用深度学习揭示数据的因果关系
专知
28+阅读 · 2019年5月18日
北京大学何洋波博士《因果推断和因果图模型》机器学习报告
北京大学何洋波博士《因果推断和因果图模型》机器学习报告
专知
103+阅读 · 2018年11月11日
NetworkMiner - 网络取证分析工具
NetworkMiner - 网络取证分析工具
黑白之道
16+阅读 · 2018年6月29日
放弃 RNN/LSTM 吧,因为真的不好用!望周知~
放弃 RNN/LSTM 吧,因为真的不好用!望周知~
人工智能头条
19+阅读 · 2018年4月24日
模型汇总24 - 深度学习中Attention Mechanism详细介绍:原理、分类及应用
模型汇总24 - 深度学习中Attention Mechanism详细介绍:原理、分类及应用
深度学习与NLP
12+阅读 · 2017年11月30日
知识提取的一种应用,从上市公司年报中抽取因果关系
知识提取的一种应用,从上市公司年报中抽取因果关系
文因互联
10+阅读 · 2017年7月7日
相关论文
AgenTEE: Confidential LLM Agent Execution on Edge Devices
Arxiv
0+阅读 · 4月20日
ClawGuard: A Runtime Security Framework for Tool-Augmented LLM Agents Against Indirect Prompt Injection
Arxiv
0+阅读 · 4月13日
DRIFT: Dynamic Rule-Based Defense with Injection Isolation for Securing LLM Agents
Arxiv
0+阅读 · 3月26日
Is Your LLM-as-a-Recommender Agent Trustable? LLMs' Recommendation is Easily Hacked by Biases (Preferences)
Arxiv
0+阅读 · 3月18日
You Told Me to Do It: Measuring Instructional Text-induced Private Data Leakage in LLM Agents
Arxiv
0+阅读 · 3月12日
AttriGuard: Defeating Indirect Prompt Injection in LLM Agents via Causal Attribution of Tool Invocations
Arxiv
0+阅读 · 3月11日
Beyond Linear LLM Invocation: An Efficient and Effective Semantic Filter Paradigm
Arxiv
0+阅读 · 3月5日
Preference Leakage: A Contamination Problem in LLM-as-a-judge
Arxiv
0+阅读 · 3月4日
Assessing Deanonymization Risks with Stylometry-Assisted LLM Agent
Arxiv
0+阅读 · 2月26日
AgentSentry: Mitigating Indirect Prompt Injection in LLM Agents via Temporal Causal Diagnostics and Context Purification
Arxiv
0+阅读 · 2月26日
相关基金
面向动态演化的网构软件失效机理与测评方法
国家自然科学基金
1+阅读 · 2015年12月31日
基于控制器动态线性化的数据驱动控制方法及在精馏过程的应用
国家自然科学基金
1+阅读 · 2015年12月31日
大数据背景下面向操作模式的约简算法研究
国家自然科学基金
0+阅读 · 2015年12月31日
复杂系统中多密码算法密钥协同安全研究
国家自然科学基金
0+阅读 · 2015年12月31日
可信工业控制系统中信任冷启动方法研究
国家自然科学基金
1+阅读 · 2015年12月31日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
即时通讯匿名隐通道系统模型与算法研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于免疫的Rootkit隐遁攻击动态内存取证方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
工件可拒绝的折衷排序和在线排序
国家自然科学基金
0+阅读 · 2014年12月31日
因果推断的统计方法
国家自然科学基金
26+阅读 · 2011年12月31日
Top
微信扫码咨询专知VIP会员
Top