会员服务
工具 · 增强型 · 提示注入 · 安全框架 · 语言模型 ·
5 月 11 日
ClawGuard: A Runtime Security Framework for Tool-Augmented LLM Agents Against Indirect Prompt Injection
翻译:ClawGuard:面向工具增强型大语言模型智能体抵御间接提示注入的运行时安全框架
Wei Zhao,Zhe Li,Peixin Zhang,Jun Sun
Wei Zhao,Zhe Li,Peixin Zhang,Jun Sun

Tool-augmented Large Language Model (LLM) agents have demonstrated impressive capabilities in automating complex, multi-step real-world tasks, yet remain vulnerable to indirect prompt injection. Adversaries exploit this weakness by embedding malicious instructions within tool-returned content, which agents directly incorporate into their conversation history as trusted observations. To address these vulnerabilities, we introduce \textsc{ClawGuard}, a novel runtime security framework that enforces a user-confirmed rule set at every tool-call boundary, transforming unreliable alignment-dependent defense into a deterministic, auditable mechanism that intercepts adversarial tool calls before any real-world effect is produced. By automatically deriving task-specific access constraints from the user's stated objective prior to any external tool invocation, \textsc{ClawGuard} blocks all three injection pathways without model modification or infrastructure change. Experiments across five state-of-the-art language models on six injection benchmarks covering web, local, MCP, and skill channels, as well as three utility benchmarks covering OS, web, and code tasks, demonstrate that \textsc{ClawGuard} achieves robust protection against indirect prompt injection without compromising agent utility or introducing significant token overhead. This work establishes deterministic tool-call boundary enforcement as an effective defense mechanism for secure agentic AI systems. Code is publicly available at github.com/Claw-Guard/ClawGuard/.


翻译:工具增强型大语言模型(LLM)智能体在自动化处理复杂的多步骤真实世界任务中展现出卓越能力,但仍易受到间接提示注入攻击。攻击者通过在工具返回内容中嵌入恶意指令来利用这一漏洞,而智能体会将这些内容直接作为可信观测结果纳入对话历史。为应对此类威胁,我们提出\textsc{ClawGuard},一种新型运行时安全框架,该框架在每次工具调用边界强制执行用户确认的规则集,将不可靠的基于对齐的防御转变为确定性、可审计的机制,从而在恶意工具调用对现实世界产生实际影响之前予以拦截。通过在任何外部工具调用前从用户明确目标中自动推导任务特定访问约束,\textsc{ClawGuard}能在无需修改模型或基础设施的情况下阻断全部三类注入途径。在涵盖Web、本地、MCP及技能通道的六个注入基准测试,以及涉及操作系统、Web和代码任务的三个效用基准测试中,对五种前沿语言模型的实验表明,\textsc{ClawGuard}能在不损害智能体效用且不引入显著代币开销的前提下实现可靠的防护。本工作确立了确定性工具调用边界强制作为安全自主人工智能系统的有效防御机制。代码已开源发布于github.com/Claw-Guard/ClawGuard/。
0
下载
关闭预览

相关内容

AgentOps综述:智能体系统运维框架
AgentOps综述:智能体系统运维框架
专知会员服务
18+阅读 · 6月4日
大语言模型智能体(LLM Agents)工具调用的演进:从单工具调用到多工具协同编排
大语言模型智能体(LLM Agents)工具调用的演进:从单工具调用到多工具协同编排
专知会员服务
29+阅读 · 4月6日
从静态模板到动态运行时图:大语言模型智能体(LLM Agents)工作流优化综述
从静态模板到动态运行时图:大语言模型智能体(LLM Agents)工作流优化综述
专知会员服务
23+阅读 · 3月30日
【AAAI2026】AutoTool:面向大语言模型智能体的高效工具选择方法
【AAAI2026】AutoTool:面向大语言模型智能体的高效工具选择方法
专知会员服务
19+阅读 · 2025年11月19日
基于大语言模型(LLM)的智能体推理框架:从方法到场景的综述
基于大语言模型(LLM)的智能体推理框架:从方法到场景的综述
专知会员服务
55+阅读 · 2025年8月26日
大型语言模型(LLM)智能体全栈安全的综述:数据、训练与部署
大型语言模型(LLM)智能体全栈安全的综述:数据、训练与部署
专知会员服务
33+阅读 · 2025年4月23日
揭示生成式人工智能 / 大型语言模型(LLMs)的军事潜力
揭示生成式人工智能 / 大型语言模型(LLMs)的军事潜力
专知会员服务
32+阅读 · 2024年9月26日
大型语言模型网络安全综述
大型语言模型网络安全综述
专知会员服务
68+阅读 · 2024年5月12日
大模型如何应对安全性?清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文
大模型如何应对安全性?清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文
专知会员服务
49+阅读 · 2024年1月17日
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
专知会员服务
66+阅读 · 2023年5月30日
ChatGPT大模型如何做科学研究? CMU提出《大模型智能体系统》,高推理展现出大型语言模型的新兴自主科学研究能力
ChatGPT大模型如何做科学研究? CMU提出《大模型智能体系统》,高推理展现出大型语言模型的新兴自主科学研究能力
专知
17+阅读 · 2023年4月12日
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
专知
25+阅读 · 2023年4月7日
从T5到GPT-4最新最全梳理,人大等《大型语言模型综述》,51页pdf详述大模型进展
从T5到GPT-4最新最全梳理,人大等《大型语言模型综述》,51页pdf详述大模型进展
专知
25+阅读 · 2023年4月4日
【美海军·系统顶点项目报告】《用于防空和导弹防御的自动作战管理辅助工具(AI)的安全风险评估》162页PDF
【美海军·系统顶点项目报告】《用于防空和导弹防御的自动作战管理辅助工具(AI)的安全风险评估》162页PDF
专知
39+阅读 · 2022年10月19日
面向多智能体博弈对抗的对手建模框架
面向多智能体博弈对抗的对手建模框架
专知
18+阅读 · 2022年9月28日
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
92+阅读 · 2022年4月17日
最新必读【预训练语言模型(BERT/XLNet等)】论文,Google/微软/华为ICLR2020提交论文
最新必读【预训练语言模型(BERT/XLNet等)】论文,Google/微软/华为ICLR2020提交论文
专知
36+阅读 · 2019年9月29日
PlaNet 简介:用于强化学习的深度规划网络
PlaNet 简介:用于强化学习的深度规划网络
谷歌开发者
13+阅读 · 2019年3月16日
百度提出ERNIE,多项中文NLP任务表现出色(已开源)
百度提出ERNIE,多项中文NLP任务表现出色(已开源)
AI100
33+阅读 · 2019年3月16日
自然语言处理中的Attention Model:是什么及为什么
自然语言处理中的Attention Model:是什么及为什么
新智元
11+阅读 · 2017年7月13日
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
面向安全关键系统的时间可预测多核代码生成方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
复杂需求场景驱动的软件安全防护模型检测技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
Android移动终端多语种基础软件组合的安全技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
隐写模糊安全性测度及其优化嵌入算法研究
国家自然科学基金
0+阅读 · 2014年12月31日
多域网络安全的异构策略语义形态与验证机制
国家自然科学基金
0+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
多语言大数据环境下的复杂网络行为分析、预测和干预
国家自然科学基金
4+阅读 · 2014年12月31日
SING: Synthetic Intention Graph for Scalable Active Tool Discovery in LLM Agents
Arxiv
0+阅读 · 6月16日
MUZZLE: Adaptive Agentic Red-Teaming of Web Agents Against Indirect Prompt Injection Attacks
Arxiv
0+阅读 · 6月14日
AttackonCTF: Defending Hardware Security Competition Benchmarks in the Age of LLMs
Arxiv
0+阅读 · 6月14日
AttriGuard: Defeating Indirect Prompt Injection in LLM Agents via Causal Attribution of Tool Invocations
Arxiv
0+阅读 · 6月10日
Toward Secure LLM Agents: Threat Surfaces, Attacks, Defenses, and Evaluation
Arxiv
0+阅读 · 6月9日
Automated Framework to Evaluate and Harden LLM System Instructions against Encoding Attacks
Arxiv
0+阅读 · 6月5日
ZERO-APT: A Closed-Loop Adversarial Framework for LLM-Driven Automated Penetration Testing under Intelligent Defense
Arxiv
0+阅读 · 6月4日
AgentRedBench: Dynamic Redteaming and Integration-Aware Defense for LLM Agents over SaaS Integrations
Arxiv
0+阅读 · 6月2日
PragLocker: Protecting Agent Intellectual Property in Untrusted Deployments via Non-Portable Prompts
Arxiv
0+阅读 · 5月19日
MANTRA: Synthesizing SMT-Validated Compliance Benchmarks for Tool-Using LLM Agents
Arxiv
0+阅读 · 5月7日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
工具
增强型
提示注入
安全框架
语言模型
最新内容
定向能反无人机系统最新发展动态
定向能反无人机系统最新发展动态
专知会员服务
0+阅读 · 20分钟前
从燃煤战舰到算法战争:水面指挥的永恒要求
从燃煤战舰到算法战争:水面指挥的永恒要求
专知会员服务
0+阅读 · 37分钟前
《短程弹道再入飞行器拦截时间中的一项异常现象》
《短程弹道再入飞行器拦截时间中的一项异常现象》
专知会员服务
0+阅读 · 40分钟前
《基于回归方法与任务上下文的对抗环境动态战术网络报文优先级排序》
《基于回归方法与任务上下文的对抗环境动态战术网络报文优先级排序》
专知会员服务
0+阅读 · 42分钟前
美智库《战术级指挥控制的迫切要求:构建弹性机动式指挥控制网络》报告
美智库《战术级指挥控制的迫切要求:构建弹性机动式指挥控制网络》报告
专知会员服务
0+阅读 · 57分钟前
《韩国国防政策与军备出口:韩国安全与国防政策如何塑造其国防工业与军备出口格局》最新100页报告
《韩国国防政策与军备出口:韩国安全与国防政策如何塑造其国防工业与军备出口格局》最新100页报告
专知会员服务
0+阅读 · 今天13:10
ICML 2026 | VOTP:用视频基础模型与最优传输,让离线偏好强化学习只需少量反馈
ICML 2026 | VOTP:用视频基础模型与最优传输,让离线偏好强化学习只需少量反馈
专知会员服务
5+阅读 · 6月16日
多模态代码智能综述:从视觉输入到可执行代码系统
多模态代码智能综述:从视觉输入到可执行代码系统
专知会员服务
6+阅读 · 6月16日
美国马六甲“三重网”概念:安全网、威慑网与杀伤网
美国马六甲“三重网”概念:安全网、威慑网与杀伤网
专知会员服务
5+阅读 · 6月16日
《面向导弹有效发射时机的监督机器学习方法:基于超视距空战仿真》
《面向导弹有效发射时机的监督机器学习方法:基于超视距空战仿真》
专知会员服务
5+阅读 · 6月16日
《通用大语言模型:无人机指挥与控制接口》最新40页
《通用大语言模型:无人机指挥与控制接口》最新40页
专知会员服务
15+阅读 · 6月16日
《通过小型无人机系统将情报能力“作战化”》
《通过小型无人机系统将情报能力“作战化”》
专知会员服务
6+阅读 · 6月16日
《神经安全型有人–无人协同:面向认知自适应作战能力的参考架构》
《神经安全型有人–无人协同:面向认知自适应作战能力的参考架构》
专知会员服务
10+阅读 · 6月16日
《在指挥链中通过多准则决策分析传达指挥官意图:空战实验》
《在指挥链中通过多准则决策分析传达指挥官意图:空战实验》
专知会员服务
21+阅读 · 6月15日
消耗优势:美军的“精确规模化”概念
消耗优势:美军的“精确规模化”概念
专知会员服务
8+阅读 · 6月15日
相关VIP内容
AgentOps综述:智能体系统运维框架
AgentOps综述:智能体系统运维框架
专知会员服务
18+阅读 · 6月4日
大语言模型智能体(LLM Agents)工具调用的演进:从单工具调用到多工具协同编排
大语言模型智能体(LLM Agents)工具调用的演进:从单工具调用到多工具协同编排
专知会员服务
29+阅读 · 4月6日
从静态模板到动态运行时图:大语言模型智能体(LLM Agents)工作流优化综述
从静态模板到动态运行时图:大语言模型智能体(LLM Agents)工作流优化综述
专知会员服务
23+阅读 · 3月30日
【AAAI2026】AutoTool:面向大语言模型智能体的高效工具选择方法
【AAAI2026】AutoTool:面向大语言模型智能体的高效工具选择方法
专知会员服务
19+阅读 · 2025年11月19日
基于大语言模型(LLM)的智能体推理框架:从方法到场景的综述
基于大语言模型(LLM)的智能体推理框架:从方法到场景的综述
专知会员服务
55+阅读 · 2025年8月26日
大型语言模型(LLM)智能体全栈安全的综述:数据、训练与部署
大型语言模型(LLM)智能体全栈安全的综述:数据、训练与部署
专知会员服务
33+阅读 · 2025年4月23日
揭示生成式人工智能 / 大型语言模型(LLMs)的军事潜力
揭示生成式人工智能 / 大型语言模型(LLMs)的军事潜力
专知会员服务
32+阅读 · 2024年9月26日
大型语言模型网络安全综述
大型语言模型网络安全综述
专知会员服务
68+阅读 · 2024年5月12日
大模型如何应对安全性?清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文
大模型如何应对安全性?清华等最新《大型语言模型系统的风险分类、缓解措施及评估基准》论文
专知会员服务
49+阅读 · 2024年1月17日
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
专知会员服务
66+阅读 · 2023年5月30日
热门VIP内容
相关资讯
ChatGPT大模型如何做科学研究? CMU提出《大模型智能体系统》,高推理展现出大型语言模型的新兴自主科学研究能力
ChatGPT大模型如何做科学研究? CMU提出《大模型智能体系统》,高推理展现出大型语言模型的新兴自主科学研究能力
专知
17+阅读 · 2023年4月12日
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
194篇文献调研ChatGPT最新研究进展!最新《ChatGPT/GPT-4研究综述及对大型语言模型未来的展望》国内外研究者编著
专知
25+阅读 · 2023年4月7日
从T5到GPT-4最新最全梳理,人大等《大型语言模型综述》,51页pdf详述大模型进展
从T5到GPT-4最新最全梳理,人大等《大型语言模型综述》,51页pdf详述大模型进展
专知
25+阅读 · 2023年4月4日
【美海军·系统顶点项目报告】《用于防空和导弹防御的自动作战管理辅助工具(AI)的安全风险评估》162页PDF
【美海军·系统顶点项目报告】《用于防空和导弹防御的自动作战管理辅助工具(AI)的安全风险评估》162页PDF
专知
39+阅读 · 2022年10月19日
面向多智能体博弈对抗的对手建模框架
面向多智能体博弈对抗的对手建模框架
专知
18+阅读 · 2022年9月28日
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
92+阅读 · 2022年4月17日
最新必读【预训练语言模型(BERT/XLNet等)】论文,Google/微软/华为ICLR2020提交论文
最新必读【预训练语言模型(BERT/XLNet等)】论文,Google/微软/华为ICLR2020提交论文
专知
36+阅读 · 2019年9月29日
PlaNet 简介:用于强化学习的深度规划网络
PlaNet 简介:用于强化学习的深度规划网络
谷歌开发者
13+阅读 · 2019年3月16日
百度提出ERNIE,多项中文NLP任务表现出色(已开源)
百度提出ERNIE,多项中文NLP任务表现出色(已开源)
AI100
33+阅读 · 2019年3月16日
自然语言处理中的Attention Model:是什么及为什么
自然语言处理中的Attention Model:是什么及为什么
新智元
11+阅读 · 2017年7月13日
相关论文
SING: Synthetic Intention Graph for Scalable Active Tool Discovery in LLM Agents
Arxiv
0+阅读 · 6月16日
MUZZLE: Adaptive Agentic Red-Teaming of Web Agents Against Indirect Prompt Injection Attacks
Arxiv
0+阅读 · 6月14日
AttackonCTF: Defending Hardware Security Competition Benchmarks in the Age of LLMs
Arxiv
0+阅读 · 6月14日
AttriGuard: Defeating Indirect Prompt Injection in LLM Agents via Causal Attribution of Tool Invocations
Arxiv
0+阅读 · 6月10日
Toward Secure LLM Agents: Threat Surfaces, Attacks, Defenses, and Evaluation
Arxiv
0+阅读 · 6月9日
Automated Framework to Evaluate and Harden LLM System Instructions against Encoding Attacks
Arxiv
0+阅读 · 6月5日
ZERO-APT: A Closed-Loop Adversarial Framework for LLM-Driven Automated Penetration Testing under Intelligent Defense
Arxiv
0+阅读 · 6月4日
AgentRedBench: Dynamic Redteaming and Integration-Aware Defense for LLM Agents over SaaS Integrations
Arxiv
0+阅读 · 6月2日
PragLocker: Protecting Agent Intellectual Property in Untrusted Deployments via Non-Portable Prompts
Arxiv
0+阅读 · 5月19日
MANTRA: Synthesizing SMT-Validated Compliance Benchmarks for Tool-Using LLM Agents
Arxiv
0+阅读 · 5月7日
相关基金
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
面向安全关键系统的时间可预测多核代码生成方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
网络安全威胁踪源分析方法研究
国家自然科学基金
19+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
复杂需求场景驱动的软件安全防护模型检测技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
Android移动终端多语种基础软件组合的安全技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
隐写模糊安全性测度及其优化嵌入算法研究
国家自然科学基金
0+阅读 · 2014年12月31日
多域网络安全的异构策略语义形态与验证机制
国家自然科学基金
0+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
多语言大数据环境下的复杂网络行为分析、预测和干预
国家自然科学基金
4+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top