会员服务
工具 · 攻击 · 对抗 · 效用 · 智能体 ·
1 月 14 日
VIGIL: Defending LLM Agents Against Tool Stream Injection via Verify-Before-Commit
翻译:VIGIL:通过提交前验证防御LLM智能体对抗工具流注入攻击
Junda Lin,Zhaomeng Zhou,Zhi Zheng,Shuochen Liu,Tong Xu,Yong Chen,Enhong Chen
Junda Lin,Zhaomeng Zhou,Zhi Zheng,Shuochen Liu,Tong Xu,Yong Chen,Enhong Chen

LLM agents operating in open environments face escalating risks from indirect prompt injection, particularly within the tool stream where manipulated metadata and runtime feedback hijack execution flow. Existing defenses encounter a critical dilemma as advanced models prioritize injected rules due to strict alignment while static protection mechanisms sever the feedback loop required for adaptive reasoning. To reconcile this conflict, we propose \textbf{VIGIL}, a framework that shifts the paradigm from restrictive isolation to a verify-before-commit protocol. By facilitating speculative hypothesis generation and enforcing safety through intent-grounded verification, \textbf{VIGIL} preserves reasoning flexibility while ensuring robust control. We further introduce \textbf{SIREN}, a benchmark comprising 959 tool stream injection cases designed to simulate pervasive threats characterized by dynamic dependencies. Extensive experiments demonstrate that \textbf{VIGIL} outperforms state-of-the-art dynamic defenses by reducing the attack success rate by over 22\% while more than doubling the utility under attack compared to static baselines, thereby achieving an optimal balance between security and utility.


翻译:在开放环境中运行的LLM智能体面临日益严重的间接提示注入风险,尤其是在工具流中,被篡改的元数据和运行时反馈会劫持执行流程。现有防御方案面临一个关键困境:先进模型因严格对齐要求而优先遵循注入规则,而静态保护机制则会切断自适应推理所需的反馈循环。为解决这一矛盾,我们提出\textbf{VIGIL}框架,将防御范式从限制性隔离转变为提交前验证协议。通过支持推测性假设生成并实施基于意图锚定的安全验证,\textbf{VIGIL}在保持推理灵活性的同时确保鲁棒控制。我们进一步提出\textbf{SIREN}基准测试集,包含959个工具流注入案例,用于模拟具有动态依赖特征的普遍性威胁。大量实验表明,\textbf{VIGIL}将攻击成功率降低超过22\%,显著优于现有动态防御方案;与静态基线相比,受攻击时的效用提升超过两倍,从而实现了安全性与效用的最优平衡。
0
下载
关闭预览

相关内容

【AAAI2026】AutoTool:面向大语言模型智能体的高效工具选择方法
【AAAI2026】AutoTool:面向大语言模型智能体的高效工具选择方法
专知会员服务
19+阅读 · 2025年11月19日
智能体安全综述:应用、威胁与防御
智能体安全综述:应用、威胁与防御
专知会员服务
41+阅读 · 2025年10月12日
LLM/智能体作为数据分析师:综述
LLM/智能体作为数据分析师:综述
专知会员服务
38+阅读 · 2025年9月30日
《联邦军事大语言模型中潜在提示注入攻击的探索与缓解对策》
《联邦军事大语言模型中潜在提示注入攻击的探索与缓解对策》
专知会员服务
15+阅读 · 2025年5月22日
可信赖LLM智能体的研究综述:威胁与应对措施
可信赖LLM智能体的研究综述:威胁与应对措施
专知会员服务
36+阅读 · 2025年3月17日
探索联邦军事大型语言模型中的潜在提示注入攻击及其缓解方法
探索联邦军事大型语言模型中的潜在提示注入攻击及其缓解方法
专知会员服务
37+阅读 · 2025年2月4日
《美国防部对人工智能和 LLM 编写评估因素的信心与偏见》2024最新275页论文
《美国防部对人工智能和 LLM 编写评估因素的信心与偏见》2024最新275页论文
专知会员服务
63+阅读 · 2024年3月4日
《对齐语言模型的通用和可转移对抗性攻击》CMU等2023最新论文
《对齐语言模型的通用和可转移对抗性攻击》CMU等2023最新论文
专知会员服务
25+阅读 · 2024年1月2日
AI Agent下一个热点?复旦最新86页《大型语言模型智能体的崛起与潜力》综述,详述LLM Agent: 大脑、感知和行动
AI Agent下一个热点?复旦最新86页《大型语言模型智能体的崛起与潜力》综述,详述LLM Agent: 大脑、感知和行动
专知会员服务
170+阅读 · 2023年9月15日
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
专知会员服务
66+阅读 · 2023年5月30日
【美海军·系统顶点项目报告】《用于防空和导弹防御的自动作战管理辅助工具(AI)的安全风险评估》162页PDF
【美海军·系统顶点项目报告】《用于防空和导弹防御的自动作战管理辅助工具(AI)的安全风险评估》162页PDF
专知
38+阅读 · 2022年10月19日
【牛津大学博士论文】强化学习系统的数据高效部署,165页pdf
【牛津大学博士论文】强化学习系统的数据高效部署,165页pdf
专知
14+阅读 · 2022年10月15日
面向多智能体博弈对抗的对手建模框架
面向多智能体博弈对抗的对手建模框架
专知
18+阅读 · 2022年9月28日
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
90+阅读 · 2022年4月17日
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
专知
15+阅读 · 2020年3月13日
面对无处不在的黑客威胁,如何保护智能设备免受攻击?
面对无处不在的黑客威胁,如何保护智能设备免受攻击?
AI前线
21+阅读 · 2019年10月28日
【预测性维护】预测性维护是边缘计算与人工智能,在工业落地的最短路径?
【预测性维护】预测性维护是边缘计算与人工智能,在工业落地的最短路径?
产业智能官
14+阅读 · 2019年5月5日
Spooftooph - 用于欺骗或克隆蓝牙设备的自动工具
Spooftooph - 用于欺骗或克隆蓝牙设备的自动工具
黑白之道
17+阅读 · 2019年2月27日
综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略
综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略
机器之心
16+阅读 · 2018年7月9日
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
专知
29+阅读 · 2017年12月12日
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
复杂系统中多密码算法密钥协同安全研究
国家自然科学基金
0+阅读 · 2015年12月31日
面向安全关键系统的时间可预测多核代码生成方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
广义双随机相位编码系统中以QR码为载体的信息加密及无损恢复
国家自然科学基金
0+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
流密码可约性高效判别算法存在性的研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于势场法的多智能体系统鲁棒自适应刚性编队控制
国家自然科学基金
3+阅读 · 2015年12月31日
基于概率本体的CPS入侵检测方法研究
国家自然科学基金
1+阅读 · 2014年12月31日
基于免疫的Rootkit隐遁攻击动态内存取证方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
MalTool: Malicious Tool Attacks on LLM Agents
Arxiv
0+阅读 · 2月12日
Efficient and Adaptable Detection of Malicious LLM Prompts via Bootstrap Aggregation
Arxiv
0+阅读 · 2月8日
AgentSys: Secure and Dynamic LLM Agents Through Explicit Hierarchical Memory Management
Arxiv
0+阅读 · 2月7日
Meta SecAlign: A Secure Foundation LLM Against Prompt Injection Attacks
Arxiv
0+阅读 · 2月6日
Defending Against Prompt Injection with DataFilter
Arxiv
0+阅读 · 2月4日
RedVisor: Reasoning-Aware Prompt Injection Defense via Zero-Copy KV Cache Reuse
Arxiv
0+阅读 · 2月2日
ChatInject: Abusing Chat Templates for Prompt Injection in LLM Agents
Arxiv
0+阅读 · 1月30日
INFA-Guard: Mitigating Malicious Propagation via Infection-Aware Safeguarding in LLM-Based Multi-Agent Systems
Arxiv
0+阅读 · 1月21日
ToolSafe: Enhancing Tool Invocation Safety of LLM-based agents via Proactive Step-level Guardrail and Feedback
Arxiv
0+阅读 · 1月15日
Towards Verifiably Safe Tool Use for LLM Agents
Arxiv
0+阅读 · 1月12日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
工具
攻击
对抗
效用
智能体
最新内容
美军条令《海军陆战队规划流程(2026版)》
美军条令《海军陆战队规划流程(2026版)》
专知会员服务
4+阅读 · 今天3:36
《压缩式分布式交互仿真标准》120页
《压缩式分布式交互仿真标准》120页
专知会员服务
3+阅读 · 今天3:21
《电子战数据交换模型研究报告》
《电子战数据交换模型研究报告》
专知会员服务
3+阅读 · 今天3:13
美军运用水下无人机与机器人系统竞速清除霍尔木兹海峡水雷
美军运用水下无人机与机器人系统竞速清除霍尔木兹海峡水雷
专知会员服务
4+阅读 · 今天2:55
《基于Transformer的异常舰船导航识别与跟踪》80页
《基于Transformer的异常舰船导航识别与跟踪》80页
专知会员服务
4+阅读 · 今天2:45
《美国太空系统司令部实验室原型作战管理系统的数据与决策可追溯性》
《美国太空系统司令部实验室原型作战管理系统的数据与决策可追溯性》
专知会员服务
4+阅读 · 今天2:41
《低数据领域军事目标检测模型研究》
《低数据领域军事目标检测模型研究》
专知会员服务
3+阅读 · 今天2:37
《为韧性而设计:在战略不确定时代提升军事空军基地的生存能力》
《为韧性而设计:在战略不确定时代提升军事空军基地的生存能力》
专知会员服务
4+阅读 · 今天2:32
【CMU博士论文】物理世界的视觉感知与深度理解
【CMU博士论文】物理世界的视觉感知与深度理解
专知会员服务
6+阅读 · 4月22日
多智能体系统:从经典范式到大基础模型驱动的未来
多智能体系统:从经典范式到大基础模型驱动的未来
专知会员服务
9+阅读 · 4月22日
伊朗战争停火期间美军关键弹药状况分析
伊朗战争停火期间美军关键弹药状况分析
专知会员服务
8+阅读 · 4月22日
电子战革命:塑造战场的十年突破(2015–2025)
电子战革命:塑造战场的十年突破(2015–2025)
专知会员服务
6+阅读 · 4月22日
人工智能赋能电子战解决方案:实现电磁优势的认知方法(万字长文)
人工智能赋能电子战解决方案:实现电磁优势的认知方法(万字长文)
专知会员服务
9+阅读 · 4月22日
《基于模型的系统工程框架及其在电子战系统中的应用》
《基于模型的系统工程框架及其在电子战系统中的应用》
专知会员服务
7+阅读 · 4月22日
人工智能即服务与未来战争(印度视角)
人工智能即服务与未来战争(印度视角)
专知会员服务
5+阅读 · 4月22日
相关VIP内容
【AAAI2026】AutoTool:面向大语言模型智能体的高效工具选择方法
【AAAI2026】AutoTool:面向大语言模型智能体的高效工具选择方法
专知会员服务
19+阅读 · 2025年11月19日
智能体安全综述:应用、威胁与防御
智能体安全综述:应用、威胁与防御
专知会员服务
41+阅读 · 2025年10月12日
LLM/智能体作为数据分析师:综述
LLM/智能体作为数据分析师:综述
专知会员服务
38+阅读 · 2025年9月30日
《联邦军事大语言模型中潜在提示注入攻击的探索与缓解对策》
《联邦军事大语言模型中潜在提示注入攻击的探索与缓解对策》
专知会员服务
15+阅读 · 2025年5月22日
可信赖LLM智能体的研究综述:威胁与应对措施
可信赖LLM智能体的研究综述:威胁与应对措施
专知会员服务
36+阅读 · 2025年3月17日
探索联邦军事大型语言模型中的潜在提示注入攻击及其缓解方法
探索联邦军事大型语言模型中的潜在提示注入攻击及其缓解方法
专知会员服务
37+阅读 · 2025年2月4日
《美国防部对人工智能和 LLM 编写评估因素的信心与偏见》2024最新275页论文
《美国防部对人工智能和 LLM 编写评估因素的信心与偏见》2024最新275页论文
专知会员服务
63+阅读 · 2024年3月4日
《对齐语言模型的通用和可转移对抗性攻击》CMU等2023最新论文
《对齐语言模型的通用和可转移对抗性攻击》CMU等2023最新论文
专知会员服务
25+阅读 · 2024年1月2日
AI Agent下一个热点?复旦最新86页《大型语言模型智能体的崛起与潜力》综述,详述LLM Agent: 大脑、感知和行动
AI Agent下一个热点?复旦最新86页《大型语言模型智能体的崛起与潜力》综述,详述LLM Agent: 大脑、感知和行动
专知会员服务
170+阅读 · 2023年9月15日
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
大模型如何可信安全?利物浦大学最新《从验证和确认的角度综述大型语言模型的安全性和可信性》综述,全面阐述LLM安全性
专知会员服务
66+阅读 · 2023年5月30日
热门VIP内容
相关资讯
【美海军·系统顶点项目报告】《用于防空和导弹防御的自动作战管理辅助工具(AI)的安全风险评估》162页PDF
【美海军·系统顶点项目报告】《用于防空和导弹防御的自动作战管理辅助工具(AI)的安全风险评估》162页PDF
专知
38+阅读 · 2022年10月19日
【牛津大学博士论文】强化学习系统的数据高效部署,165页pdf
【牛津大学博士论文】强化学习系统的数据高效部署,165页pdf
专知
14+阅读 · 2022年10月15日
面向多智能体博弈对抗的对手建模框架
面向多智能体博弈对抗的对手建模框架
专知
18+阅读 · 2022年9月28日
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
90+阅读 · 2022年4月17日
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
中山大学发布最新《图对抗机器学习》2020综述论文,带你全面了解40+种攻防对抗学习方法
专知
15+阅读 · 2020年3月13日
面对无处不在的黑客威胁,如何保护智能设备免受攻击?
面对无处不在的黑客威胁,如何保护智能设备免受攻击?
AI前线
21+阅读 · 2019年10月28日
【预测性维护】预测性维护是边缘计算与人工智能,在工业落地的最短路径?
【预测性维护】预测性维护是边缘计算与人工智能,在工业落地的最短路径?
产业智能官
14+阅读 · 2019年5月5日
Spooftooph - 用于欺骗或克隆蓝牙设备的自动工具
Spooftooph - 用于欺骗或克隆蓝牙设备的自动工具
黑白之道
17+阅读 · 2019年2月27日
综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略
综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略
机器之心
16+阅读 · 2018年7月9日
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
专知
29+阅读 · 2017年12月12日
相关论文
MalTool: Malicious Tool Attacks on LLM Agents
Arxiv
0+阅读 · 2月12日
Efficient and Adaptable Detection of Malicious LLM Prompts via Bootstrap Aggregation
Arxiv
0+阅读 · 2月8日
AgentSys: Secure and Dynamic LLM Agents Through Explicit Hierarchical Memory Management
Arxiv
0+阅读 · 2月7日
Meta SecAlign: A Secure Foundation LLM Against Prompt Injection Attacks
Arxiv
0+阅读 · 2月6日
Defending Against Prompt Injection with DataFilter
Arxiv
0+阅读 · 2月4日
RedVisor: Reasoning-Aware Prompt Injection Defense via Zero-Copy KV Cache Reuse
Arxiv
0+阅读 · 2月2日
ChatInject: Abusing Chat Templates for Prompt Injection in LLM Agents
Arxiv
0+阅读 · 1月30日
INFA-Guard: Mitigating Malicious Propagation via Infection-Aware Safeguarding in LLM-Based Multi-Agent Systems
Arxiv
0+阅读 · 1月21日
ToolSafe: Enhancing Tool Invocation Safety of LLM-based agents via Proactive Step-level Guardrail and Feedback
Arxiv
0+阅读 · 1月15日
Towards Verifiably Safe Tool Use for LLM Agents
Arxiv
0+阅读 · 1月12日
相关基金
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
复杂系统中多密码算法密钥协同安全研究
国家自然科学基金
0+阅读 · 2015年12月31日
面向安全关键系统的时间可预测多核代码生成方法研究
国家自然科学基金
0+阅读 · 2015年12月31日
广义双随机相位编码系统中以QR码为载体的信息加密及无损恢复
国家自然科学基金
0+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
流密码可约性高效判别算法存在性的研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于势场法的多智能体系统鲁棒自适应刚性编队控制
国家自然科学基金
3+阅读 · 2015年12月31日
基于概率本体的CPS入侵检测方法研究
国家自然科学基金
1+阅读 · 2014年12月31日
基于免疫的Rootkit隐遁攻击动态内存取证方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top