会员服务
攻击 · AI · 自适应 · 控制协议 · 可信模型 ·
3 月 2 日
Adaptive Attacks on Trusted Monitors Subvert AI Control Protocols
翻译:针对可信监控器的自适应攻击破坏AI控制协议
Mikhail Terekhov,Alexander Panfilov,Daniil Dzenhaliou,Caglar Gulcehre,Maksym Andriushchenko,Ameya Prabhu,Jonas Geiping
Mikhail Terekhov,Alexander Panfilov,Daniil Dzenhaliou,Caglar Gulcehre,Maksym Andriushchenko,Ameya Prabhu,Jonas Geiping

AI control protocols serve as a defense mechanism to stop untrusted LLM agents from causing harm in autonomous settings. Prior work treats this as a security problem, stress testing with exploits that use the deployment context to subtly complete harmful side tasks, such as backdoor insertion. In practice, most AI control protocols are fundamentally based on LLM monitors, which can become a central point of failure. We study adaptive attacks by an untrusted model that knows the protocol and the monitor model, which is plausible if the untrusted model was trained with a later knowledge cutoff or can search for this information autonomously. We instantiate a simple adaptive attack vector by which the attacker embeds publicly known or zero-shot prompt injections in the model outputs. Using this tactic, frontier models consistently evade diverse monitors and complete malicious tasks on two main AI control benchmarks. The attack works universally against current protocols that rely on a monitor. Furthermore, the recent Defer-to-Resample protocol even backfires, as its resampling amplifies the prompt injection and effectively reframes it as a best-of-$n$ attack. In general, adaptive attacks on monitor models represent a major blind spot in current control protocols and should become a standard component of evaluations for future AI control mechanisms.


翻译:AI控制协议作为一种防御机制,旨在阻止不可信的大型语言模型(LLM)智能体在自主运行环境中造成危害。先前研究将其视为安全问题,通过利用部署上下文隐蔽完成有害副任务(如后门植入)的漏洞进行压力测试。实践中,大多数AI控制协议本质上都基于LLM监控器,这可能成为单点故障源。我们研究了不可信模型在知晓协议及监控模型情况下的自适应攻击——若不可信模型采用更新的知识截止日期训练或能自主搜索此类信息,这种场景具有现实可能性。我们实例化了一种简单的自适应攻击向量:攻击者在模型输出中嵌入公开已知或零样本提示注入。采用该策略时,前沿模型能持续规避多种监控器,并在两个主要AI控制基准测试中完成恶意任务。该攻击对当前依赖监控器的协议具有普适性。此外,近期提出的Defer-to-Resample协议甚至会产生反效果,其重采样机制会放大提示注入,实质上将其重构为best-of-$n$攻击。总体而言,针对监控模型的自适应攻击是当前控制协议的主要盲区,应成为未来AI控制机制评估的标准组成部分。
0
下载
关闭预览

相关内容

【博士论文】已对齐 AI 系统的持续脆弱性
【博士论文】已对齐 AI 系统的持续脆弱性
专知会员服务
12+阅读 · 4月3日
大语言模型驱动的AI智能体通信综述:协议、安全风险与防御对策
大语言模型驱动的AI智能体通信综述:协议、安全风险与防御对策
专知会员服务
29+阅读 · 2025年6月25日
《信息战中基于大语言模型的AI代理红蓝队对抗沙盒方法:探索反信息、提示注入与AI素养中的人类控制》最新报告
《信息战中基于大语言模型的AI代理红蓝队对抗沙盒方法:探索反信息、提示注入与AI素养中的人类控制》最新报告
专知会员服务
26+阅读 · 2025年5月29日
【CVPR2025】BadToken:针对多模态大语言模型的词元级后门攻击
【CVPR2025】BadToken:针对多模态大语言模型的词元级后门攻击
专知会员服务
10+阅读 · 2025年3月22日
AI在医疗中的安全挑战
AI在医疗中的安全挑战
专知会员服务
19+阅读 · 2024年10月5日
针对自动驾驶智能模型的攻击与防御
针对自动驾驶智能模型的攻击与防御
专知会员服务
19+阅读 · 2024年6月25日
AI智能体面临的威胁:关键安全挑战与未来路径综述
AI智能体面临的威胁:关键安全挑战与未来路径综述
专知会员服务
52+阅读 · 2024年6月7日
如何应对可迁移攻击?MSU最新《对AI系统可迁移攻击》全面综述数据、过程、模型和系统的攻击架构
如何应对可迁移攻击?MSU最新《对AI系统可迁移攻击》全面综述数据、过程、模型和系统的攻击架构
专知会员服务
30+阅读 · 2023年11月21日
可解释人工智能中的对抗攻击和防御
可解释人工智能中的对抗攻击和防御
专知会员服务
43+阅读 · 2023年6月20日
《人工智能对抗性攻击的作战可行性》美智库2022最新28页报告
《人工智能对抗性攻击的作战可行性》美智库2022最新28页报告
专知会员服务
68+阅读 · 2022年12月27日
人工智能和军备控制,80页pdf
人工智能和军备控制,80页pdf
专知
15+阅读 · 2022年11月2日
【美海军·系统顶点项目报告】《用于防空和导弹防御的自动作战管理辅助工具(AI)的安全风险评估》162页PDF
【美海军·系统顶点项目报告】《用于防空和导弹防御的自动作战管理辅助工具(AI)的安全风险评估》162页PDF
专知
38+阅读 · 2022年10月19日
推荐!【美国陆军战略项目年度报告】《人工智能(AI)用于多域作战(MDO)的指挥和控制(C2)》完整译文,美国陆军研究实验室
推荐!【美国陆军战略项目年度报告】《人工智能(AI)用于多域作战(MDO)的指挥和控制(C2)》完整译文,美国陆军研究实验室
专知
59+阅读 · 2022年9月24日
《人工智能在空战指挥与控制中的应用》中文版,美国空军大学空军指挥参谋学院
《人工智能在空战指挥与控制中的应用》中文版,美国空军大学空军指挥参谋学院
专知
105+阅读 · 2022年4月28日
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
90+阅读 · 2022年4月17日
AI+军事?美国政府问责局(GAO)最新《人工智能武器系统研制与获取能力现状》报告,53页pdf
AI+军事?美国政府问责局(GAO)最新《人工智能武器系统研制与获取能力现状》报告,53页pdf
专知
98+阅读 · 2022年3月7日
面对无处不在的黑客威胁,如何保护智能设备免受攻击?
面对无处不在的黑客威胁,如何保护智能设备免受攻击?
AI前线
21+阅读 · 2019年10月28日
综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略
综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略
机器之心
16+阅读 · 2018年7月9日
人工智能对网络空间安全的影响
人工智能对网络空间安全的影响
走向智能论坛
21+阅读 · 2018年6月7日
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
专知
29+阅读 · 2017年12月12日
支持智能终端通信的物联网管控机制研究
国家自然科学基金
2+阅读 · 2015年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
受扰多智能体系统的分布式主动抗干扰协调控制研究
国家自然科学基金
3+阅读 · 2015年12月31日
可信工业控制系统中信任冷启动方法研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
输入约束下的多智能体系统完全分布式协调控制研究
国家自然科学基金
5+阅读 · 2015年12月31日
具有动态不确定性的下三角多智能体系统分布式自适应协同控制
国家自然科学基金
3+阅读 · 2015年12月31日
基于被控物理对象监测的核电厂网络空间攻击的检测和响应
国家自然科学基金
2+阅读 · 2015年12月31日
基于自适应模型检测的安全协议自动建模与设计研究
国家自然科学基金
1+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
Breaking and Fixing Defenses Against Control-Flow Hijacking in Multi-Agent Systems
Arxiv
0+阅读 · 3月5日
Bypassing AI Control Protocols via Agent-as-a-Proxy Attacks
Arxiv
0+阅读 · 2月25日
Agentic AI as a Cybersecurity Attack Surface: Threats, Exploits, and Defenses in Runtime Supply Chains
Arxiv
0+阅读 · 2月23日
IntentMiner: Intent Inversion Attack via Tool Call Analysis in the Model Context Protocol
Arxiv
0+阅读 · 2月16日
Agentic AI Security: Threats, Defenses, Evaluation, and Open Challenges
Arxiv
0+阅读 · 2月13日
Basic Legibility Protocols Improve Trusted Monitoring
Arxiv
0+阅读 · 2月9日
Bypassing AI Control Protocols via Agent-as-a-Proxy Attacks
Arxiv
0+阅读 · 2月4日
Attack Selection Reduces Safety in Concentrated AI Control Settings against Trusted Monitoring
Arxiv
0+阅读 · 2月4日
Defending Against Prompt Injection with DataFilter
Arxiv
0+阅读 · 2月4日
AI Kill Switch for malicious web-based LLM agent
Arxiv
0+阅读 · 1月29日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
攻击
AI
自适应
控制协议
可信模型
最新内容
《利用大语言模型增强多域作战兵棋推演》(报告)
《利用大语言模型增强多域作战兵棋推演》(报告)
专知会员服务
8+阅读 · 4月18日
《增强准备状态与战备水平:态势感知与数据驱动决策》报告
《增强准备状态与战备水平:态势感知与数据驱动决策》报告
专知会员服务
8+阅读 · 4月18日
中文版《可靠定位、导航与授时 (APNT):美军相关研发项目》报告
中文版《可靠定位、导航与授时 (APNT):美军相关研发项目》报告
专知会员服务
6+阅读 · 4月18日
《自主武器系统人类-AI指挥控制中的动态管理》(2026最新450页)
《自主武器系统人类-AI指挥控制中的动态管理》(2026最新450页)
专知会员服务
11+阅读 · 4月18日
美智库《实现空军战斗出动架次生成能力:对目标、差距、障碍与解决方案的审视》(报告)
美智库《实现空军战斗出动架次生成能力:对目标、差距、障碍与解决方案的审视》(报告)
专知会员服务
5+阅读 · 4月18日
《大规模作战行动中争夺情报优势:情报与电子战营-下一代角色探析》(报告)
《大规模作战行动中争夺情报优势:情报与电子战营-下一代角色探析》(报告)
专知会员服务
8+阅读 · 4月18日
人工智能在战场行动中的演进及伊朗案例
人工智能在战场行动中的演进及伊朗案例
专知会员服务
6+阅读 · 4月18日
美AI公司Anthropic推出网络安全模型“Mythos”
美AI公司Anthropic推出网络安全模型“Mythos”
专知会员服务
4+阅读 · 4月18日
【博士论文】面向城市环境的可解释计算机视觉
【博士论文】面向城市环境的可解释计算机视觉
专知会员服务
4+阅读 · 4月18日
【CVPR2026】SEATrack:一种简明、高效且具备自适应能力的多模态跟踪器
【CVPR2026】SEATrack:一种简明、高效且具备自适应能力的多模态跟踪器
专知会员服务
3+阅读 · 4月18日
大语言模型的自改进机制:技术综述与未来展望
大语言模型的自改进机制:技术综述与未来展望
专知会员服务
5+阅读 · 4月18日
《面向战术决策的广义智能:大语言模型驱动的动态武器-目标分配》
《面向战术决策的广义智能:大语言模型驱动的动态武器-目标分配》
专知会员服务
10+阅读 · 4月18日
《分布式军事人工智能理论:部分可观测与通信条件下的协调约束多智能体强化学习》
《分布式军事人工智能理论:部分可观测与通信条件下的协调约束多智能体强化学习》
专知会员服务
11+阅读 · 4月18日
《第四代军事特种作战部队选拔与评估》
《第四代军事特种作战部队选拔与评估》
专知会员服务
3+阅读 · 4月18日
《迈向可解释强化学习及面向战略决策的定制化学习基准》(70页)
《迈向可解释强化学习及面向战略决策的定制化学习基准》(70页)
专知会员服务
6+阅读 · 4月18日
相关VIP内容
【博士论文】已对齐 AI 系统的持续脆弱性
【博士论文】已对齐 AI 系统的持续脆弱性
专知会员服务
12+阅读 · 4月3日
大语言模型驱动的AI智能体通信综述:协议、安全风险与防御对策
大语言模型驱动的AI智能体通信综述:协议、安全风险与防御对策
专知会员服务
29+阅读 · 2025年6月25日
《信息战中基于大语言模型的AI代理红蓝队对抗沙盒方法:探索反信息、提示注入与AI素养中的人类控制》最新报告
《信息战中基于大语言模型的AI代理红蓝队对抗沙盒方法:探索反信息、提示注入与AI素养中的人类控制》最新报告
专知会员服务
26+阅读 · 2025年5月29日
【CVPR2025】BadToken:针对多模态大语言模型的词元级后门攻击
【CVPR2025】BadToken:针对多模态大语言模型的词元级后门攻击
专知会员服务
10+阅读 · 2025年3月22日
AI在医疗中的安全挑战
AI在医疗中的安全挑战
专知会员服务
19+阅读 · 2024年10月5日
针对自动驾驶智能模型的攻击与防御
针对自动驾驶智能模型的攻击与防御
专知会员服务
19+阅读 · 2024年6月25日
AI智能体面临的威胁:关键安全挑战与未来路径综述
AI智能体面临的威胁:关键安全挑战与未来路径综述
专知会员服务
52+阅读 · 2024年6月7日
如何应对可迁移攻击?MSU最新《对AI系统可迁移攻击》全面综述数据、过程、模型和系统的攻击架构
如何应对可迁移攻击?MSU最新《对AI系统可迁移攻击》全面综述数据、过程、模型和系统的攻击架构
专知会员服务
30+阅读 · 2023年11月21日
可解释人工智能中的对抗攻击和防御
可解释人工智能中的对抗攻击和防御
专知会员服务
43+阅读 · 2023年6月20日
《人工智能对抗性攻击的作战可行性》美智库2022最新28页报告
《人工智能对抗性攻击的作战可行性》美智库2022最新28页报告
专知会员服务
68+阅读 · 2022年12月27日
热门VIP内容
相关资讯
人工智能和军备控制,80页pdf
人工智能和军备控制,80页pdf
专知
15+阅读 · 2022年11月2日
【美海军·系统顶点项目报告】《用于防空和导弹防御的自动作战管理辅助工具(AI)的安全风险评估》162页PDF
【美海军·系统顶点项目报告】《用于防空和导弹防御的自动作战管理辅助工具(AI)的安全风险评估》162页PDF
专知
38+阅读 · 2022年10月19日
推荐!【美国陆军战略项目年度报告】《人工智能(AI)用于多域作战(MDO)的指挥和控制(C2)》完整译文,美国陆军研究实验室
推荐!【美国陆军战略项目年度报告】《人工智能(AI)用于多域作战(MDO)的指挥和控制(C2)》完整译文,美国陆军研究实验室
专知
59+阅读 · 2022年9月24日
《人工智能在空战指挥与控制中的应用》中文版,美国空军大学空军指挥参谋学院
《人工智能在空战指挥与控制中的应用》中文版,美国空军大学空军指挥参谋学院
专知
105+阅读 · 2022年4月28日
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
90+阅读 · 2022年4月17日
AI+军事?美国政府问责局(GAO)最新《人工智能武器系统研制与获取能力现状》报告,53页pdf
AI+军事?美国政府问责局(GAO)最新《人工智能武器系统研制与获取能力现状》报告,53页pdf
专知
98+阅读 · 2022年3月7日
面对无处不在的黑客威胁,如何保护智能设备免受攻击?
面对无处不在的黑客威胁,如何保护智能设备免受攻击?
AI前线
21+阅读 · 2019年10月28日
综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略
综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略
机器之心
16+阅读 · 2018年7月9日
人工智能对网络空间安全的影响
人工智能对网络空间安全的影响
走向智能论坛
21+阅读 · 2018年6月7日
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
专知
29+阅读 · 2017年12月12日
相关论文
Breaking and Fixing Defenses Against Control-Flow Hijacking in Multi-Agent Systems
Arxiv
0+阅读 · 3月5日
Bypassing AI Control Protocols via Agent-as-a-Proxy Attacks
Arxiv
0+阅读 · 2月25日
Agentic AI as a Cybersecurity Attack Surface: Threats, Exploits, and Defenses in Runtime Supply Chains
Arxiv
0+阅读 · 2月23日
IntentMiner: Intent Inversion Attack via Tool Call Analysis in the Model Context Protocol
Arxiv
0+阅读 · 2月16日
Agentic AI Security: Threats, Defenses, Evaluation, and Open Challenges
Arxiv
0+阅读 · 2月13日
Basic Legibility Protocols Improve Trusted Monitoring
Arxiv
0+阅读 · 2月9日
Bypassing AI Control Protocols via Agent-as-a-Proxy Attacks
Arxiv
0+阅读 · 2月4日
Attack Selection Reduces Safety in Concentrated AI Control Settings against Trusted Monitoring
Arxiv
0+阅读 · 2月4日
Defending Against Prompt Injection with DataFilter
Arxiv
0+阅读 · 2月4日
AI Kill Switch for malicious web-based LLM agent
Arxiv
0+阅读 · 1月29日
相关基金
支持智能终端通信的物联网管控机制研究
国家自然科学基金
2+阅读 · 2015年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
受扰多智能体系统的分布式主动抗干扰协调控制研究
国家自然科学基金
3+阅读 · 2015年12月31日
可信工业控制系统中信任冷启动方法研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
输入约束下的多智能体系统完全分布式协调控制研究
国家自然科学基金
5+阅读 · 2015年12月31日
具有动态不确定性的下三角多智能体系统分布式自适应协同控制
国家自然科学基金
3+阅读 · 2015年12月31日
基于被控物理对象监测的核电厂网络空间攻击的检测和响应
国家自然科学基金
2+阅读 · 2015年12月31日
基于自适应模型检测的安全协议自动建模与设计研究
国家自然科学基金
1+阅读 · 2014年12月31日
物联网关键技术RFID系统安全测试的仿真架构.评估模型和受攻击模式的研究和实践
国家自然科学基金
2+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top