AgentDoG:面向AI智能体安全与安保的诊断性护栏框架 AgentDoG: A Diagnostic Guardrail Framework for AI Agent Safety and Security
提出三维分类法和诊断性护栏框架,实现智能体轨迹级安全评估与细粒度风险归因
前置知识
AI智能体(AI Agent)
基于大语言模型(LLM)的自主系统,能够进行复杂规划、工具调用和长期任务执行。与传统聊天机器人不同,智能体可以与外部环境交互,使用各种API和工具完成任务,例如深度研究、计算机操作助手、软件工程和金融投资等。这种高自动化和非确定性特性引入了新的安全挑战,包括工具调用风险和有害信息传播。
本文的核心研究对象就是AI智能体的安全问题,理解智能体的定义和特性是理解其安全风险的前提
护栏模型(Guardrail Model)
用于监控和过滤LLM输出内容的安全机制,确保模型输出符合安全策略。现有代表性的护栏模型包括LlamaGuard3、Qwen3Guard、ShieldGemma等,它们主要针对单轮对话或简短对话的安全过滤。然而,这些模型缺乏对智能体风险场景的感知能力,在复杂交互场景中表现有限。
AgentDoG本身就是一个针对智能体场景设计的护栏模型,理解现有护栏模型的局限性是理解本文创新点的基础
安全分类法(Safety Taxonomy)
对安全风险进行系统化分类的框架。传统安全分类法通常采用枚举式、扁平化的分类方式,将各种风险(如提示注入、未授权访问)视为平行类别。本文提出三维正交分类法,从风险来源、失败模式和现实世界危害三个维度进行正交分解,消除标签重叠,实现更精确的风险诊断。
本文的核心创新之一就是提出了统一的三维安全分类法,这是整个框架设计的理论基础
可解释AI(Explainable AI, XAI)
使AI系统的决策过程透明化、可理解的技术和方法。本文提出的Agentic XAI归因框架能够追踪智能体的具体行为到轨迹中的特定步骤或句子,通过计算时间信息增益和概率下降/保持分数来量化每个步骤和句子对最终决策的影响。
传统护栏模型只能给出'安全/不安全'的二元标签,而AgentDoG能够诊断不安全行为的根本原因,这是本文的重要创新点
研究动机
现有护栏模型在应用于复杂的智能体场景时存在两个主要缺陷:首先,缺乏智能体风险感知能力——现有LLM的安全策略无法捕捉智能体复杂且依赖环境的风险态势。例如,现有基准如R-Judge平均只有5.28轮交互,工具覆盖有限,无法反映真实世界中长期、多工具链的复杂交互场景。其次,缺乏溯源和透明性——二元标签'安全/不安全'不足以准确诊断风险,忽略了看似安全但不合理的操作。现有分类法采用扁平化、枚举式的方式,将提示注入和未授权访问视为平行类别,但实际上前者描述风险来源,后者描述风险表现,这种混淆导致标签重叠,阻碍了精确诊断。
本文的目标是本文旨在构建一个能够覆盖复杂且众多风险行为的智能体护栏系统。具体目标包括:(1)提出统一的三维安全分类法,从风险来源(where)、失败模式(how)和现实后果(what)三个正交维度对智能体风险进行分类;(2)构建细粒度的智能体安全基准ATBench,包含约2157个工具和4486轮交互;(3)开发诊断性护栏框架AgentDoG,能够对智能体轨迹进行细粒度上下文监控,诊断不安全操作和看似安全但不合理操作的根本原因;(4)提供4B、7B、8B三种规模的模型变体,在多个基准测试中达到最先进性能。
与已有工作不同的是,本文的独特切入角度在于从'诊断'而非仅仅'检测'的视角来处理智能体安全问题。现有工作主要关注二元分类(安全/不安全),而本文强调透明性和溯源能力。通过三维正交分类法,将风险分解为来源、机制和后果三个独立维度,避免了传统分类法中标签重叠的问题。更重要的是,本文提出的Agentic XAI归因框架能够追踪具体行为到轨迹中的精确步骤和句子,不仅告诉用户'这个行为不安全',还能解释'为什么不安全'以及'是什么导致了不安全'。这种诊断性透明度对于有效的智能体对齐和系统调试至关重要,是现有护栏模型所缺乏的关键能力。
核心方法
AgentDoG的核心思路可以类比为一个'智能体安全医生':不仅要判断智能体的行为是否'生病'(不安全),还要诊断'病因'(风险来源)、'症状'(失败模式)和'后果'(现实危害)。技术路线包括四个关键组件:(1)三维安全分类法作为理论基础,将风险分解为来源、模式和后果三个正交维度;(2)基于分类法引导的数据合成管道,使用三阶段规划器生成覆盖完整风险空间的高质量训练数据;(3)轨迹级安全评估模型,对整个执行轨迹进行二元分类;(4)细粒度风险诊断模块,为不安全轨迹提供详细的分类标签。整个系统通过监督微调(SFT)训练,使用负对数似然损失函数。
本文最核心的创新点是将智能体安全问题从'检测'提升到'诊断'层面。传统护栏模型只能输出二元标签,而AgentDoG能够提供三个维度的细粒度诊断:风险来源(如恶意用户输入、工具描述注入)、失败模式(如未经确认的操作、工具误用)、现实危害(如隐私泄露、经济损失)。这种诊断能力的关键在于三维正交分类法的设计,它避免了传统分类法中'提示注入'和'未授权访问'等标签重叠的问题。更进一步,AgentDoG引入了Agentic XAI归因框架,通过计算时间信息增益和扰动分析,能够定位导致不安全行为的具体步骤和句子,提供了前所未有的透明度。这种从'是什么'到'为什么'的转变,使得安全审计、风险缓解和系统调试成为可能。
方法步骤详情
AgentDoG的方法包含以下关键步骤: 1. **数据合成管道(三阶段规划器)**:首先,对每个轨迹采样一个风险配置元组(风险来源、失败模式、风险后果),确定轨迹是安全还是不安全,从工具库中采样候选工具集。规划器通过两阶段构造多步骤任务计划:第一阶段设计连贯的多步骤任务,分析风险如何自然嵌入轨迹;第二阶段产生结构化执行计划,指定任务描述、工具子集、工具增强步骤序列和确切的风险注入点。 2. **轨迹合成**:基于执行计划,编排器控制执行流程,包括用户查询生成、工具交互模拟、智能体响应生成和结果总结。在非风险步骤,智能体正常处理工具输出;在风险触发点,工具响应生成器故意注入恶意或受污染内容。对于安全轨迹,智能体检测威胁并启动防御;对于不安全轨迹,智能体未能识别风险并继续执行。 3. **质量控制**:两层设计——确定性验证器移除结构和格式错误;LLM判断器验证轨迹内容与预期安全标签的语义一致性。质量控制管道保留约52%的生成轨迹。 4. **模型训练**:使用标准监督微调(SFT),给定训练数据集$D_{train} = \{(x_i, y_i)\}_{i=1}^n$,最小化负对数似然损失$\mathcal{L} = -\sum_{(x_i,y_i)\in D_{train}} \log \pi_\theta(y_i|x_i)$,学习率为1e-5。 5. **轨迹级安全评估**:给定轨迹$T = \{t_1, ..., t_n\}$,每步$t_i = (a_i, o_i)$,预测二元标签$y \in \{safe, unsafe\}$,其中$y = unsafe \Leftrightarrow \exists i \in \{1, ..., n\}, Unsafe(t_i) = True$。 6. **细粒度风险诊断**:对不安全轨迹,预测细粒度标签$y_{fine} = (\ell_{risk}, \ell_{mode}, \ell_{harm}) \in L_{risk} \times L_{mode} \times L_{harm}$。 7. **Agentic XAI归因**:通过时间动态进行轨迹级归因,计算步骤$s_i$的时间信息增益$\Delta_i = \log \pi_\theta(a_{target} | T_{\leq i}) - \log \pi_\theta(a_{target} | T_{\leq i-1})$;然后进行细粒度句子级归因,计算概率下降分数$Drop(x_{i,j}) = \log \pi_\theta(a_{target} | T_{\leq i}) - \log \pi_\theta(a_{target} | T_{\leq i} \setminus \{x_{i,j}\})$和概率保持分数$Hold(x_{i,j}) = \log \pi_\theta(a_{target} | x_{i,j}) - \log \pi_\theta(a_{target} | T_{\leq i})$,最终归因分数为$\Phi(x_{i,j}) = Drop(x_{i,j}) + Hold(x_{i,j})$。
技术新颖性
AgentDoG的技术新颖性主要体现在以下几个方面: 1. **三维正交安全分类法**:与传统扁平化、枚举式的分类法不同,本文将风险分解为来源(where)、失败模式(how)和后果(what)三个正交维度。这种设计避免了'提示注入'和'未授权访问'等标签重叠的问题,实现了更精确的风险表征。例如,提示注入属于风险来源维度,而未授权访问属于失败模式维度,两者不再是平行关系。 2. **分类法引导的数据合成**:传统数据合成通常'覆盖几个典型案例',而本文实现了'可控的逐类合成'。通过独立采样三个维度的类别,可以有针对性地为每个风险类别生成轨迹,实现更系统的覆盖和更多样化的训练信号。 3. **大规模工具集覆盖**:工具库包含约10,000个不同工具,比现有基准R-Judge(114个工具)大约86倍,比ASSE-Safety(180个工具)大约55倍。这使得合成轨迹更接近真实世界智能体系统中工具使用的复杂性和异质性。 4. **轨迹级安全评估**:与现有护栏模型主要关注最后一轮输出不同,AgentDoG评估整个执行轨迹,能够捕获中间动作(如思考内容、工具调用)和中间环境反馈中的不安全行为,避免了仅审计最后一轮可能遗漏的行动诱导风险和过程级失败。 5. **Agentic XAI归因框架**:这是本文最具创新性的贡献之一。通过计算时间信息增益和扰动分析,能够将具体行为归因到轨迹中的精确步骤和句子,提供了从'检测'到'诊断'的质的飞跃。
实验结果
AgentDoG在多个基准测试中取得了显著的性能提升,具体实验结果如下: **轨迹级安全评估**:在R-Judge基准上,AgentDoG-Qwen3-4B达到92.7%的F1分数,超过GPT-5.2(91.8%)并接近Gemini-3-Flash(95.3%)。在ASSE-Safety数据集上,AgentDoG-Llama3.1-8B达到83.4%的F1分数,超过Gemini-3-Pro(78.6%)。在ATBench基准上,AgentDoG-Qwen3-4B达到93.0%的F1分数,显著优于所有基线模型。 **与现有护栏模型对比**:AgentDoG显著优于所有专门的护栏模型。例如,在R-Judge上,AgentDoG-Qwen3-4B的准确率(91.8%)比ShieldAgent(81.0%)高出10.8个百分点;在ATBench上,AgentDoG-Qwen3-4B的准确率(92.8%)比PolyGuard(73.8%)高出19个百分点。值得注意的是,许多现有护栏模型表现出极低的召回率(如ShieldGemma在ATBench上的召回率低于10%),反映了过于保守的预测行为,而AgentDoG在精确率和召回率之间实现了良好的平衡。 **细粒度风险诊断**:在ATBench的细粒度分类任务上,AgentDoG展现出显著优势。AgentDoG-Qwen3-FG-4B在风险来源准确率达到82.0%,远超Gemini-3-Pro(36.8%)和GPT-5.2(41.6%)。在失败模式准确率上,AgentDoG达到32.4%,比最佳基线Gemini-3-Flash(22.4%)高出10个百分点。在现实世界危害准确率上,AgentDoG-Qwen2.5-FG-7B达到59.2%,比最佳基线Qwen3-235B-A22B-Instruct-2507(38.0%)高出21.2个百分点。 **分布偏移挑战**:实验发现,许多现有护栏模型主要在单轮提示或简短对话安全数据上训练和验证,与多步骤、工具增强的智能体轨迹评估场景存在分布不匹配,这可能导致其性能下降。AgentDoG通过专门针对智能体轨迹数据进行训练,有效解决了这一挑战。 **Agentic XAI归因效果**:案例研究表明,AgentDoG的归因模块能够准确诊断外部触发器(如简历中的恶意指令)和认知失败(如误解讽刺语境),并将具体行为归因到轨迹中的精确步骤和句子。与基础模型相比,AgentDoG展现出更稳健和细粒度的归因能力。
查看结构化数据
| 任务 | 指标 | 本文 | 基线 | 提升 |
|---|---|---|---|---|
| 轨迹级安全评估(R-Judge) | F1-score | 92.7% | GPT-5.2: 91.8% | +0.9% |
| 轨迹级安全评估(ASSE-Safety) | F1-score | 83.4% | Gemini-3-Pro: 78.6% | +4.8% |
| 轨迹级安全评估(ATBench) | F1-score | 93.0% | GPT-5.2: 90.7% | +2.3% |
| 细粒度风险诊断(风险来源) | Accuracy | 82.0% | Gemini-3-Pro: 41.6% | +40.4% |
| 细粒度风险诊断(失败模式) | Accuracy | 32.4% | Gemini-3-Flash: 22.4% | +10.0% |
| 细粒度风险诊断(现实危害) | Accuracy | 59.2% | Qwen3-235B: 38.0% | +21.2% |
局限与改进
尽管AgentDoG取得了显著成果,但仍存在一些局限性: **输入模态限制**:当前AgentDoG的输入仅限于文本轨迹,不支持多模态输入(如GUI截图、图像等)。随着基于GUI的智能体日益普及,扩展AgentDoG以支持多模态输入是下一步的关键方向。 **反应式监控角色**:目前AgentDoG主要扮演反应式监控者的角色,在智能体执行后进行安全评估和诊断。未来可以探索将其转变为前瞻性对齐工具,例如将诊断输出作为奖励信号,通过强化学习来主动对齐智能体行为。 **分类法覆盖范围**:虽然三维分类法提供了系统化的风险覆盖,但某些新兴的、特定领域的风险可能尚未被完全涵盖。随着智能体应用场景的不断扩展,分类法可能需要持续更新和扩展。 **数据合成的局限性**:尽管质量控制管道保留了约52%的生成轨迹,但合成数据可能无法完全捕捉真实世界中所有复杂的风险模式。此外,ATBench基准虽然提供了'未见工具'评估设置,但其工具库(2,292个工具)仍小于训练工具库(10,000+个工具)。 **计算资源需求**:训练和运行AgentDoG需要相当的计算资源,特别是对于较大的模型变体(如8B参数版本)。这可能限制其在资源受限环境中的部署。
独立分析的弱点
基于对论文的深入分析,我识别出以下几个潜在弱点及改进方向: 1. **细粒度诊断准确率仍有提升空间**:虽然AgentDoG在细粒度诊断上显著优于基线,但绝对准确率仍不理想,特别是失败模式准确率仅为32.4%。这可能是因为14个失败模式类别之间的区分度不够,某些类别在语义上存在重叠。改进方向包括:优化分类法设计,合并或重组相似类别;引入层次化分类策略,先粗分类再细分类;增加特定类别的训练数据。 2. **对'看似安全但不合理'行为的检测能力有限**:论文提到AgentDoG能够诊断'看似安全但不合理'的操作,但实验评估主要集中在明确的不安全轨迹上。对于这类边界情况,需要更专门的评估基准和训练数据。改进方向包括:构建包含'表面安全但实际有风险'场景的专门数据集;引入不确定性量化机制,对边界情况进行置信度评估。 3. **工具交互的复杂性处理**:当前工具库虽然规模大,但主要基于现有公共工具数据集构建,可能无法完全代表真实生产环境中的工具复杂性。改进方向包括:与真实智能体部署环境合作,获取更真实的工具交互数据;引入工具版本控制和动态工具更新机制。 4. **实时监控性能**:论文未详细讨论AgentDoG在实时监控场景下的延迟和吞吐量。对于需要实时干预的应用场景(如金融交易、自动化操作),性能开销是关键考量。改进方向包括:模型压缩和量化技术;流式处理架构,避免对完整轨迹的依赖;分级监控策略,先快速过滤再详细诊断。 5. **跨领域泛化能力**:虽然ATBench提供了工具级的分布偏移评估,但未评估跨应用领域(如医疗、金融、法律)的泛化能力。改进方向包括:构建多领域评估基准;研究领域自适应技术;探索零样本或少样本迁移能力。
未来方向
基于论文成果和智能体安全领域的发展趋势,我提出以下未来研究方向: 1. **多模态智能体安全**:扩展AgentDoG以支持GUI操作、视频流、传感器数据等多模态输入,这对于计算机操作助手、机器人控制等场景至关重要。这需要开发新的多模态特征提取和融合方法。 2. **前瞻性安全对齐**:将AgentDoG从反应式监控转变为前瞻性对齐工具。例如,将诊断输出作为奖励信号,通过强化学习主动塑造智能体行为;或者将安全约束直接集成到智能体的规划过程中。 3. **动态安全策略**:开发能够根据上下文和风险等级动态调整安全策略的系统。例如,在高风险场景(如金融交易)中采用更严格的监控,在低风险场景中允许更多自主性。 4. **联邦安全学习**:在保护隐私的前提下,允许多个组织共享安全知识和风险模式,构建更全面的威胁情报网络。这对于应对新型、未知的安全威胁尤为重要。 5. **安全与效用的权衡优化**:研究如何在安全性和任务完成度之间找到最优平衡点。过度保守的安全策略可能阻碍智能体的有效性,而过于宽松的策略可能带来安全风险。 6. **可解释安全决策**:进一步提升归因框架的可解释性,不仅定位问题步骤,还能提供人类可理解的解释和修复建议。这对于非技术用户理解和信任安全系统至关重要。
复现评估
AgentDoG在可复现性方面表现出色: **开源情况**:论文明确声明所有模型和数据集都是开源的。模型变体在Qwen和Llama模型家族中提供三种规模(4B、7B、8B参数)。代码和模型托管在GitHub(https://github.com/AI45Lab/AgentDoG)和Hugging Face(https://huggingface.co/collections/AI45Research/agentdog)上,便于社区访问和使用。 **数据集**:ATBench基准包含500个完整执行轨迹(250安全、250不安全),平均长度8.97轮交互,覆盖1,575个独特工具。训练数据包含超过10万个多轮交互轨迹,经过质量控制管道过滤。数据合成管道使用约10,000个不同工具,比现有基准大约40倍以上。 **算力需求**:论文提到模型使用标准监督微调训练,学习率为1e-5。基础模型包括Qwen3-4B-Instruct-2507、Qwen2.5-7B-Instruct和Llama3.1-8B-Instruct。虽然未明确说明具体GPU需求,但基于这些模型规模,预计需要多GPU训练环境。对于推理部署,4B参数的变体相对轻量,适合资源受限环境。 **复现难度**:中等。数据合成管道涉及多个阶段和质量控制步骤,完整复现需要相当的工程努力。但论文提供了详细的方法描述和开源实现,降低了复现门槛。评估框架和基准数据集的公开使得公平比较成为可能。 **评估基准**:使用R-Judge、ASSE-Safety和ATBench三个基准进行评估,其中ATBench是本文贡献的新基准。所有基准都公开可用,确保了评估的可复现性。
论文图表