← 返回 2026-03-26

T-MAP:基于轨迹感知进化搜索的LLM智能体红队测试 T-MAP: Red-Teaming LLM Agents with Trajectory-aware Evolutionary Search

Hyomin Lee, Sangwoo Park, Yumin Choi, Sohyun An, Seanie Lee, Sung Ju Hwang 📅 2026-03-21 👍 37 2026-07-13 08:36
LLM代理安全 MCP协议 工具调用 红队测试 进化算法

提出轨迹感知进化方法T-MAP,发现LLM智能体在多步工具执行中的真实攻击漏洞

前置知识

LLM智能体(LLM Agent)

大型语言模型作为自主代理,能够通过工具调用(Tool Use)与外部环境交互执行复杂任务。不同于简单的文本生成,智能体可以调用API、执行代码、操作文件系统等,形成多步推理-行动-观察的执行轨迹。MCP(Model Context Protocol)是Anthropic提出的标准化工具调用协议,允许LLM智能体无缝集成各类外部工具和服务。

T-MAP针对的正是这类工具调用智能体的安全漏洞,而非传统文本生成场景。理解智能体的多步执行机制是理解本文攻击模型的基础。

红队测试(Red-Teaming)

通过构造对抗性输入(adversarial prompts)来主动发现AI系统安全漏洞的评估方法。传统红队测试主要关注文本层面的危害输出(如生成有害内容),但本文指出这无法覆盖智能体特有的安全风险——即通过实际工具执行造成的现实危害。

本文的核心贡献就是将红队测试从文本层面扩展到工具执行层面,需要理解传统红队测试的局限性才能理解T-MAP的创新点。

MAP-Elites算法

一种质量多样性(Quality-Diversity)进化算法,维护一个多维档案(archive)来同时优化解的性能和多样性。档案由多个维度的网格组成,每个单元格保存该维度组合下的最优解。通过在不同单元格间选择父代并变异,算法能够系统性探索解空间的不同区域。

T-MAP基于MAP-Elites框架构建,使用8×8的档案(8种风险类别×8种攻击风格)来系统性发现多样化的攻击向量。理解MAP-Elites的工作机制是理解T-MAP架构的前提。

攻击实现率(ARR)

本文定义的核心评估指标,衡量攻击提示是否能通过实际工具执行完全实现恶意目标。不同于传统红队测试仅检查模型是否输出有害文本,ARR关注的是智能体是否真正执行了工具调用并完成攻击。分为4级:L0(拒绝)、L1(错误)、L2(部分成功)、L3(完全实现)。

这是评估T-MAP效果的主要指标,理解ARR的定义和评估标准对于理解实验结果至关重要。

研究动机

现有红队测试方法主要聚焦于诱导LLM生成有害文本输出,但这些方法完全无法捕捉智能体特有的安全漏洞。随着MCP等工具调用协议的普及,LLM智能体能够执行邮件发送、代码运行、文件操作等真实动作,攻击面从文本扩展到现实世界。然而现有方法(如GCG对抗后缀、迭代提示优化)都假设攻击成功仅取决于模型的文本响应,忽略了工具执行层面的失败——一个提示可能成功诱导模型输出有害文本,但在实际执行工具时却因参数错误、权限不足或工具组合不当而完全失败。论文指出,智能体漏洞往往通过复杂的多步工具执行序列才能显现,而非单轮对话,现有方法对此类风险的覆盖率极为有限。

本文的目标是本文旨在填补这一关键空白,提出一种能够发现LLM智能体在多步工具执行中真实安全漏洞的方法。具体目标包括:(1) 形式化定义智能体红队测试问题,将攻击成功标准从文本输出扩展到实际工具执行结果;(2) 设计一种轨迹感知的进化搜索算法,能够利用执行轨迹反馈指导攻击提示的生成;(3) 在多样化的MCP环境中系统性评估方法的有效性,包括CodeExecutor、Slack、Gmail、Playwright和Filesystem等实际工具环境。

与已有工作不同的是,本文的独特切入角度在于将进化搜索与执行轨迹分析相结合。传统方法仅基于模型文本输出优化提示,而T-MAP引入两个关键机制:(1) Cross-Diagnosis——从成功和失败的执行轨迹中提取策略性洞察来指导变异;(2) Tool Call Graph(TCG)——构建工具间转换的经验统计图来避免高失败率的动作序列。这种轨迹感知的方法论使得T-MAP能够发现那些在提示层面看似无害、但通过精心设计的工具序列能造成实际危害的攻击向量,这是现有方法完全无法做到的。

核心方法

T-MAP的整体思路是将MAP-Elites进化框架与执行轨迹反馈深度结合。直观上,传统红队测试就像在黑暗中摸索——只能看到模型的文本输出,无法知道工具执行是否成功。T-MAP则像打开了手电筒,能够观察每一步工具执行的结果,并据此调整搜索策略。技术路线分为四个阶段循环:(1) 从父代单元格选择成功的攻击策略,从目标单元格分析失败原因;(2) 结合诊断结果和工具调用图指导变异生成新提示;(3) 执行新提示并提取工具间转换的边级信息更新TCG;(4) 评估完整轨迹并更新档案。这个循环使得T-MAP能够持续从执行经验中学习,逐步提高攻击成功率。

T-MAP的核心创新在于两个互补机制:Cross-Diagnosis和Tool Call Graph。Cross-Diagnosis是提示级的诊断机制——LLM分析器从父代轨迹提取成功因素(如特定的角色扮演框架如何绕过安全护栏),从目标轨迹识别失败原因(如某个关键词触发了拒绝),然后变异器将成功因素融入新提示同时避免失败因素。Tool Call Graph是动作级的结构记忆——一个有向图,其中节点是工具集合,边表示工具间转换,每条边关联元数据记录成功/失败次数及原因。与已有方法的本质区别在于:传统方法仅基于文本输出优化,SE(标准进化)仅复制父代提示结构,而T-MAP通过TCG学习到搜索、读取、发送这样的成功工具序列模式,避免重复执行已知失败的转换路径。

方法步骤详情

T-MAP的完整执行流程如下:(1) 初始化阶段:为8x8档案的64个单元格(8种风险类别x8种攻击风格)生成种子提示,执行并评估得到初始轨迹。(2) 父代选择:从包含高成功精英的单元格中选择父代,从所有单元格均匀采样目标。(3) Cross-Diagnosis:LLM分析器分别处理父代轨迹提取成功因素SF,处理目标轨迹提取失败原因FC。(4) 轨迹引导变异:LLM变异器接收目标提示、诊断结果SF和FC、以及TCG数据G,生成新候选提示。(5) 执行与评估:在目标智能体上执行新提示得到轨迹,LLM判断器评估攻击成功等级。(6) 档案更新:若新提示成功等级更高则替换精英;等级相同时通过比较轨迹选择更优者。(7) TCG更新:LLM提取轨迹中的工具间转换边,更新TCG中对应边的成功/失败统计和原因。重复步骤(2)-(7)进行100次迭代,每次并行生成3个提示。

技术新颖性

T-MAP的技术新颖性体现在三个层面:第一,问题形式化创新——首次将智能体红队测试定义为轨迹级优化问题,攻击成功标准从文本输出扩展到实际工具执行,定义了L0-L3四级评估体系。第二,方法论创新——Cross-Diagnosis机制实现了跨单元格的知识迁移,使得在风险类别A中发现的成功策略可以被应用到风格完全不同的风险类别B中;TCG作为工具执行的经验记忆,通过边级统计(成功/失败次数和原因)为变异提供结构化指导,避免重复探索已知失败路径。第三,评估框架创新——提出动作多样性指标(不同成功轨迹数量)配合文本多样性指标(Self-BLEU和余弦相似度),全面评估发现的攻击向量的多样性。TCG的可视化分析也揭示了各环境中工具使用的结构化模式,为理解智能体行为提供了新视角。

T-MAP整体框架图
Figure 2: T-MAP整体框架图
工具调用图(CodeExecutor)
Figure 21: 工具调用图(CodeExecutor)
工具调用图(Slack)
Figure 22: 工具调用图(Slack)
工具调用图(Gmail)
Figure 23: 工具调用图(Gmail)
工具调用图(Playwright)
Figure 24: 工具调用图(Playwright)
工具调用图(Filesystem)
Figure 25: 工具调用图(Filesystem)

实验结果

T-MAP在所有实验设置中均显著优于基线方法。在5个MCP环境的平均结果中,T-MAP达到57.8%的攻击实现率(ARR),而最强基线SE仅为32.5%,提升幅度达77.8%。拒绝率(RR)方面,T-MAP仅12.5%,远低于Zero-Shot的87.8%和Multi-Trial的63.1%。具体到各环境:CodeExecutor中T-MAP的ARR为56.2%(vs SE的48.4%),Slack为64.1%(vs 28.1%),Gmail为46.9%(vs 10.9%),Playwright为37.5%(vs 3.1%),Filesystem最高达84.4%(vs 71.9%)。进化曲线显示T-MAP在前20次迭代内就快速收敛,ARR迅速上升而RR快速下降。消融实验表明:移除TCG后L3从58.40%降至45.71%,L1错误率从10.95%升至20.13%,说明TCG对避免无效工具路径至关重要;移除Cross-Diagnosis后RR从11.93%升至15.63%,说明该机制对绕过安全护栏至关重要。在9个目标模型的泛化实验中,T-MAP在所有模型上均取得最高ARR,包括GPT-5.2、Gemini-3-Pro、Qwen3.5-397B、GLM-5等前沿模型。跨模型迁移实验显示,在GPT-5.2上发现的攻击使用pass@5指标在多数目标模型上仍有效。

不同MCP环境中拒绝率(RR)和攻击实现率(ARR)对比
Table 1: 不同MCP环境中拒绝率(RR)和攻击实现率(ARR)对比
DeepSeek-V3.2与其他判断模型的相关性
Table 3: DeepSeek-V3.2与其他判断模型的相关性
Token使用和成本估算
Table 6: Token使用和成本估算
风险类别定义
Table 7: 风险类别定义
攻击风格定义
Table 8: 攻击风格定义
各MCP环境的代表性可调用工具
Table 9: 各MCP环境的代表性可调用工具
5个MCP环境中攻击成功等级分布
Figure 3: 5个MCP环境中攻击成功等级分布
ARR和RR随迭代次数的变化(5环境平均,含95%置信区间)
Figure 4: ARR和RR随迭代次数的变化(5环境平均,含95%置信区间)
5个MCP环境的归档覆盖热图(合并)
Figure 5: 5个MCP环境的归档覆盖热图(合并)
T-MAP、ZS、SE在9个目标模型上的性能
Figure 6: T-MAP、ZS、SE在9个目标模型上的性能
跨模型迁移性评估(pass@5)
Figure 7: 跨模型迁移性评估(pass@5)
多MCP链配置的攻击成功等级分布
Figure 8: 多MCP链配置的攻击成功等级分布
判断模型与人类标注者的混淆矩阵
Figure 9: 判断模型与人类标注者的混淆矩阵
5个MCP服务器的ARR和RR迭代进化曲线
Figure 19: 5个MCP服务器的ARR和RR迭代进化曲线
5个MCP环境的归档覆盖热图(分环境)
Figure 20: 5个MCP环境的归档覆盖热图(分环境)
CodeExecutor中的实现攻击示例
Figure 26: CodeExecutor中的实现攻击示例
Slack中的实现攻击示例
Figure 27: Slack中的实现攻击示例
Gmail中的实现攻击示例
Figure 28: Gmail中的实现攻击示例
Playwright中的实现攻击示例
Figure 29: Playwright中的实现攻击示例
Filesystem中的实现攻击示例
Figure 30: Filesystem中的实现攻击示例
Slack + CodeExecutor多MCP环境中的实现攻击示例
Figure 31: Slack + CodeExecutor多MCP环境中的实现攻击示例
查看结构化数据
任务指标本文基线提升
MCP环境红队测试(5环境平均) 攻击实现率ARR 57.8% SE: 32.5%, IR: 15.6%, MT: 10.0%, ZS: 1.9% 相对SE提升77.8%,相对ZS提升2942%
MCP环境红队测试(5环境平均) 拒绝率RR 12.5% SE: 23.1%, IR: 50.3%, MT: 63.1%, ZS: 87.8% 相对SE降低45.9%,相对ZS降低85.8%
多样性评估 不同成功轨迹数|HL3| 21.80 SE: 9.20, IR: 12.80, MT: 6.00, ZS: 1.20 相对SE提升136.9%
多样性评估 Self-BLEU 0.25 SE: 0.45, IR: 0.30, MT: 0.32, ZS: 0.33 相对SE降低44.4%,词汇多样性最优
多MCP链配置(3配置平均) 跨服务器轨迹占比 46.28% SE: 16.42%, IR: 22.97%, MT: 20.55%, ZS: 14.29% 相对SE提升181.8%

局限与改进

论文承认的局限性包括:(1) 实验在沙箱环境中进行,真实部署通常有额外的安全措施(权限检查、用户确认、输入验证、执行沙箱),报告的ARR可能无法直接迁移到实际场景;(2) 攻击模型使用DeepSeek-V3.2,其相对较弱的安全对齐有助于生成有效对抗提示,随着模型安全对齐的提升,框架效果可能变化。此外,我观察到以下局限:(3) T-MAP依赖LLM作为判断器评估攻击成功,虽然与人类标注者相关性高(Spearman 0.831-0.969),但在L3级别上判断器比人类更保守(29.8%的人类L3被判断器评为L2),可能低估了实际攻击成功率;(4) 实验仅覆盖5个MCP环境,虽然具有代表性,但未涵盖更多实际部署场景如数据库操作、支付系统等;(5) 每个环境生成300个提示的成本约4-14美元,多环境或多模型测试的成本会显著增加;(6) T-MAP的4个LLM组件(变异器、分析器、判断器、TCG提取器)均使用同一个模型(DeepSeek-V3.2),可能存在系统性偏差。

独立分析的弱点

独立分析的弱点及改进方向:(1) 环境多样性不足——实验仅覆盖5个MCP环境,且均为相对简单的单服务器配置。改进方向:扩展到更多实际部署场景,如集成数据库、支付网关、IoT设备控制等高风险环境,并测试更长的多服务器链式攻击。(2) 判断器依赖单一模型——虽然DeepSeek-V3.2与人类相关性高,但在L3评估上存在保守偏差。改进方向:集成多个判断模型进行投票,或训练专门的攻击成功分类器来提高评估准确性。(3) 进化搜索效率——当前方法每个环境需要300次完整的智能体执行,成本和时间开销较大。改进方向:引入早期停止机制(当连续N个迭代无改进时停止)或使用轻量级代理模型快速筛选候选提示。(4) 攻击提示可检测性——论文未评估生成的攻击提示是否容易被现有的安全过滤器检测到。改进方向:增加对攻击提示隐蔽性的评估指标,如困惑度、与正常提示的相似度等。(5) TCG泛化能力——当前TCG是环境特定的,无法跨环境迁移。改进方向:探索通用的工具调用模式表示,或使用迁移学习在新环境中快速初始化TCG。

未来方向

作者提出和可延伸的未来研究方向:(1) 防御机制开发——基于T-MAP发现的攻击模式,开发针对性的防御策略,如工具调用序列监控、异常检测等。(2) 真实世界部署评估——在包含权限检查、用户确认等安全措施的实际系统中评估T-MAP的有效性,建立更现实的安全评估基准。(3) 自适应攻击者——研究能够动态调整策略的攻击者模型,绕过运行时安全检测。(4) 多智能体系统——扩展T-MAP到多智能体协作场景,发现智能体间交互产生的新兴安全漏洞。(5) 安全对齐优化——利用T-MAP发现的攻击轨迹作为训练数据,改进LLM智能体的安全对齐。(6) 标准化安全评估——将T-MAP的方法论发展为LLM智能体部署前的标准安全评估流程,类似于传统软件的渗透测试。

复现评估

复现评估:论文代码已开源(https://github.com/pwnhyo/T-MAP),提供了完整的实现。数据方面,实验使用标准化的MCP服务器(均有官方开源实现),工具定义在Table 9中详细列出。算力需求方面,每个单服务器环境的成本约4-14美元(Table 6),主要消耗在攻击模型(DeepSeek-V3.2,$0.28/$0.42 per 1M tokens)和目标模型(GPT-5-mini,$0.25/$2.00 per 1M tokens)的API调用上。复现难度中等:需要配置5个MCP服务器环境,理解MAP-Elites框架的实现细节,以及正确设置LLM判断器的评估标准。论文提供了详细的meta-prompts(Figures 10-16)和完整的算法伪代码(Algorithm 1),降低了复现门槛。需要注意的是,论文使用的模型版本(如GPT-5.2、Gemini-3-Pro等)可能随时间更新,复现结果可能略有差异。