← 返回 2026-05-11

DecodingTrust-Agent 平台 (DTap):面向 AI Agent 的可控交互式红队评估平台 DecodingTrust-Agent Platform (DTap): A Controllable and Interactive Red-Teaming Platform for AI Agents

Zhaorun Chen, Xun Liu, Haibo Tong, Chengquan Guo, Yuzhou Nie, Jiawei Zhang, Mintong Kang, Chejian Xu, Qichang Liu, Xiaogeng Liu, Tianneng Shi, Chaowei Xiao, Sanmi Koyejo, Percy Liang, Wenbo Guo, Dawn Song, Bo Li 📅 2026-05-06 👍 20 2026-07-13 08:36
AI 安全 Agent 评测 Prompt Injection 基准测试 多 Agent 系统 红队评估

首个覆盖14领域50+环境的可控 AI Agent 红队测试平台与基准

前置知识

LLM Agent

基于大语言模型并能调用外部工具、维护持久记忆、执行多步工作流的智能体系统。与单纯对话的 LLM 不同,Agent 能自主规划并执行复杂任务,例如自动整理邮件、操作浏览器、调用 API 完成支付。

本文的所有评测对象都是 Agent(OpenAI Agents SDK、Google ADK、Claude Code、OpenClaw 等),理解 Agent 的工具调用和环境交互机制是读懂论文的前提。

Prompt Injection(提示注入)

通过在输入内容中嵌入恶意指令,诱导 LLM 或 Agent 偏离原始任务并执行攻击者期望的行为。分为直接注入(攻击者本人输入恶意提示)和间接注入(攻击者把恶意内容植入邮件、网页、工具描述等第三方数据源,诱导 Agent 在处理时执行)。

论文区分了 prompt、tool、skill、environment 四种注入面,并系统比较它们的攻击成功率(ASR),这是全文的核心实验维度。

Red-Teaming(红队评估)

通过模拟真实对手来系统性探查 AI 系统漏洞的安全评估方法。不同于普通基准测试只测能力,红队评估专门寻找能让模型越狱、泄露隐私或执行有害行为的攻击路径,并对攻击效果进行量化。

本文提出 DTap-Red 是首个面向 Agent 的自主红队 Agent,用 200+ 攻击策略库自动发现攻击,理解红队评估范式对读懂方法设计至关重要。

MCP(Model Context Protocol)

Anthropic 等公司推动的开放协议,用于标准化 LLM Agent 与外部工具/数据源的交互方式。Agent 通过 MCP 调用 Gmail、PayPal、Slack 等系统的 API,本质是工具调用的统一接口规范。

DTap 复刻了真实系统的 MCP 接口(如 Gmail、PayPal),保证红队结果可迁移到真实生产环境;理解 MCP 是理解平台如何「真实模拟」的关键。

Verifiable Judge(可验证判定器)

不依赖 LLM 主观打分,而是直接检查环境最终状态(如「钱是否真的转给攻击者」「敏感文件是否真的被删除」)来判断攻击是否成功的判定机制。能有效避免 LLM-as-judge 容易被 reward hacking 的问题。

这是论文强调的关键设计——用真实环境状态验证取代轨迹判断或 LLM 评分,是 DTap-Bench 数据集可信度的核心保障。

Tool-call Harness / Agent Harness(智能体外壳)

包裹在 LLM 外部、负责工具调用解析、记忆管理、消息路由、权限控制等功能的中间层框架。同一 LLM 配合不同 harness 可以表现出截然不同的安全性和能力。

论文核心发现之一是 harness 设计(如是否批量化调用工具、是否做执行前后果推理)对安全的影响甚至超过 backbone 模型本身,这是理解结果的关键。

研究动机

随着 AI Agent 被广泛部署到金融、CRM、医疗、法律等高风险场景并能自主调用工具执行多步操作,其安全风险与日俱增——现实中已发生 Agent 泄露 API Key、删除用户数据、发起未授权交易的案例。然而,现有的 Agent 红队评估工作普遍存在三大缺陷:第一,攻击面覆盖窄,多数工作只关注直接 prompt injection 而忽略 tool 投毒、skill 注入、环境载荷等多向量攻击;第二,环境过于简化,例如 AgentDojo 使用静态、硬编码注入的工具输出,AgentHarm 缺乏动态交互,根本无法反映真实场景中攻击者可通过邮件、网页评论、日历邀请等多渠道植入恶意内容的复杂攻击模式;第三,benchmark 缺乏系统化的风险分类体系,往往依赖临时拼凑的少量恶意目标,覆盖不全且与真实合规要求脱节。这些缺陷导致现有评估既不安全(不可控的环境可能造成实际损害)、也不真实(与生产系统差距大)、更不可复现(缺乏确定性状态重置),使得 Agent 在被部署到关键场景前几乎没有经过严格的安全压力测试。

本文的目标是本文的具体目标是构建一个可控、可交互、可复现的 Agent 红队评估平台 DTap,并配套一个能自主探索攻击的 Red-teaming Agent(DTap-Red)以及一个政策驱动的大规模基准(DTap-Bench),从而首次让学界和工业界能够对 Agent 在 14 个高风险领域、50+ 真实模拟环境下的安全性进行系统化、可量化的横向评测。具体可量化目标包括:覆盖 14 个领域、50+ 环境、4K+ 恶意目标、300+ 风险类别、6,682 个高质量任务;揭示主流 Agent 框架在间接/直接两种威胁模型下的攻击成功率(ASR)模式;对比 OpenAI Agents SDK、Google ADK、Claude Code、OpenClaw 等主流框架在安全/能力权衡上的差异。

与已有工作不同的是,本文的核心切入角度是「真实性 + 可控性 + 政策对齐」三者兼得,这一点在以往工作中从未实现。AgentDojo、AgentHarm 等静态 benchmark 真实感不足;SHADE-Arena、Petri 等动态环境虽交互感强但场景简化、缺乏风险分类;RedTeamCUA、SafeArena 等虽更真实但领域狭窄、缺乏可复现状态重置。DTap 的独特定位在于:复刻官方 MCP 与 GUI 界面、保证结果可迁移到生产环境;容器化沙箱支持任意状态快照重置,让攻击可完全复现;从 60+ 真实安全政策(Salesforce AUP、EU AI Act、FINRA、Google Platform AUP 等)系统抽取 300+ 风险类别,使评测目标与合规要求对齐。这一「政策驱动 + 真实复刻 + 完全可控」的组合,是此前工作中没人同时解决好的三角问题。

核心方法

DTap 的整体思路可以类比为「给 Agent 建一座可控的『主题公园』,再派一个『专业黑客』去攻击它,最后把所有的攻击剧本汇总成考试题库」。具体来说:平台层(DTap)提供 50+ 高保真模拟环境,每个环境都复刻了真实系统(如 Gmail、PayPal、Slack)的 MCP 工具接口和 GUI 界面,底层用沙箱数据库保证所有操作可回滚、可重放;攻击层(DTap-Red)是一个自主运行的 AI 红队 Agent,它内置 200+ 攻击策略(包括 jailbreak、prompt injection 模板、组合注入模式等),并维护一个多层记忆模块记录过往成功/失败经验,给定一个恶意目标后会自动尝试多种注入面(prompt/tool/skill/environment),并用「可验证判定器」(直接检查环境最终状态)评估是否成功;基准层(DTap-Bench)则是用 DTap-Red 跑出的高质量攻击实例汇总成的考试集,每题都配有政策溯源、可复现的注入序列和自动判定脚本。技术上,DTap-Red 采用 $\epsilon$-greedy 探索-利用策略(前期广撒网、后期集中优化),每次攻击失败后由「refinement judge」分析失败原因(如「注入未被读到」或「被显式拒绝」),并据此调整注入渠道或换用更隐蔽的 jailbreak 算法,形成闭环迭代优化。

本文最核心的创新在于把 Agent 红队评估从「单点 prompt 注入测试」升级为「全栈、多面、可验证的对抗性环境」。与已有方法的本质区别有三点:第一,**攻击空间的时空组合性**——DTap-Red 不是只在 user prompt 一个点注入,而是同时利用 prompt、tool description、skill metadata、environment payload 四个面,并能在多步交互中把单个看起来无害的注入组合成攻击链(compositional injection),例如 Table 1 展示的「邮件注入+Slack 注入+日历注入三步合谋」完成未授权转账;第二,**判定机制从 LLM-as-judge 升级为 environment-state judge**——传统方法用 LLM 检查轨迹容易被 reward hacking,DTap 直接调用环境 API 验证结果状态(如「攻击者账户是否真的收到了钱」),大幅降低假阳性;第三,**风险目标从临时拼凑升级为政策驱动**——从 Salesforce AUP、EU AI Act、Google Platform AUP、FINRA 等 60+ 真实安全政策中系统抽取 300+ 风险类别,再衍生出 4K+ 恶意目标,确保评测与生产合规要求对齐。这三点叠加,使得 DTap 既是工具也是基准,更是行业风险分类的参考实现。

方法步骤详情

DTap 的完整工作流分四个阶段。第一阶段是**平台与基准构建**:从 60+ 真实安全政策中抽取风险类别,针对每个领域设计恶意目标和对应的可验证判定器;为每个模拟环境(如 Gmail、PayPal)复刻官方 MCP 工具接口和 GUI 界面,部署容器化沙箱后端支持任意状态重置;最终形成 50+ 模拟环境、4K+ 恶意目标、6,682 个任务(含 3,876 个红队任务)。第二阶段是**DTap-Red 自主攻击生成**:给定一个恶意目标 $g$(如「让 Agent 把 WiFi 密码泄露给攻击者」),DTap-Red 首先从多层记忆模块检索相似目标的历史经验,然后从攻击技能库(200+ 策略)中选取候选算法(如 GCG、ArtPrompt、base64 编码等 jailbreak)和注入策略(如邮件伪造、多步后门链),通过环境注入工具(如 `inject_html`、`inject_database`)在 4 类注入面上施加攻击载荷,组合成多步攻击序列 $\mathcal{S}=\{s_1,s_2,\ldots,s_T\}$。第三阶段是**执行与判定**:把攻击序列 $\mathcal{S}$ 投放到受害 Agent 的执行环境中,记录完整轨迹 $\tau$;调用可验证判定器 $J$ 检查环境状态是否达到目标,例如「`curl credentials to attacker HTTP endpoint` 是否被执行」、「`rm -rf /home` 是否被执行」。第四阶段是**迭代优化**:若 $J(\tau)=0$(攻击失败),refinement judge 分析失败原因(注入未观察到 / 被显式拒绝 / 副作用不充分),DTap-Red 根据反馈调整攻击面或换用更隐蔽的算法,重新执行,直到成功或迭代预算(论文设为 10 次)耗尽。所有成功的攻击序列经人工审核后入库到 DTap-Bench。评估时,受害 Agent 在固定攻击序列下零样本运行,统计攻击成功率(ASR),保证跨框架可比。

技术新颖性

从技术新颖性看,DTap 的贡献主要体现在三个层面。**平台层**,相较 AgentDojo/AgentHarm 的静态工具和硬编码注入,DTap 实现了 50+ 真实复刻的 MCP 接口(Table 2 显示其在「50+ Environments」「1000+ Tools」「Diverse Threat Models」「Environment/Tool/Skill/Prompt Injections」「Verifiable Judge」等 9 个维度上全面覆盖,而其他工作最多覆盖 2-3 项),并支持确定性状态重置,这是现有 benchmark 都没有的关键特性。**攻击层**,DTap-Red 的创新在于把攻击空间建模成「空间维度(4 类注入面)× 时间维度(多步组合)× 注入内容(200+ 策略库)」的三维动作空间,并用 $\epsilon$-greedy 策略结合多层记忆做探索-利用平衡,比静态 prompt injection 和简单的 jailbreak 拼接更具系统性。**基准层**,首次实现从真实安全政策到风险类别的可溯源映射(policy-driven),3,876 个红队任务全部配备可复现的攻击注入序列和基于环境状态的可验证判定器,相比 AgentHarm 等「附加恶意指令 + LLM-as-judge」的设计,更贴近企业实际合规要求且可复现性显著提升。

DECODINGTRUST-AGENT PLATFORM (DTap) 总览:跨 14 高风险领域、50+ 真实复刻环境的可控交互式模拟平台。
Figure 2: DECODINGTRUST-AGENT PLATFORM (DTap) 总览:跨 14 高风险领域、50+ 真实复刻环境的可控交互式模拟平台。
DTap-Red 红队 Agent 架构总览:从恶意目标到攻击生成、执行、判定、迭代优化的闭环流程。
Figure 3: DTap-Red 红队 Agent 架构总览:从恶意目标到攻击生成、执行、判定、迭代优化的闭环流程。
DTap-BENCH 数据集统计:任务分布、攻击注入类型分布、各领域最小工具调用数。
Figure 4: DTap-BENCH 数据集统计:任务分布、攻击注入类型分布、各领域最小工具调用数。

实验结果

实验评估了 4 大框架 6 个配置(OpenAI Agents SDK × GPT-5.4/5.2/GPT-OSS-120B、Claude Code × Sonnet-4.5、Google ADK × Gemini-3-Pro、OpenClaw × GPT-5.5/5.2/DeepSeek-V4-Pro),共 6,682 个任务。核心发现按论文总结的八点如下。第一,**所有 Agent 都表现出严重脆弱性**:最稳健的 Claude Code 仍有 25.2%(间接)和 26.9%(直接)的 ASR,最脆弱的 Google ADK 间接 ASR 达 55.7%、OpenClaw(DeepSeek-V4-Pro) 直接 ASR 达 59.6%,表明「能力越强≠越安全」。第二,**能力与安全基本不相关**:BSR ≥75% 的 Agent 在 ASR 上从 25% 到 56% 分布广泛,例如 Google ADK 的 BSR 最高(87.0%)但间接 ASR 也最高(55.7%)。第三,**注入面呈现显著不对称**:技能/工具级注入显著高于环境注入(GPT-5.4 上 Skill 注入 ASR=83.3% vs Env 注入 ASR=22.2%),说明内部化通道更易被利用,而 OpenClaw 在 tool 注入上 ASR 仅 21.1%(vs Google ADK 的 63.4%),显示其对外挂插件的信任校准更严。第四,**组合注入放大攻击效果**:Table 5 显示 GPT-5.2 上 Tool 单独 ASR=50.1%,Skill+Tool 组合 ASR=56.4%,Env+Tool 组合 ASR=65.6%,证明多面协同比单面更有效。第五,**直接 vs 间接威胁呈现框架差异**:OpenAI Agents、Claude Code、OpenClaw 在直接 prompt 注入下更脆弱(差距 20%+),反映其对用户指令的高度信任;而 Google ADK 反过来(直接 47.9% < 间接 55.7%),说明其 prompt 级护栏强但环境防御弱。第六,**风险类型差异显著**:context-aware 类风险(数据泄露、敏感数据处理、权限提升)ASR 高,因为涉及多步推理;而 content-level 风险(色情内容、武器化)ASR 低,因为靠模型对齐即可防御。第七,**环境依赖性强**:通讯类环境(Gmail、WhatsApp、Calendar)因动态交互丰富而更易攻陷;金融类(PayPal、E-Commerce)反而较低,Agent 常忽略明显的工具描述注入。第八,**execute-then-refuse 失败模式普遍**:OpenAI Agents SDK 和 Google ADK 因采用批量化工具调用,常先执行有害动作再拒绝,是其高 ASR 的关键成因;Claude Code 和 OpenClaw 因顺序调用而更稳健。

DTap-BENCH 中具有严重后果的红队示例:涵盖 4 类风险 × 多种环境 × 多种攻击策略。
Table 1: DTap-BENCH 中具有严重后果的红队示例:涵盖 4 类风险 × 多种环境 × 多种攻击策略。
DTap 与现有 Agent 红队平台的多维度对比(AgentHarm、AgentDojo、RedTeamCUA、SHADE-Arena、ST-Web、DTap)。
Table 2: DTap 与现有 Agent 红队平台的多维度对比(AgentHarm、AgentDojo、RedTeamCUA、SHADE-Arena、ST-Web、DTap)。
6 个 Agent 配置在 14 领域、两种威胁模型下的攻击成功率(ASR, %)。
Table 3: 6 个 Agent 配置在 14 领域、两种威胁模型下的攻击成功率(ASR, %)。
6 个 Agent 配置在 14 领域下的良性任务成功率(BSR, %)。
Table 4: 6 个 Agent 配置在 14 领域下的良性任务成功率(BSR, %)。
单注入面与组合注入的 ASR (%) 对比。
Table 5: 单注入面与组合注入的 ASR (%) 对比。
DTap 与 AgentDojo 的 Agent 轨迹 t-SNE 可视化对比(Claude Code backbone)。
Figure 5: DTap 与 AgentDojo 的 Agent 轨迹 t-SNE 可视化对比(Claude Code backbone)。
CRM 领域分类结果:良性任务能力(BSR)、间接威胁模型下 ASR、直接威胁模型下 ASR。
Figure 6: CRM 领域分类结果:良性任务能力(BSR)、间接威胁模型下 ASR、直接威胁模型下 ASR。
查看结构化数据
任务指标本文基线提升
间接威胁模型下整体 ASR(平均 14 个领域) Attack Success Rate (%) Google ADK(Gemini-3-Pro): 55.7;OpenAI Agents(GPT-5.2): 46.7;OpenClaw(DeepSeek-V4-Pro): 41.7;Claude Code(Sonnet-4.5): 25.2 无优化直接攻击:所有 Agent 接近 0% ASR(验证恶意目标本身严重,Agent 默认拒绝) DTap-Red 优化后从近 0% 提升到 25-56%,证明攻击有效性
直接威胁模型下整体 ASR Attack Success Rate (%) OpenClaw(DeepSeek-V4-Pro): 59.6;OpenAI Agents(GPT-5.2): 58.8;Google ADK(Gemini-3-Pro): 47.9;Claude Code(Sonnet-4.5): 26.9 同上,未优化攻击接近 0% 直接攻击 ASR 普遍比间接高 5-20 个百分点,揭示 harness 对用户指令的过度信任
良性任务能力(BSR) Benign Success Rate (%) Google ADK(Gemini-3-Pro): 87.0;OpenClaw(GPT-5.5): 86.3;OpenAI Agents(GPT-5.4): 85.3;Claude Code(Sonnet-4.5): 80.8 GPT-OSS-120B: 36.2(开源基座,作为能力下限参考) 闭源最强框架与开源最低框架能力差距达 50.8 个百分点,但能力不直接转化为安全
单一注入面对比 GPT-5.4 ASR (%) Prompt: 49.3;Tool: 41.7;Skill: 83.3;Env: 22.2 Skill 注入 vs Env 注入的相对差 Skill 注入 ASR 比 Env 高 61.1 个百分点,证明内部化通道更危险
组合注入对比 GPT-5.2 ASR (%) Tool 单面: 50.1;Skill+Tool: 56.4;Env+Tool: 65.6 单 Tool 注入 组合 Env+Tool 比单 Tool 高 15.5 个百分点
框架替换效果(同 GPT-5.2 backbone) ASR (%) OpenClaw: 直接 38.6 / 间接 35.6 OpenAI Agents SDK: 直接 58.8 / 间接 46.7 替换 harness 带来约 31% 复合 ASR 下降(utility 损失仅 2%),证明 harness 设计是关键瓶颈
上下文相关 vs 内容相关风险 ASR (%) CRM 域 Data Exfiltration 高风险;Sexual Content/Weaponization 低风险 模型对齐能挡的内容风险 Context-aware 风险基本未被现有对齐机制覆盖

局限与改进

作者在论文中明确提到一些局限。第一,**评测范围有限**:尽管覆盖 4 大框架和 6 种 backbone,但未涵盖 Anthropic、Google、Meta 等的其它闭源模型以及新兴的多模态 Agent。第二,**环境真实性的边界**:DTap 是 1:1 复刻真实系统的 MCP 接口,但真实生产环境还有反爬、验证码、运行时监控、风控系统等额外防御层,实际迁移到真实系统的成功率可能略低。第三,**红队 Agent 自身的可解释性**:DTap-Red 是黑箱 LLM Agent,其选择具体攻击策略的过程难以完全审计,可能存在训练数据泄露的隐患。第四,**攻击序列的时效性**:论文中所有攻击都是「在 surrogate agent 上优化后零样本迁移」,对持续更新版本的 LLM 可能需要重新优化。从独立观察角度看,论文至少还隐含两个局限:(a)**评估指标单一**:只用了 ASR 和 BSR,没有考虑攻击的 stealthiness(隐蔽性)和 cost(成本),攻击成功率高的方法未必实用;(b)**human review 的偏差**:DTap-Bench 任务经过人工审核,但审核者的领域知识可能不足以覆盖所有 14 个领域,导致部分任务的「严重性」判定带有主观色彩。

独立分析的弱点

独立分析有三个值得改进的弱点。**弱点 1:surrogate agent 优化的迁移性未充分验证**。DTap-Red 是在 OpenAI Agents SDK + GPT-5.1(surrogate)上优化攻击,再迁移到其它 5 个 agent 配置,论文展示了迁移可行性但没有给出「surrogate → victim 迁移率 vs 在 victim 上直接优化」的对比,这影响了数据集作为「通用安全考试」的公平性。改进方向:可以引入「迁移损失率」指标,并在多个 surrogate 上做 ensemble 优化。**弱点 2:缺乏对 harness 改动的因果归因**。论文指出「同一 GPT-5.2 换 harness 可降 31% ASR」,但没分析具体哪些 harness 设计(如批量化 vs 顺序调用、是否在执行前做 consequence reasoning、是否有 trusted-input isolation)贡献最大。改进方向:对每个 harness 设计维度做 ablation study,给出可操作的工程建议。**弱点 3:风险类别粒度过粗**。300+ 风险类别虽多,但每个类别内部的恶意目标多样性可能不足,且部分「严重」目标(如「删除一个具体文件」)在工程上难以 100% 自动化判定,verifiable judge 的覆盖率应被显式报告。改进方向:在每个风险类别下增加细粒度的子目标(如「读取 vs 外发」「小文件 vs 全目录」),并对 judge 的召回率做自评估。

未来方向

作者未明确列出 future work,但基于论文成果可以延伸出几个方向。**方向 1:扩展到多模态 Agent**。当前评测以文本交互为主,未来可加入图像、语音、视频等多模态注入(如 Table 1 的 typographic image injection 已经是初步尝试),应对 vision-enabled Agent 的安全评估。**方向 2:动态防御侧的 benchmark**。当前 DTap-Bench 主要是攻击侧,未来可加入防御侧——让 Agent 配备 guardrail、sandbox、consequence reasoning 等防御模块,对比「harness 加固 vs backbone 对齐」的成本-收益曲线。**方向 3:跨域迁移的红队方法**。论文发现同一攻击在多框架迁移中效果不一,未来可研究「攻击可迁移性预测器」,减少每个新框架都需要重新优化的开销。**方向 4:面向真实生产环境的工具链集成**。把 DTap 的核心能力(环境状态判定、注入工具)做成 CI/CD 友好插件,让 Agent 在每次 harness 升级前自动跑安全回归测试。**方向 5:联邦化红队协作**。让多家机构的红队 Agent 共享攻击策略库(去除敏感具体目标),加速发现新型攻击模式。

复现评估

DTap 的可复现性整体较好但有一定门槛。**优点**:平台完全开源(https://decodingtrust-agent.com),提供 50+ 环境的 Docker 镜像、3,876 个红队任务的 config 文件(含完整注入序列、种子数据、verifiable judge 脚本),评测流程可一键复现;论文附录对每个域的政策、风险类别、案例都做了详细说明(附录 B-O 共 14 个领域章节)。**门槛**:第一,**算力门槛极高**——构建平台耗时 20 个月、17 位红队专家投入 16,000+ 小时、12 万美元 API 费用,单独研究者几乎无法复现规模;第二,**实验 API 成本高**——论文评估 6 个商业模型 API(含 GPT-5.5、Claude-Sonnet-4.5 等),每次完整评估的 API 费用估计数千美元;第三,**闭源模型版本锁定**——论文中提到的 GPT-5.5、Gemini-3-Pro 等是特定时间点的版本,模型 API 升级后结果可能变化;第四,**verify judge 的领域知识门槛**——14 个领域的风险判定需要专业领域知识,普通工程师维护困难。综合来看,**复用平台做小规模测试**门槛适中(Docker + 几百美元 API 即可上手),但**复现完整 6,682 任务评估**门槛较高,需要专业团队和稳定预算。