← 返回 2026-05-12

FORTIS:面向智能体技能的过度授权基准测试 FORTIS: Benchmarking Over-Privilege in Agent Skills

Shawn Li, Chenxiao Yu, Han Wang, Wei Yang, Ryan Rossi, Franck Dernoncourt, Xiyang Hu, Philip Yu, Chaowei Xiao, Huan Zhang, Yue Zhao 📅 2026-05-09 👍 3 2026-07-13 08:36
基准测试 工具选择 技能层 智能体安全 最小特权原则 过度授权

提出两阶段基准,量化LLM智能体在技能选择与执行中普遍存在的过度授权问题

前置知识

LLM智能体(LLM Agent)

基于大语言模型驱动的智能体系统,通过规划、工具调用与受限自主性完成任务。它通常不直接从用户原始请求出发,而是先解析意图,再调用一系列工具或子模块来执行具体动作。ReAct、Toolformer 等都是这一范式的代表性工作。

FORTIS 的整个研究对象就是 LLM 智能体,理解智能体如何在用户意图与底层工具之间插入中间抽象层,是把握本文问题定位的前提。

技能层(Skill Layer)

智能体系统中位于用户意图与底层工具执行之间的一层抽象,由可复用模块组成。每个技能描述了应执行的任务类型、允许的作用域以及通常涉及的流程或工具。技能层让智能体系统更易规模化、模块化,并提供高级意图到低层执行之间的桥梁。

本文的核心创新就在于把技能层从组织抽象重新定义为权限边界(privilege boundary)。理解技能层的结构是理解 FORTIS 评测目标的前提。

最小特权原则(Principle of Least Privilege)

源自信息安全领域的基本原则:系统中的每个主体只应被授予完成其任务所必需的最小权限。在智能体语境下,这意味着完成一个请求时应选择权限等级最低、作用域最窄的技能与工具,而不是图省事调用更宽泛的接口。

FORTIS 评测的核心就是模型是否自发遵循最小特权原则。Task 1 测技能选择是否最小充分,Task 2 测工具执行是否停留在技能边界内。

五级权限分层(Privilege Hierarchy L0–L4)

FORTIS 为每个领域(邮件、电商、文件系统)的技能和工具引入统一的五级权限标度,从 L0(仅观察/只读、需要显式参数)逐级上升到 L4(批处理/管理权限、参数负担少、作用域广)。低层级能力更窄、参数更多;高层级能力更广、参数更少。

该分层是 FORTIS 评测的标尺:评测时不会向模型展示层级标签,但通过该层级判定模型选择是否过度授权。理解参数负担梯度(parameter-burden gradient)是理解为何更宽泛的能力在实践中更具吸引力的关键。

智能体评测基准(Agent Benchmark)

用于系统化衡量智能体在工具使用、规划、安全等维度表现的标准化测试集。代表性工作包括 AgentBench、WebArena、ToolBench 等,主要关注任务完成率。FORTIS 与之不同,把焦点放在能力激活本身是否过度授权。

读者需要理解 FORTIS 在智能体评测谱系中的位置:它不是衡量任务成功率,而是衡量在多种可行能力并存时模型是否克制选择更宽泛的能力。

研究动机

现有 LLM 智能体的工具调用范式普遍依赖一个中间技能层:可复用技能模块描述了任务类型、允许作用域和相关工具。这一抽象虽然便于工程复用,却悄悄引入了一类新的权限风险——智能体可能在选择技能或执行技能时擅自升级权限,超出用户请求真正所需的范围。这一问题在两条路径上同时存在:一是技能选择阶段,面对几十甚至上百个功能重叠但权限等级不同的技能时,模型倾向于选择更广、更便利的高权限技能;二是技能执行阶段,技能描述本身是自然语言写的,缺乏硬约束,即使模型正确选择了技能,在调用工具时仍可能漂移到更宽泛的动作集合。已有工作要么关注对抗攻击(如 prompt injection),要么衡量任务完成率(如 AgentBench、WebArena),鲜有工作把技能层本身作为评测对象,更没有把"过度授权"量化成一个可比较的数字。

本文的目标是本文的核心目标是构建 FORTIS(benchmarking over-privilege in agent skills),把"过度授权"从直觉感受变成可测量的评测指标。FORTIS 设计为两阶段评测:Task 1(Skill Selection)衡量智能体能否从一个大型技能库中选出最小充分的技能,而不是图省事挑选更宽泛的高权限替代;Task 2(Skill-Grounded Tool Selection)衡量智能体在已经被分配某个技能后,能否在完整技能文档的约束下选择出最小可行的工具子集,而不是越界调用更宽泛的工具。整体目标是揭示:当窄路径和宽路径在语义上都可行时,前沿大模型究竟能不能自发地选择窄路径。

与已有工作不同的是,FORTIS 的独特切入角度在于三点同时具备:第一,把技能层(而非单个工具或单个 prompt)作为评测单元,揭示了过往被忽视的权限升级源头;第二,借助精心构造的"跨层级重叠"——很多请求在多个权限层级都有可行解——使得克制(restraint)成为可被观测的、可被量化的行为属性,而不是被评测构造默认掉;第三,把同一评测在 10 个前沿模型、3 个领域、4 类语义设置(Clean Baseline / Scope-Ambiguous / Convenience-Sensitive 等)上同时展开,得到跨越模型家族的强一致结论:当前几乎所有前沿模型在技能层都不能可靠地保持最小特权,能力升级并不自动带来安全升级。

核心方法

FORTIS 的整体思路是:先为每个领域构造一套明确的权限分级体系,再让高层级能力有意"包含"低层级能力的功能(构造跨层级重叠),然后基于这一重叠设计查询集合,使得对每个请求同时存在窄路径和宽路径两种可行方案,最后在两阶段任务上分别测模型选窄还是选宽。直觉上,FORTIS 不关心模型能不能完成请求(多数请求模型都能完成),而关心模型在能完成的前提下会不会克制地走窄路径。这一思路区别于传统智能体基准——后者把每个查询当作单一目标去评分,FORTIS 则把每个查询构造为权限选择题。技术路线上,FORTIS 用形式化的最小特权目标函数定义 ground truth:Task 1 中 $s^\star(q, d) = \arg\min_{s \in \Gamma_d(q)} \ell_S(s)$,Task 2 中 $\tau^\star(q, s, d) \in \arg\min_{\tau \in \Phi_d(q,s)} (\max_{t \in \tau} \ell_T(t), |\tau|)$,先最小化权限再最小化集合大小,从而保证 ground truth 在权限层级上唯一。

FORTIS 的核心创新是把"过度授权"从概念争论变成结构化、可量化的评测对象。具体而言,它通过三层结构同时成立来让克制成为可测属性:(1)显式的五级权限标度 $\ell_S(s), \ell_T(t) \in \{0,1,2,3,4\}$ 给出安全序;(2)受控的跨层级重叠使得 $\exists s_{\text{low}}, s_{\text{high}}$ 同时可行;(3)参数负担梯度(低层级需要更显式参数,高层级用更少输入即可覆盖更广作用域)让宽路径在实践中天然更具吸引力。已有方法(如 AgentBench、WebArena)只关心任务完成率,把每个查询当作单点目标,因此无法度量克制;FORTIS 的本质区别在于:它把"完成请求"这一单变量问题扩展为"在多个可行解中选最小特权解"的双变量问题,并显式测量第二变量。

方法步骤详情

FORTIS 的构建与评测分为四个相互衔接的步骤。第一步,领域与权限分层设计。选取邮件(email)、电商(e-commerce)、文件系统(filesystem)三类典型智能体环境,每个领域为技能集合 $S_d$ 和工具集合 $T_d$ 各分配一个五级权限标度 $\ell_S, \ell_T$,其中 L0 为只读观察、L4 为批处理/管理权限,但层级标签不会展示给模型。第二步,构造跨层级重叠。每个领域生成 20 个技能和 56–62 个工具,对高层级技能/工具进行有意的功能包含和作用域扩展,并显式构造参数负担梯度:高层级能力用更少参数即可完成同样请求,这一步是制造"宽路径天然具吸引力"的关键。第三步,生成查询集合。Task 1 共 600 条查询(每领域 200),Task 2 共 1543 条查询(每领域 499–524),每个查询预先验证存在唯一的最小特权 ground truth 技能 $s^\star$ 和最小可行工具集 $\tau^\star$。两阶段还分别覆盖四种语义设置:Task 1 包含 Clean Baseline(CB)、Scope-Ambiguous(Sc)、Lexical-Ambiguous(Lx)、Action-Implication Ambiguous(AI);Task 2 包含 CB、Convenience-Sensitive(CS)、Broad-Action Justified(BA)、Boundary-Sensitive(BS)。第四步,模型评测。两阶段均固定 prompt,温度设为 0.0,Task 1 模型只看到技能短描述并输出单选技能名,Task 2 模型看到查询、分配技能、完整 SKILL.md 文档以及完整工具清单后输出工具子集 $\hat{\tau}$。每条查询打四类标签(exact_match / under_privilege / over_privilege / no_action),聚合后报告 EM、OPR、NAR 和 FR 四个指标。

技术新颖性

FORTIS 在评测设计层面的新颖性主要体现在三点。其一,技能层作为评测对象本身是新提法。过往工作如 ToolBench、AgentBench、WebArena 把评测放在工具调用或任务完成层面,FORTIS 第一次把技能路由和技能执行拆成两阶段独立评测,并把过度授权率作为主指标。其二,重叠 + 参数负担梯度的双重构造是新颖的。重叠保证窄宽解并存,参数负担梯度保证宽解在真实使用中天然更具吸引力——这两个条件缺一不可,缺前者评测坍缩为匹配问题,缺后者宽路径没有实际诱惑。其三,分析维度的精细化是新贡献。文章不仅报告平均 fail rate,还在四个语义子设置、三个领域、十个模型上做了交叉分解,特别是揭示出"clean baseline 与峰值之间的 $\Delta$ 普遍超过 67 个百分点"这一结构性观察,并指出能力升级(如 GPT-5.4-mini→GPT-5.4)甚至可能让所有设置同时变差,从而挑战了"更大模型更安全"的默认假设。

Overview of the two-stage evaluation in FORTIS. Task 1 evaluates whether the model selects a minimally sufficient skill from overlapping options. Task 2 evaluates whether the model executes the assigned skill without exceeding its boundary.
Figure 2: Overview of the two-stage evaluation in FORTIS. Task 1 evaluates whether the model selects a minimally sufficient skill from overlapping options. Task 2 evaluates whether the model executes the assigned skill without exceeding its boundary.

实验结果

FORTIS 在 10 个前沿模型、3 个领域共 2143 条查询上的结果给出四项主要发现。第一,技能路由在调用任何工具之前就已经大规模失败。Task 1 的 fail rate 区间为 35.5%–52.7%,最优模型 Claude Opus 4.7 仍有 35.5% 的路由错误,GPT-5.4 的 fail rate 高达 52.7%。这意味着超过三分之一的请求在选择技能阶段就已经越界。第二,几乎所有失败都是过度授权而不是过度谨慎。Task 2 上有 8/10 模型的 OPR/FR 比值落在 0.92–1.00 区间,NAR 在 7 个模型上都低于 1.5%,说明模型几乎是"积极地把请求做过头",而不是因为保守而漏做。第三,便利性诱惑与边界模糊把失败率推高到 75% 以上。Task 2 在 Convenience-Sensitive 设置下 fail rate 范围 75.0–97.8%(Gemini 3 Flash 达 97.8%),Boundary-Sensitive 范围 71.1–96.0%(GPT-5.4 达 96.0%)。即便在 Clean Baseline 这一最理想的条件下,Task 2 的 fail rate 仍有 19.0%–50.9%,说明"陈述限制"并没有真正被模型当作硬约束。第四,端到端成功普遍低于 15%。把 Task 1 与 Task 2 的 EM 相乘作为乐观上界,最强的 Claude Opus 4.7 也只有 14.3% 端到端成功,最差的 GPT-5.4 只有 6.4%(图 3 的漏斗直观展示了逐级崩溃)。一个反直觉的额外发现是:能力升级并不必然提升安全。GPT 家族从 mini 到完整版在所有 8 个子设置上全部变差;Gemini Flash→Pro 在边界设置上提升超 12 点但在 Clean Baseline 退化 18 点;只有 Claude 家族在难度更高的设置上有改善,clean 条件下则饱和。文章由此得出结构化结论:当前前沿模型并不把最小特权当作通用属性来保持,它只在"最小阻力恰好对齐最小特权"的窄条件下才近似成立。

FORTIS benchmark statistics by domain. Avg. Skill Tokens denotes the average tokenized length of full SKILL documents. Avg. GT Tools denotes the average number of ground-truth tools required per Task 2 query.
Table 1: FORTIS benchmark statistics by domain. Avg. Skill Tokens denotes the average tokenized length of full SKILL documents. Avg. GT Tools denotes the average number of ground-truth tools required per Task 2 query.
Aggregate model performance across all three domains. Task 1 evaluates skill selection over 600 queries. Task 2 evaluates skill-grounded tool selection over 1,543 queries. EM denotes exact-match rate, FR fail rate, OPR over-privilege rate, and NAR no-action rate.
Table 2: Aggregate model performance across all three domains. Task 1 evaluates skill selection over 600 queries. Task 2 evaluates skill-grounded tool selection over 1,543 queries. EM denotes exact-match rate, FR fail rate, OPR over-privilege rate, and NAR no-action rate.
Per-setting fail rates (%) for all evaluated models. Task 1 columns: Clean Baseline (CB), Scope-Ambiguous (Sc), Lexical-Ambiguous (Lx), Action-Implication Ambiguous (AI). Task 2 columns: Clean Baseline (CB), Convenience-Sensitive (CS), Broad-Action Justified (BA), Boundary-Sensitive (BS).
Table 3: Per-setting fail rates (%) for all evaluated models. Task 1 columns: Clean Baseline (CB), Scope-Ambiguous (Sc), Lexical-Ambiguous (Lx), Action-Implication Ambiguous (AI). Task 2 columns: Clean Baseline (CB), Convenience-Sensitive (CS), Broad-Action Justified (BA), Boundary-Sensitive (BS).
End-to-End Success Funnel: Cascading Failures Across Skill Layer.
Figure 3: End-to-End Success Funnel: Cascading Failures Across Skill Layer.
Model Vulnerability Profiles Across Evaluation Settings.
Figure 4: Model Vulnerability Profiles Across Evaluation Settings.
查看结构化数据
任务指标本文基线提升
Task 1: Skill Selection (Clean Baseline) Fail Rate (%) Claude Opus 4.7: 3.3% (最低);GPT-5.4: 10.8%;GPT-5.5: 16.7% Claude Sonnet 4.6: 3.3%;Gemini 3.1-Pro: 10.0%;GPT-5.4-mini: 4.2% 最佳 Opus 4.7 与 Sonnet 4.6 并列最低 3.3%,但平均 Clean Baseline fail rate 仍达约 7.9%,表明即使最理想条件下小比例误路由不可消除
Task 1: Skill Selection (Scope-Ambiguous) Fail Rate (%) GPT-5.4: 87.3%;Claude Opus 4.7: 77.3%;DeepSeek-V4-Flash: 75.3% 其他模型均落在 77.3%–87.3% 之间,平均约 81.6% 相比 Clean Baseline,平均 fail rate 上升约 74 个百分点($\Delta \approx 74$),是 Task 1 中最敏感的子设置
Task 1: Skill Selection (Average Across All Settings) Fail Rate (%) Claude Opus 4.7: 35.5%(最低);GPT-5.5: 51.2%;GPT-5.4: 52.7%(最高) Claude Sonnet 4.6: 40.3%;Gemini 3.1-Pro: 41.2%;Kimi K2.6: 47.8% 即便最优模型也有超过三分之一请求在路由阶段失败,最差超过半数——这是 FORTIS 的核心基线信号
Task 2: Skill-Grounded Tool Selection (Overall) Fail Rate (%) Qwen 3.6-Max: 45.2%(最低);Claude Opus 4.7: 47.4%;Gemini 3.1-Pro: 49.2% GPT-5.4: 66.6%(最高);Gemini 3 Flash: 61.2%;GPT-5.4-mini: 59.3% Task 2 fail rate 普遍比 Task 1 高约 10–15 个百分点,且 OPR/FR 在 8/10 模型上 ≥ 0.92,说明执行阶段的过度授权比路由阶段更普遍
Task 2: Skill-Grounded Tool Selection (Convenience-Sensitive) Fail Rate (%) Gemini 3 Flash: 97.8%(最高);GPT-5.4: 92.0%;Claude Sonnet 4.6: 87.3% 其他模型均 ≥ 75.0%,平均约 84.8% 相比 Clean Baseline,平均 fail rate 上升约 55 个百分点,说明便利性诱惑是把模型推向过度授权的最大单一因素
Task 2: Skill-Grounded Tool Selection (Boundary-Sensitive) Fail Rate (%) GPT-5.4: 96.0%;Gemini 3 Flash: 88.0%;Claude Sonnet 4.6: 87.3% 其他模型 ≥ 71.1%,平均约 82.7% 边界敏感子设置下所有模型 fail rate 都超过 71%,$\Delta$(vs Clean Baseline)平均约 56.8 个百分点,验证了"陈述限制不等于强制限制"
End-to-End Cascading Success EM1 × EM2 (Optimistic Upper Bound, %) Claude Opus 4.7: 14.3%(最佳);Qwen 3.6-Max: 13.3%;Gemini 3.1-Pro: 10.8% GPT-5.4: 6.4%(最差);Gemini 3 Flash: 7.8%;GPT-5.4-mini: 8.6% 所有 10 个模型的端到端成功率均 ≤ 14.3%,即便使用 oracle skill(独立假设),联合成功依然崩溃在 85% 以上

局限与改进

作者在文中明确指出若干局限。第一,端到端成功用 EM1 × EM2 估计,这是基于两阶段独立、忽略错误传播的乐观上界;实际级联中可能更差。第二,评测只覆盖 3 个领域(邮件、电商、文件系统),全部为离线/沙箱环境,未覆盖 GUI 智能体、操作系统级权限、跨域组合等更复杂场景。第三,技能与工具的权限分级是研究者人工标注,可能与真实生产环境的安全分类不完全对应。第四,prompt 模板固定且温度为 0,未测试不同 prompting、Chain-of-Thought、System Message 干预对克制行为的影响——这恰好暗示了减少过度授权的可能干预空间。我自己的观察是:评测结果虽然震撼,但 OPR/FR 接近 1.0 这一极端比值说明模型几乎不会失败为"过于保守",这本身可能反映了评测 prompt 没有显式引导最小特权——加入系统级最小特权指令会怎样,是开放问题。此外,基准只测单回合决策,没有覆盖多步推理下的累积过度授权。

独立分析的弱点

独立分析 FORTIS 的弱点主要在四点。其一,评测仅在零样本、单回合、固定 prompt 下进行,没有覆盖多轮对话、ReAct 风格的逐步决策以及工具执行反馈对后续决策的影响,而这正是真实部署中最容易累积过度授权的场景,改进方向是引入多回合版本并在每步注入工具执行结果。其二,prompt 中没有任何最小特权提示,导致评测结果混合了"模型能力"与"prompt 工程"两个变量,可能高估了"内在失败"的程度;改进方向是增加"有显式最小特权指令"的对照条件,以隔离模型是否会读指令并遵守。其三,评测中工具/技能的权限分级由研究者手工标注,存在主观性,且没有与 NIST、CVSS 等工业界安全分级体系对齐;改进方向是引入多个独立标注者并报告分级一致性系数(Krippendorff's α),或将分级与已有的安全标准映射。其四,3 个领域 60 个技能 174 个工具的规模对当代 frontier 模型而言已经不算大,模型可能通过 memorization 部分缓解,未来需要扩大规模或动态生成查询以避免过拟合。其五,端到端指标用 EM1 × EM2 估计过于乐观,无法刻画错误在级联中的非线性放大,建议补充级联实测或 Monte Carlo 估计。

未来方向

作者在文中直接指向两个方向:(1)技能层安全必须在架构或训练目标层面解决,而非寄希望于模型规模自然带来克制;(2)权限强制必须放在模型外部——在技能或工具调用层做机械校验,而不是让模型自己"读懂"指令。基于成果可延伸的方向还包括:把 FORTIS 扩展到 GUI 智能体、操作系统权限、多智能体协作场景;探索 prompt 层最小特权指令对 OPR 的影响幅度;研究 RLHF / DPO 等对齐方法能否显著压低 OPR 同时保住 EM;把技能层评测与 prompt injection 鲁棒性、jailbreak 鲁棒性联合研究,看过度授权是否与对抗脆弱性共享底层机制;以及构建跨领域的最小特权微调数据集,让模型在保留任务完成能力的同时内化克制行为。

复现评估

FORTIS 的可复现性总体较好。代码与基准已开源(https://github.com/lili0415/FORTIS-Benchmark),包含完整的技能库、工具清单、查询集合、两阶段 prompt 模板以及评测脚本。基准规模可控:3 个领域共 60 个技能、174 个工具、2143 条查询,单个模型的 Task 1 + Task 2 评测可在数小时到一天内完成(取决于 API 速率),不需要大规模 GPU 集群。论文还明确报告了所有 10 个模型的失败率、子设置分解和跨域分解(附录 Tables 5、6),便于独立核对。复现难度主要集中在两点:一是闭源模型的 API 调用与参数设置需要逐一对齐(论文附录 B 给出了执行细节),二是闭源模型版本可能在未来不可访问;这两点会随时间推移降低部分结果的可复现性,但对开源模型(如 Qwen、DeepSeek)以及基准构造本身可以独立验证。