← 返回 2026-07-06

保护AI Agent:多层Agent红队测试统一框架 Securing the AI Agent: A Unified Framework for Multi-Layer Agent Red Teaming

Yong Yang, Xing Zheng, Huiyu Wu, Huangsheng Cheng, Xiaorong Shi, Jing Guo, Bo Yang, Yi Zhou, Xiangfan Wu, Zonghao Ying 📅 2026-06-30 👍 14 2026-07-13 08:37
AI安全 Agent安全 MCP协议 安全评估框架 红队测试

分层匹配检测范式,覆盖AI Agent四层攻击面

前置知识

Model Context Protocol (MCP)

MCP是一种标准化协议,定义了AI助手如何发现和调用外部工具。MCP服务器暴露一组工具,每个工具包含名称、自然语言描述和输入模式。客户端(AI助手)根据需要选择和调用这些工具。这种解耦设计使MCP强大,但也使其成为新的攻击面,因为工具描述作为可信上下文被模型消费,恶意构造的描述可以操纵模型行为。

论文的核心贡献之一是MCP服务器审计,理解MCP如何工作、其攻击面特征以及与传统软件安全的区别,是读懂协议/工具层安全评估的基础。

Jailbreak攻击

Jailbreak(越狱)攻击是指通过精心构造的提示词绕过大语言模型的安全对齐,诱导模型产生本应拒绝的有害内容。攻击手段包括角色扮演(如DAN)、编码混淆(base64、十六进制等)、零宽度字符、多轮对话逐步诱导(crescendo)、攻击树搜索、最佳n采样等。评估模型对越狱的鲁棒性是一个统计问题,需要在大量有害提示上测试多种攻击变换。

论文的第四层(模型层)专门处理LLM越狱评估,涵盖26+攻击算子、16个数据集,理解越狱攻击的多样性和评估方法是理解该层工作原理的关键。

间接提示注入

间接提示注入是一种攻击技术,攻击者将隐藏指令嵌入到AI Agent处理的内容中(如文档、网页、检索结果),诱导Agent执行非预期操作。例如,Agent被要求总结一份文档,而文档中包含隐藏指令。这种攻击利用了Agent将处理内容视为可信上下文的假设,是OWASP LLM Top 10中的首位风险。

论文在多个层面涉及间接提示注入:MCP审计层将其作为漏洞类别检测,Agent红队测试层通过植入标记测试,且框架本身需要防御扫描器被间接注入攻击。这是AI特有的安全威胁,理解它对整篇论文至关重要。

Tool Poisoning/Tool Shadowing

工具投毒和工具影子化是MCP生态特有的攻击类型。工具投毒是指恶意构造工具的元数据(描述、参数模式),使其声称提供无害功能但实际执行恶意操作。工具影子化是指创建与合法工具同名的恶意工具,利用Agent优先选择最匹配工具的机制,让恶意工具替代合法工具被调用。这两种攻击的载体不是工具输出,而是工具的广告元数据本身。

这是论文强调的AI Agent安全与传统软件安全的根本区别之一,MCP审计器专门设计了针对这些攻击的检测规则,理解这一概念有助于把握论文的创新性。

Prompt-as-Rule范式

Prompt-as-Rule是论文提出的检测知识编码范式,与基础设施层的布尔规则对应。它将漏洞检测知识编码为结构化的自然语言描述,包括漏洞定义、表明它的具体代码模式,以及同等重要的排除条件。这种范式随着从MCP审计到Agent红队测试逐渐成熟,关键是规则必须同时编码漏洞模式和防止LLM过度报告的防御条件。

这是论文的核心设计模式之一,贯穿多个LLM驱动的检测模块,理解这一范式有助于把握论文如何将通用LLM转化为专业安全审计器。

研究动机

随着AI基础设施的快速发展,从模型服务引擎(Ollama、vLLM、llama.cpp)到Agent构建平台(Dify、LangFlow、Flowise),再到工作流引擎(ComfyUI)和机器学习基础设施(MLflow、Kubeflow、Ray),以及最近实现Model Context Protocol的服务器,这些组件经常由缺乏安全专业知识的个人或小团队部署,并直接暴露到不可信网络。这些新软件具有三个特征使其处于传统安全工具覆盖范围之外:组件太新而未被编目,主流指纹数据库和漏洞数据库不包含这些软件的签名;组件采用不规则版本约定,破坏了依赖语义版本比较的软件组成分析工具;威胁模型已转变,AI组件的最高风险很少是传统Web扫描器寻找的注入和脚本缺陷,而是未认证访问昂贵计算、通过错误配置泄露API凭证、劫持Agent目标的提示注入、将Agent转变为困惑代理的工具滥用,以及在对抗性提示下模型自身安全对齐的侵蚀。

本文的目标是本文的目标是构建一个统一的AI Agent安全评估框架,能够覆盖AI Agent的完整攻击面。具体而言,论文提出了AI-Infra-Guard框架,将AI攻击面分为四个层次,并为每个层次匹配最合适的检测范式:确定性规则匹配用于基础设施层,LLM驱动的智能审计用于协议/工具层,多轮黑盒红队测试用于Agent行为层,大规模攻击枚举和模型判断用于模型层。框架还覆盖了Agent技能供应链这一新兴攻击面。目标是提供一个实用的、可扩展的基础设施,作为Agent安全的实践基础和社区构建的共享基础。

与已有工作不同的是,本文的独特切入角度是认识到AI系统的攻击面具有层次异质性,不同层次的安全风险需要不同类型的证据来建立其存在,因此需要不同的评估范式。现有开源工具通常只关注单一攻击面层:网络和代码扫描器处理基础设施和源代码但不理解Agent或模型对齐;MCP审计器仅针对协议层;LLM红队测试框架探测Agent和模型行为但不指纹识别基础设施或审计MCP源码。没有一个框架覆盖所有四层,也没有框架审计Agent技能供应链。AI-Infra-Guard据作者所知是唯一覆盖所有四层、添加技能供应链审计、将专用AI指纹和CVE语料库与LLM驱动的代码审计和大型越狱算子库相结合的开源框架。

核心方法

AI-Infra-Guard的整体思路基于一个核心观察:AI Agent的攻击面是分层的,没有单一检测范式适合所有层次。因此,框架采用分层-范式匹配原则,将攻击面分为四个抽象层,每层匹配最合适的检测范式。从基础设施到模型,发现的性质从存在已知签名变为模型在变换下行为不安全,相应的证据从字符串匹配变为判断后的交互,检测范式从确定性规则匹配变为LLM驱动的智能分析,再到交互式对抗探测,最后到统计攻击评估。框架实现了四个检测模块:基础设施扫描器使用确定性规则匹配;MCP审计器使用LLM驱动的智能审计;Agent红队测试器使用多轮黑盒红队测试;越狱评估器使用大规模攻击枚举和模型判断。还有一个Agent技能扫描模块。框架通过分布式服务器-代理架构编排这些异构任务。

核心创新点是将AI攻击面形式化为四个抽象层,每层需要不同类型的证据,因此需要不同的检测范式。这不是四种不同工具的集合,而是一个选择它们的原则。论文的贡献不是单个工具,而是这个选择原则以及将其付诸实践的开源系统。另一个核心创新是Prompt-as-Rule范式,将检测知识从布尔谓词发展到自然语言准则、结构化任务规范、分阶段攻击手册。第三个核心创新是客观锚定主观判断,尽可能用确定性检查替代LLM判断,如SSRF金丝雀标记和植入的注入标记将判断简化为标记存在测试。第四个核心创新是将扫描器本身视为目标,LLM驱动的安全工具摄取对抗性输入,必须防范间接提示注入,采用非受信任数据提示加指令与观察结构分离的两层防御。

方法步骤详情

方法步骤的完整描述如下:首先,用户通过Web UI、CLI或HTTP API发起扫描请求,指定目标和相关配置。后端Gin Web服务器接受请求,持久化任务状态,管理连接的工作代理池,并将进度流式传输给客户端。工作代理通过WebSocket通道连接,注册,接收任务分配,执行任务,并将结构化结果流式传回。对于基础设施扫描,代理进程内运行Go实现的匹配引擎,加载指纹和漏洞规则,对目标进行探测,执行版本规范化,按置信度分层,输出组件清单、漏洞建议和聚合安全评分。对于MCP审计,Python子进程执行LLM驱动的智能审计,在静态白盒模式下通过三阶段管道分析源码仓库,在动态黑盒模式下通过四阶段管道分析实时端点,使用Prompt-as-Rule范式编码检测准则,应用间接注入防御,输出项目摘要、安全评分和结构化发现。对于Agent技能扫描,分析管道从技能包开始,经过预处理和文件索引、静态风险线索检索、AI审计代理、受控工具环境,最终生成风险分类和结构化报告。对于Agent红队测试,Python子进程执行多轮对话攻击,通过适配器路由对话原语到不同平台,使用能力感知、升级和停止规则控制成本,四个技能工作器并发运行,使用客观验证提高精度,输出发现列表和对话成本指标。对于越狱评估,扩展自开源红队测试框架,组织评估围绕三个角色和三个可组合成分,集成包含多种编码混淆算子的大型攻击算子库,在多个越狱数据集上应用,输出攻击成功率轮廓和聚合安全评分。

技术新颖性

技术新颖性体现在多个方面:首先,提出了分层-范式匹配的形式化框架,将AI安全评估建立在理论基础上,解释了为什么异构AI系统需要异构安全评估策略,定义了安全异质性原理、证据充分性原理和分层自适应评估原理。其次,构建了覆盖完整AI Agent攻击面的开源系统,据作者所知是唯一覆盖基础设施、协议/工具、Agent行为和模型四层的框架,也是唯一添加Agent技能供应链审计的框架。第三,设计了专用的AI组件指纹和漏洞语料库,包含75个AI组件的107个指纹规则和1443个漏洞规则,处理AI软件的不规则版本命名。第四,提出了Prompt-as-Rule范式,将检测知识编码为声明性自然语言准则,展示了将通用LLM转化为专业安全审计器的设计模式。第五,设计了客观锚定机制,用确定性检查替代LLM主观判断。第六,将扫描器本身视为目标,设计了两层间接提示注入防御。第七,提出了SkillTrustBench基准,从大量技能中蒸馏评估案例,是第一个联合测量Agent技能可信度和外部扫描器检测效果的基准。

Overview of AI-Infra-Guard.
Figure 1: Overview of AI-Infra-Guard.
The infrastructure-scanning pipeline (M1).
Figure 2: The infrastructure-scanning pipeline (M1).
The MCP-auditing pipeline (M2).
Figure 3: The MCP-auditing pipeline (M2).
The jailbreak-evaluation harness (M4).
Figure 4: The jailbreak-evaluation harness (M4).
The distributed server-agent architecture.
Figure 5: The distributed server-agent architecture.

实验结果

论文报告了多个核心发现和实验结果。在Agent技能扫描基准测试中,SkillTrustBench排行榜显示同一AI-Infra-Guard技能扫描器在不同基础模型下的表现:Claude Opus 4.6达到0.9848的Loose F1,精度0.9725,召回0.9974,假阳性率0.0663;GLM 5.1达到0.9836的Loose F1;Gemini 3.5 Flash精度最高但召回较低;GPT 5.5假阳性率最高。最强模型Loose F1超过0.98,召回接近1.0,模型间差异证实检测过程与基础模型能力分离。基础设施扫描模块覆盖75个AI组件,包括107个指纹规则和1443个漏洞规则,其中1356个基于版本谓词,87个为空谓词。MCP审计器集成十种检测模式,对齐OWASP MCP Top 10。Agent红队测试器覆盖四个风险家族:数据泄露、工具滥用、间接注入、授权绕过。越狱评估模块集成26+攻击算子,包括约70种编码混淆算子和多轮策略,覆盖16个越狱数据集,总计约7248个有害提示,跨越暴力、非法活动、隐私、知识产权等十几种伤害类别。

The four attack-surface layers and matched paradigms.
Table 1: The four attack-surface layers and matched paradigms.
Infrastructure-layer rule corpus at a glance.
Table 2: Infrastructure-layer rule corpus at a glance.
SkillTrustBench leaderboard results.
Table 3: SkillTrustBench leaderboard results.
The four Agent-Scan risk families.
Table 4: The four Agent-Scan risk families.
The sixteen jailbreak-evaluation datasets.
Table 5: The sixteen jailbreak-evaluation datasets.
AI-Infra-Guard compared with other tools.
Table 6: AI-Infra-Guard compared with other tools.
查看结构化数据
任务指标本文基线提升
Agent技能恶意检测 Loose F1 0.9848 (Claude Opus 4.6) 无公开基准 首创SkillTrustBench基准,建立Agent技能安全评估标准
Agent技能恶意检测 召回率 0.9974 (Claude Opus 4.6, GLM 5.1) 无公开基准 接近完美召回,漏报率极低
基础设施组件识别 AI组件覆盖 75个AI组件 主流数据库几乎不覆盖AI组件 填补AI组件指纹空白
基础设施漏洞规则 漏洞规则数量 1443条规则(中文语料库) 通用扫描器无AI专用规则 构建专用AI漏洞规则库
越狱攻击覆盖 攻击算子数量 26+攻击算子,约70种编码变换 单一方法或少数技巧 统一多种攻击技术,覆盖面广
越狱评估数据集 数据集数量 16个数据集,约7248个提示 单个数据集评估 整合多个数据集,综合评估模型鲁棒性

局限与改进

论文承认和讨论了多个局限性。首先,LLM驱动的审计器存在过度报告的主导失败模式,Prompt-as-Rule范式必须同时编码漏洞形状和防止模型过度报告的防御条件,这是与编写签名质量不同的规则编写学科。其次,扫描器本身是间接提示注入的目标,尽管设计了两层防御,但这种威胁是根本性的。第三,Agent红队测试中授权绕过类别的判断需要上下文,相对主观,与数据泄露和工具滥用中客观确认形成对比。第四,越狱评估模块的强项是整合和规模,而非单个新技术。第五,框架是一个基础而非完整解决方案,需要随着AI生态系统和攻击面的演变持续扩展知识库。第六,技能扫描模块的三级分类中的可疑类别在实践中至关重要,因为许多供应链工件包含危险模式但其意图仍然模糊,使二元良性-恶意分类在实践中不充分。

独立分析的弱点

论文的几个弱点及其改进方向如下:第一,LLM审计器的过度报告问题虽然通过Prompt-as-Rule中的排除条件部分缓解,但仍可能产生误报。改进方向可以是增强审查阶段,引入更严格的证据链要求,或者集成多个模型的投票机制来降低假阳性。第二,授权绕过判断的主观性降低了该类别发现的可信度。改进方向可以是引入更多客观验证机制,如定义可观察的授权状态变化指标。第三,框架目前四个层之间相对独立,一层的发现不直接指导另一层的探测。改进方向是实现层间协同,例如使用基础设施识别结果播种Agent侦察。第四,越狱评估模块虽然整合了大量攻击技术,但缺少对新兴攻击技术的自动适应能力。改进方向可以是引入攻击算子的自动发现和集成机制。第五,技能扫描模块依赖于威胁情报API,这引入了对外部服务的依赖。改进方向可以是增强本地静态分析能力。第六,论文报告的实验主要关注检测效果,但对性能和可扩展性的量化评估较少。改进方向可以是进行大规模性能测试,报告扫描时间、资源消耗、并发能力等指标。

未来方向

作者提出和可以延伸的未来研究方向包括:第一,大规模测量,将基础设施扫描器应用于公共AI部署景观,大规模映射现实世界暴露。第二,使各层协同工作,使一层的发现指导下一层的探测。第三,持续扩展知识库,随着AI生态系统和攻击面的演变。可以延伸的方向包括:引入自动化知识库更新机制;设计跨层知识传递机制;构建社区贡献平台;开发实时监控和告警系统;研究自适应评估策略;探索与其他安全工具的集成;研究零知识证明等隐私保护技术;开发对抗性鲁棒性评估的标准化指标;研究AI特定攻击的理论基础;探索联邦学习等分布式学习技术。

复现评估

论文声明AI-Infra-Guard作为开源发布,但没有提供具体的开源仓库链接。论文描述了详细的实现细节,包括基础设施扫描器的Go匹配引擎和YAML规则语言、MCP审计器的Python智能审计管道和Prompt-as-Rule范式、Agent红队测试器的对话原语和技能工作器、越狱评估器的攻击算子库和数据集加载器,这些细节为复现提供了基础。论文发布了SkillTrustBench基准数据集,包含从大量技能中蒸馏的评估案例,以及公共排行榜,为比较不同模型的技能扫描效果提供了客观参考。论文报告了详细的实验设置和结果,这些结果可供复现验证。复现的挑战主要在于LLM驱动的模块需要访问大语言模型API,可能产生成本。论文提到框架支持可配置的模型路由,这为在不同资源约束下复现提供了灵活性。总体而言,论文在复现性方面表现良好,开源承诺、详细实现描述、公开基准数据集和实验结果为复现提供了充分基础。