当基于嵌入的防御失效 —— 重新思考大语言模型多智能体系统的安全性

论文详细笔记

一、基础信息

  1. 标题
    1. 英文:When Embedding-Based Defenses Fail: Rethinking Safety in LLM-Based Multi-Agent Systems
    2. 中文翻译:当基于嵌入的防御失效时 —— 重新思考大语言模型多智能体系统的安全性
  2. 作者:Lingxi Zhang、Guangtao Zheng、Hanjie Chen
  3. 来源:arXiv 预印本(计算机安全方向,[cs.CR](cs.CR))
  4. 发布时间:2026 年 5 月 5 日

二、研究背景与问题

(一)研究动机(现有不足)

  1. 系统风险:LLM 多智能体系统(MAS)通过通信协作完成复杂任务,但通信链路成为攻击面,恶意智能体可传播错误信息、操控群体决策。
  2. 防御缺陷:现有主流基于嵌入的防御(G-Safeguard、GUARDIAN)依赖恶意与良性消息的文本嵌入可分离性,仅用嵌入特征做异常检测。
  3. 评估漏洞:现有防御的测试攻击模式过于明显,嵌入分离度高,检测效果好并非防御鲁棒,而是识别了攻击特征。
  4. 信号缺失:嵌入防御仅依赖文本嵌入,丢弃了模型内部token 级置信度(logits / 概率) 信号,该信号在嵌入不可区分时仍具备判别力。

(二)研究问题

  1. 基于嵌入的 MAS 防御在恶意嵌入贴近良性时的失效机理是什么?
  2. 如何设计能绕过嵌入防御的近良性攻击
  3. 如何利用模型内部置信度信号构建更鲁棒的 MAS 防御?
  4. 防御信号在多轮通信、不同拓扑下的有效性衰减规律是什么?

三、3-6 小节详细笔记

3. Preliminaries(预备知识)

核心:定义 LLM-MAS 核心概念、攻击范式、嵌入防御、分离度指标
  1. LLM 多智能体系统(MAS)
    1. 由 N 个智能体组成,经 R 轮通信完成任务,通信结构为有向图 G=(V,E)
    2. 智能体每轮基于任务输入、系统提示、上轮邻居消息生成内容,最终通过多数投票等方式聚合输出
    3. 测试拓扑:链型、星型、随机稀疏图。
  2. MAS 攻击定义
    1. 智能体分为攻击者子集 A、良性子集 B;攻击者用对抗提示生成恶意消息,引导群体输出错误答案。
    2. 防御目标:识别恶意智能体,剪枝 / 降权恶意消息,降低攻击成功率。
  3. 基于嵌入的防御流程
    1. 编码:文本编码器将消息转为向量嵌入 $h_i^r=φ(m_i^r)$。
    2. 融合:图神经网络(GNN)融合智能体上下文,得到上下文嵌入$ĥ_i^r$。
    3. 检测:异常评分函数对嵌入打分,按阈值筛选可疑消息 / 智能体。
  4. 恶意 - 良性分离度
    1. 定义良性嵌入支持集 $S_B$,分离度 Sep (c) 衡量攻击嵌入与良性集的距离,值越大分离效果越好。

4. When Embedding-Based Defenses Fail(嵌入防御失效机理)

核心:理论证明 + 缺陷分析,解释嵌入防御为何被近良性攻击绕过
  1. 现有防御的核心问题
    1. 仅依赖嵌入空间决策,测试用明显攻击恶意消息风格迥异、嵌入离群),分离度高。
    2. 高分离度下,模型训练会学到过宽的良性接受区域,留下近良性攻击的逃逸空间。
  2. 理论证明(Theorem 4.1)
    1. 对于 L-Lipschitz 评分函数,若良性支持集上有裕度 γ>0,良性接受区域会包含 S_B 的 γ/L 邻域。
    2. 攻击嵌入只要落入该邻域(dist (h_a,S_B)≤γ/L),会被判定为良性,成功逃逸检测。
  3. 核心结论:攻击者可构造嵌入贴近良性的恶意消息,直接绕过嵌入防御。

5. Near-Benign Attacks(近良性攻击)

image

核心:提出 3 种降低嵌入分离度、绕过嵌入防御的攻击,统一目标:最大化翻转良性智能体决策,同时保持嵌入贴近良性支持集
  1. Slow Drift(缓慢漂移攻击)

    核心思路

    恶意智能体逐轮生成嵌入平滑贴近当前良性支持集的消息,无突兀突变,逐步引导群体决策偏向错误目标,规避离群检测与嵌入突变检测。

    实现方法

    1. 首轮初始化:生成首条外观良性的消息,保证其嵌入与首轮良性支持集距离≤τ。
    2. 后续轮次约束:
      1. 恶意消息嵌入与当前轮良性支持集距离≤τ;
      2. 本轮恶意嵌入与上一轮恶意嵌入的 L2 距离≤ε,保证嵌入轨迹平滑无突变。
    3. 优化目标:最大化本轮被引导至错误目标的良性智能体数量。

    关键特性

    • 嵌入轨迹连续:无 abrupt 变化,不会触发基于 “嵌入突变” 的检测规则;
    • 恶意影响逐轮累积:缓慢偏移群体共识,隐蔽性极强;
    • 嵌入距离极小:恶意 - 良性嵌入余弦距离远低于传统明显攻击。

    攻击示例

    大气成分问题: Round0:认同正确答案 B(氮气),顺带提及 CO₂; Round1:仍认可 B,强化 CO₂相关表述; Round2:转向主张 C(CO₂)为正确答案。
  2. Benign Wrapper(良性包装攻击)
    核心思想:将恶意消息拆分为长良性包装段 A + 极短恶意载荷段 B,用良性段主导整体嵌入分布,恶意段仅带来可忽略的嵌入偏移,实现恶意指令隐蔽注入。

    实现方法

    1. 消息构造:m = A ∥ B(良性内容拼接恶意指令);
    2. 三重约束:
      1. 包装段 A 的嵌入与当前良性支持集距离≤τ_A,保证 A 本身完全良性;
      2. 恶意载荷 B 的长度≤ℓ(极小长度预算),最小化嵌入偏移;
      3. 完整消息 m 的嵌入与良性支持集距离≤τ,整体贴近良性。
    3. 优化目标:最大化翻转良性智能体数量。

    关键特性

    • 嵌入几乎与良性一致:良性段主导嵌入,恶意段长度极短,嵌入偏移可忽略;
    • 恶意指令精准:短载荷直接引导目标错误答案;
    • 隐蔽性最强:恶意 - 良性嵌入距离最小,接近良性分歧消息的距离。

    攻击示例

    Round0:先认同氮气占 78%(良性 A),再附加指令选 C(恶意 B); Round1:沿用良性理由,明确执行指令选择 C。
  3. Chaos Seeding(混沌播种攻击)

    核心思路

    不伪装自身嵌入,而是诱导良性智能体互相产生决策分歧,扩大良性嵌入的分散范围,让恶意嵌入隐藏在分散的良性区域中,彻底破坏基于离群检测的嵌入防御。

    实现方法

    1. 分歧度量:用良性智能体决策不一致对的占比 Disagree^(r) 量化分歧程度;
    2. 优化目标:最大化本轮良性智能体的决策分歧率;
    3. 约束:恶意消息嵌入与当前良性支持集距离≤τ,不触发基础离群检测。

    关键特性

    • 破坏良性聚类:良性嵌入从紧密聚类变为广泛分散,离群检测完全失效;
    • 嵌入几何反转:良性 - 良性分歧对的嵌入距离可超过恶意 - 良性距离;
    • 防御失效逻辑:基于 “恶意是离群点” 的嵌入防御无法识别隐藏的恶意消息。

    攻击示例

    Round0:模糊表述大气成分,引发不同观点; Round1:同时提及氮气主导与 CO₂重要性,加剧良性智能体决策分歧。

6. Confidence-Guided Defense(置信度引导防御)

核心:利用 token 级置信度作为补充信号,解决嵌入不可区分的防御失效问题
  1. Token 级置信度计算

    核心原理

    token 生成的不确定性衡量消息可靠性,不确定性越低→置信度越高;恶意消息生成时通常伴随高不确定性,可被精准识别。

    计算步骤

    1. 单 token 不确定性:用信息熵计算 image其中 $p_k$ 是第 k 个 token 的 softmax 概率分布,熵越高→不确定性越高。
    2. 整体不确定性聚合:取 top-k 最大 token 熵的平均值 image 为降序排列的 token 熵。
    3. 置信度转换:用单调递减映射 $g (・)$ 将不确定性转为置信度 $C (m) = g (U (m))$ 置信度 $C (m)$ 越大,消息越可靠。

    关键特性

    • 模型内部信号:不依赖文本嵌入,基于生成时的 logits / 概率计算;
    • 嵌入失效时仍有效:恶意消息嵌入贴近良性,但生成不确定性高、置信度低;
    • 无训练成本:直接基于模型生成过程计算,适配开源模型与 API 模型。
  2. 两种防御策略

    策略 1:Confidence pruning(置信度剪枝)

    核心逻辑

    提前屏蔽置信度低于阈值 δ的消息,从源头阻止低置信(大概率恶意)内容传播。

    实现方式

    对每轮智能体 j 的消息 $m_j^(r)$,计算置信度 $C_j^(r)$:
    • 若 $C_j^(r)$ ≥ δ:正常发送消息 $m_j^(r)$;
    • 若 $C_j^(r)$ < δ:屏蔽消息(记为∅),不传递给邻居。

    核心优势

    • 直接阻断恶意传播:从通信源头抑制不可靠消息扩散;
    • 实现极简:仅需设置置信度阈值,无额外模型训练。

    策略 2:Confidence down-weighting(置信度降权)

    核心逻辑

    不屏蔽消息,为消息附加置信度元数据,让接收智能体对低置信消息降低聚合权重。

    实现方式

    1. 消息封装:将原消息与置信度打包,格式如[confidence=C] message
    2. 接收端聚合:接收智能体按指令降低低置信消息的权重,再融合所有消息。

    核心优势

    • 鲁棒性 - 效用权衡更平滑:不删除有用消息,仅弱化不可靠消息影响;
    • 适配性强:不破坏原有通信流程,仅增加元数据层。

    两种策略共性

    • 均不依赖文本嵌入,仅用模型内部生成信号;
    • 嵌入不可区分时,仍能有效识别并抑制恶意消息;
    • 可泛化至不同 LLM、任务与通信拓扑。
  3. 核心逻辑:置信度是模型内部生成信号,嵌入不可区分时仍能识别不可靠(恶意)消息,弥补嵌入防御的缺陷。

四、实验

7.1 实验设置

  1. 数据集
    1. MMLU:多学科多选知识题,指标:多数投票准确率。
    2. GSM8K:小学数学应用题,指标:精确匹配准确率。
    3. BBH:BIG-Bench 高难度推理任务,指标:多数投票准确率。
  2. Baselines
    1. 基础 LLM:LLaMA-3-8B、Qwen3-4B、GPT-4o-mini(开源模型 + API 模型)。
    2. 嵌入防御基线:G-Safeguard(图异常检测)、GUARDIAN(时序图建模)。
    3. 对比组:无防御、两种嵌入防御、本文置信度引导防御。
  3. 通信拓扑:星型、链型、随机稀疏图(边概率 p 可调,控制拓扑密度)。
  4. 核心指标:准确率(Acc)、攻击成功率(ASR)、嵌入余弦距离、AUROC、信号半衰期。

7.2 实验内容、结果与结论

实验 1:近良性攻击突破嵌入防御

image

  • 内容:测试无防御 / 嵌入防御 / 置信度防御,在 3 种近良性攻击平均下的性能。
  • 结果
    • 嵌入防御(G-Safeguard/GUARDIAN)准确率暴跌,部分场景不如无防御。
    • 本文置信度防御在所有模型、数据集上均显著提升鲁棒性。
  • 结论:近良性攻击可有效绕过嵌入防御,置信度防御提供互补鲁棒性。

实验 2:近良性攻击的嵌入分离度验证

image

  • 内容:计算明显攻击 / 近良性攻击的良性 - 恶意(B-M)、良性 - 良性(B-B)嵌入余弦距离。
  • 结果
    • 明显攻击 B-M 距离最大(0.236);Benign Wrapper 最小(0.156),接近良性分歧对距离。
    • Chaos Seeding 使良性嵌入大幅分散,B-B(Diff)距离超过 B-M 距离。
  • 结论:3 种近良性攻击显著降低嵌入分离度,符合设计目标。

实验 3:不同攻击下的防御性能对比

image

  • 内容:对比无防御 / 嵌入防御 / 置信度防御,在明显攻击 + 近良性攻击下的准确率。
  • 结果
    • 明显攻击:嵌入防御可有效检测,性能优于无防御。
    • 近良性攻击:嵌入防御失效,本文方法始终保持高准确率。
  • 结论:嵌入防御仅对明显攻击有效,置信度防御具备通用鲁棒性。

实验 4:置信度信号有效性与衰减规律

imageimageimage

  1. 信号互补性:近良性攻击下,嵌入信号区分度骤降,置信度信号早期仍保持高判别力;剪枝可保留信号区分度。
  2. 防御强度消融:剪枝阈值越高,攻击成功率越低,但干净性能略有下降;降权的鲁棒性 - 效用权衡更平滑。
  3. 拓扑影响:拓扑越密集(全连接 > 稀疏高 p > 稀疏低 p),信号半衰期越短、攻击成功率越高;稀疏 / 链型拓扑衰减更慢。
  • 结论
    • 置信度是嵌入失效时的关键补充信号,早期干预至关重要。
    • 通信拓扑密度决定信号衰减速度,稀疏拓扑更安全。

五、论文核心观点与贡献

(一)核心贡献

  1. 从理论与实证层面,揭示嵌入型 MAS 防御的核心漏洞:高嵌入分离度导致良性接受区域过宽,近良性攻击可逃逸。
  2. 提出三种近良性攻击(Slow Drift、Benign Wrapper、Chaos Seeding),系统性降低嵌入分离度,绕过 SOTA 嵌入防御。
  3. 提出置信度引导防御,利用 token 级置信度剪枝 / 降权消息,在嵌入不可区分时提供互补鲁棒性,适配多模型、多任务、多拓扑。
  4. 实证发现防御信号随通信轮次衰减,密集拓扑加速衰减,明确早期干预 + 拓扑感知的防御关键。

(二)核心观点

  1. LLM-MAS 安全防御不能仅依赖文本嵌入,必须结合模型内部 token 级置信度信号。
  2. 近良性攻击是嵌入防御的核心威胁,现有防御评估范式存在严重漏洞。
  3. 多智能体通信的拓扑密度干预时机直接决定防御效果,早期、稀疏拓扑下的防御更有效。
posted @ 2026-05-24 16:59  卓然666  阅读(25)  评论(0)    收藏  举报
Live2D