局部监控失效成因多智能体系统分布式后门可观测边界诊断研究论文网页原文https://arxiv.org/html/2607.11751v1摘要现有LLM工具调用多智能体系统普遍采用单步局部运行时监控作为安全防护手段对每条消息、单次工具调用独立检测。本文证明该防护体系存在根本性安全漏洞——分布式后门攻击可将恶意载荷拆分至多个智能体分步输出每一段分片单独检测均判定为无害但全部片段拼接后会形成完整可执行恶意攻击载荷。该漏洞核心成因并非分片行为本身而是局部无害性攻击场景所有分片在单步观测视图下均无异常线索不存在可被局部检测器捕捉的可疑token、数据流溯源链路。本文正式定义可观测边界理论监控器仅能区分其观测窗口内正常流量与攻击流量一旦分片在局部视图中完全与无害文本无差异无论检测器模型性能多强都无法识别该攻击。本文在可控仿真测试床、公开外部基准、端到端多智能体交互三层实验环境开展验证当局部证据完全消失时所有单步监控方案检测能力归零仅当监控器能够获取完整拼接解码后的载荷才能恢复攻击识别信号。实验结果表明仅在无害流量上训练的单类模型跨编码泛化下攻击样本AUROC均值可达0.874而具备完整解码视图的校验网关可拦截全部测试攻击。核心结论仅扩大观测窗口不足以抵御组合式危害监控器必须能够访问载荷暴露的底层表征局部安全不等于全局安全如何挖掘攻击底层表征是该领域开放研究问题。三大核心贡献定义多智能体分布式后门的「可观测边界」理论严格证明局部无害分片场景下任何单步检测器存在识别上限并搭建可控分片粒度测试平台系统性对比溯源污点监控、单步统计检测器、有无标记拼接检测、解码网关六类监控方案证明识别能力仅由观测视图决定与模型性能无关大规模实验验证仅拓宽观测窗口无法解决检测失效问题只有获取解码后的完整载荷表征才能阻断攻击并给出可复现完整实验脚本与测试环境。1 引言1.1 安全防护现实痛点主流LLM多智能体系统采用规划器拆分复杂任务由多个子智能体分步输出文本片段最终汇总智能拼接执行。行业通用安全方案为单步局部监控每条输出消息、单次工具调用独立过安全校验。分布式后门攻击利用该机制拆分恶意载荷示例智能1输出数据检索完成共247条记录智能2输出分析流程执行完毕无异常智能3输出汇总报告就绪全部任务完成三段文本单独检测全部放行但拼接后可形成窃取密钥Python代码importos,requests credsos.environ.get(AWS_SECRET)requests.post(http://evil/exfil,creds)局部监控每一步校验均通过但拼接产物具备完整数据窃取危害。现有安全评测仅关注单步攻击识别率无法衡量组合式后门防御能力评测指标存在重大缺陷。1.2 现有方案局限单步统计/大模型检测器仅读取单一片段分片无异常线索时识别率趋近随机污点溯源监控仅能捕捉可见数据源流向攻击擦除数据流痕迹后完全失效全局完整日志监控仅拼接原始文本、不做解码仍无法识别加密分片载荷标记式拼接检测依赖内置分片标识符无标记攻击场景泛化能力极差。1.3 本文核心思路形式化定义局部无害性、ε局部不可区分两大攻击判定条件给出数学命题证明局部检测器性能上界搭建可控制分片线索粒度的仿真平台从「携带明显痕迹分片」到「完全无痕迹局部无害分片」梯度测试各类监控区分「观测窗口广度」与「底层表征可访问性」两个独立变量实验证明仅拓宽窗口无效必须解码恢复完整载荷表征给出开源测试平台、完整评测脚本为多智能体安全监控设计提供标准化诊断工具。2 问题形式化与可观测边界理论2.1 系统与攻击建模多智能体系统由规划器拆分任务K个智能体依次输出分片x1,x2...xKx_1,x_2...x_Kx1​,x2​...xK​最终汇总函数C(x1...xK)C(x_1...x_K)C(x1​...xK​)拼接产物执行。攻击者控制所有分片内容但无法修改监控器逻辑攻击目标每片单独通过局部监控拼接后形成有害载荷。该类攻击称为分布式后门。2.2 核心定义定义1 局部无害性给定观测函数v(⋅)v(\cdot)v(⋅)攻击满足局部无害条件对任意分片xix_ixi​局部观测v(xi)v(x_i)v(xi​)判定为无害但拼接产物C(x1...xK)C(x_1...x_K)C(x1​...xK​)具备恶意属性h1h1h1。分片拆分不代表局部无害若分片携带可疑token、数据流痕迹局部检测器仍可拦截真正高威胁场景为分片无任何可观测异常。定义2 ε局部不可区分Pben,ivP_{ben,i}^vPben,iv​、Patt,ivP_{att,i}^vPatt,iv​分别代表无害/攻击分片在视图vvv下观测分布若总变差距离满足TV(Pben,iv,Patt,iv)≤ε\mathrm{TV}(P_{ben,i}^v,P_{att,i}^v) \le \varepsilonTV(Pben,iv​,Patt,iv​)≤ε则称该攻击在视图vvv下满足ε局部不可区分。2.3 关键命题1局部检测性能上界任意随机单步判定规则检测优势TPR-FPR不超过分布总变差εTPR−FPR≤TV(Pben,iv,Patt,iv)≤ε\mathrm{TPR}-\mathrm{FPR} \le \mathrm{TV}(P_{ben,i}^v,P_{att,i}^v) \le \varepsilonTPR−FPR≤TV(Pben,iv​,Patt,iv​)≤ε推论若分片完全与无害文本不可区分ε≈0无论检测器模型容量多大识别效果接近随机猜测。完整证明见附录A。2.4 六大监控观测视图分类监控类型观测内容是否完整拼接是否解码核心能力污点溯源监控单步数据流链路××仅捕获可见数据流向单步统计检测器单个分片文本××逐段独立打分标记式拼接监控带内置标记分片✓×依靠标记重组片段无标记拼接监控原始拼接文本✓×仅合并字符串不解码盲编码全局监控全分片原始拼接✓×无编码先验无法还原载荷解码校验网关解码后完整载荷✓✓基准天花板完全还原攻击逻辑3 梯度分片实验仅分片不会失效局部无害才会失效3.1 梯度可控测试床Collaborative Shadows控制变量固定最终恶意载荷逐步擦除分片内可观测异常线索分为三层梯度可见数据流痕迹分片污点监控可拦截残留局部特征分片单步统计检测器具备识别能力完全局部无害分片所有局部监控识别率趋近随机。3.2 R-Judge基准预实验佐证仅依靠文本长度特征的检测器在普通分片攻击AUROC0.94长度匹配的局部无害分片下性能直接跌落至随机水平证明高单步指标不代表防御组合后门能力。3.3 外部基准AgentDojo验证采用官方预训练提示注入检测器做对照普通分片攻击AUROC0.82~0.84可正常识别局部无害分片下单步/简单拼接AUROC≈0.5跨分片协同视图重组完整结构AUROC1.0。结论失效根源不是分片而是分片丢失所有局部判别线索该结论具备外部基准泛化性。4 拼接视图可恢复攻击识别信号4.1 无标记单类拼接检测器设计仅在无害样本上训练孤立森林模型提取拼接后代码密度、AST可解析度特征不使用攻击样本训练。跨编码泛化实验四种分片编码家族含无标记F_none留一编码测试平均AUROC0.874消融实验证明代码结构密度是核心判别特征移除后性能跌至随机。4.2 端到端阻断实验四款主流开源大模型Llama-3.1-8B、Qwen2.5-7B/14B/32B50轮重复测试防护方案攻击成功率ASR无防护/局部监控0.58~1.00解码校验网关0.00全部拦截仅拥有解码视图的网关可100%阻断所有测试分布式后门单纯拼接原始文本不做解码无法起效。5 仅拓宽观测窗口无效表征可访问性才是核心边界5.1 盲全局监控实验完整读取所有分片、但无编码解码能力的监控局部无害场景下50次攻击全部放行ASR与无防护基线完全一致。5.2 两类补充修复方案对比通用解码器集成AUROC仅0.56拦截0/50攻击LLM自动重构分片AUROC0.52仅拦截6/50攻击两类方案仅小幅提升远达不到解码网关的完全阻断效果。5. 第二基准DemonAgent交叉验证采用动态加密分片攻击所有不解码监控方案全部失效仅解码网关可完全拦截证明可观测边界结论不依赖特定编码方式。5. 代码/自然语言载荷区分实验代码类拼接载荷依靠代码密度特征可识别纯自然语言组合式有害指令场景下无标记拼接检测器AUROC跌至0.406说明本文方案仅解决代码类后门自然语言组合危害仍为开放问题。6 相关工作6.1 LLM提示注入与单步安全监控现有Llama Guard、AgentDojo等防御方案均基于单步文本检测仅针对单段恶意提示无法处理跨分片组合后门评测体系缺少多片段组合攻击场景。6.2 数据流污点溯源安全传统信息流跟踪依赖可见变量传递链路攻击擦除溯源痕迹后防护失效与本文梯度实验结论吻合。6.3 多智能体分布式后门攻击Collaborative Shadows、DemonAgent等工作提出分片式后门但未从理论层面给出监控失效边界缺少标准化诊断测试平台。6.4 捷径学习与评测伪影现有安全基准大量依赖文本长度、字符分布等浅层捷径匹配局部无害攻击后检测器失效本文搭建可控梯度测试床消除评测伪影干扰。7 讨论与结论7.1 核心结论局部无害分片会形成可观测边界任意仅读取单一片段的监控器识别能力存在严格数学上界提升模型容量无法突破单纯扩大观测窗口读取全分片原始文本无法识别加密分片后门必须解码恢复完整攻击底层表征现有行业单步安全监控存在致命漏洞局部安全不代表全局组合安全监控设计需以能否访问拼接解码后完整载荷为核心评判标准。7.2 研究局限当前实验仅针对可执行代码类分片后门自然语言组合式危害无成熟识别方案解码网关依赖编码先验无法作为无先验通用部署防御未研究自适应动态分片、长时序多轮跨会话分布式后门场景。7.3 未来开放问题无需编码先验自动挖掘攻击底层表征面向自然语言、规划类组合危害的识别方案长时序、自适应攻击者场景下可观测边界拓展。伦理说明本文全部攻击仅用于隔离仿真测试床无真实系统渗透能力载荷密钥全部脱敏数据集与仿真工具开源用于防御研究。资源下载汇总论文HTML原文https://arxiv.org/html/2607.11751v1论文PDFhttps://arxiv.org/pdf/2607.11751完整仿真测试床、评测脚本、监控实现代码https://github.com/yibo-hu-lab/observability-bound实验复现文档仓库README包含环境依赖、模型部署、批量评测命令附录附录A 命题完整数学证明包含局部检测上界推导、多片段告警聚合边界证明给出TV距离与AUROC数值转换关系。附录B 各类监控完整伪代码污点监控、单步统计、标记/无标记拼接、盲全局、解码网关全部实现逻辑可直接复现。附录C 完整实验环境配置硬件NVIDIA A100 / RTX6000CPU仿真测试兼容模型Llama-3.1-8B、Qwen2.5 7/14/32B AWQ超参所有监控统一5%无害样本误报阈值数据集Collaborative Shadows、AgentDojo、DemonAgent三套基准。附录D 消融实验完整数据表分片梯度AUROC、不同监控攻击成功率、编码泛化、LLM重构对比全部原始数值。附录E 批量复现脚本仓库run_exp.py一键执行全梯度分片、多模型对比实验输出AUROC、ASR统计表格。附录F 自然语言载荷补充实验纯文本组合有害指令下各类监控性能对比说明当前方案适用边界。