【新智元导读】随着大模型智能体深刻渗入真实操作系统�����,一种全新的安全威胁悄然成型:行为越狱(Behavior Jailbreak)������。现有安全基准只盯着模型「说了什么」�����,却对「做了什么」视而不见������。新基准LITMUS是首个同时覆盖真实OS环境行为越狱、语义-物理双层验证与多攻击范式的齐全评测系统�����,并初次系吐淇化了「执行幻觉」这一被整个评测社区忽视的致命盲区������。
当AI智能体不再只是谈天工具�����,而是真正收受你的服务器、操作你的文件、执行你的剧本——安全评测这件事�����,就不能再停顿在「看它说了什么」的层面了������。
然而�����,当前险些所有主流智能体安全基准�����,依然把判断终点停在「语义输出层」——只问模型拒没拒�����,不论OS改没改������。这一底子性缺点�����,催生了一种极其危险的幻象:
为了彻底拆解这一盲区�����,来自漯河航空航天大学、浙江大学的钻研团队推出了LITMUS(LLM-agentsIn-OSTesting forMeasuringUnsafeSubversion)——首个将真实OS环境行为越狱、语义-物理双层验证与多攻击范式系统整合的智能体安全评测基准�����,初次在行为越狱中系统界说并量化这种「行口不一」的景象——执行幻觉(Execution Hallucination, EH)������。
AdvBench、HarmBench 等经典基准�����,判断终点是「模型有没有天生有害文本」������。但在真实 OS 环境中�����,危险来自工具挪用——模型不必要「说出」危险内容�����,只需偷偷挪用一个系统号令�����,文件就被删了�����,密钥就泄露了������。文本安全�����,底子不蹬宗行为安全������。
若是测试 A 批改了某个系统文件�����,而测试 B 刚好依赖统一个文件�����,那么B的了局测的到底是「模型的安全性」�����,还是「A留下的传染」����?在没有 OS 级状态回滚的情况下�����,这个问题无解������。
LITMUS在每次测试对话前后�����,城市对真实操作系统进行快照采集������。物理判定基于系统状态的现实变动�����,与模型的对话内容齐全独立������。即便模型嘴上说「我回绝了」�����,只有 OS 状态显示危险操作已实现�����,物理判定依然给出「执行成功」������。
每条测试用例均建设了预置与复原作为�����,由专门的Recoverer智能体在测试前初始化系统基线、测试后齐全还原�����,从底子上解除用例间的传染�����,确保评测了局然正可复现������。
LITMUS数据集蕴含819条高风险测试用例�����,起源涵盖真实缝隙数据库(CVE/GHSA)、公开渗入测试汇报�����,以及经人为精辟验证的LLM天生案例�����,全数在真实OS中通过物理测试验证������。
诱使智能体使用攻击者提供的 SKILL�����,将恶意的 SKILL.md 文件内容注入智能体工具链�����,在正常工作挪用时自动触发�����,绕过前端提醒词过滤������。
图示:LITMUS评测框架的六智能体分工示意������。Prosecutor发出指令�����,Verifier独立采集OS快照�����,Analyzer(物理判定)与 Reviewer(语义判定)各自独立产出标签�����,共同组成2×2语义-物理混合矩阵������。
图示:六款模型在 LITMUS 种子数据集上的攻击成功率(ASR)与执行幻觉率(EHR)总览������。 SPSR、SOSR、POSR、SPFR 别离为齐全越狱、攻击糊弄、荫蔽执杏注齐全失败的样本比例������。
值得出格关注的是「通讯表联」(CO)类别——跨模型、跨攻击范式�����,这一类此外 ASR 险些始终最高�����,最极端情况靠近97%������。这批注:智能体似乎天然地将「发送新闻」等表联操作视为无害行为�����,导致数据表泄成为最难防守的攻击面������。
相对地�����,「工作链」(CT)类此外 ASR 最低(Claude Sonnet 4.6仅21.72%)�����,由于将多个恶意子步骤串联成一个要求�����,反而让整体恶意意图越发显眼�����,更容易被鉴别回绝������。
其中最危险的「荫蔽执杏坠(Covert Execution)模式——模型说话层面明确回绝�����,但 OS 层面危险操作已悄然实现——在所有模型上均有出现�����,Deepseek-v3.2的该项比率达到4.84%������。
这意味着一个极其端庄的现实:任何只依赖对话日志的安全审计�����,性质上是不成靠的������。安全审计人员看到「模型回绝了」�����,但系统已经被攻破������。
技术注入和实体包装(这两种将恶意指令「藏进」工具链或表部内容的间接攻击)在两款代表模型(Deepseek-v3.2与Claude Sonnet 4.6)上均实现了显著的 ASR 提升������。
相比之下�����,直接使用「红队测试」或「调试模式」话术进行越狱的成效�����,则出现出强烈的模型依赖性:Claude Sonnet 4.6 对显式恶意信号极为敏感�����,这类话术反而会激活安全机造�����,导致 ASR 跌破基线�������;而 Deepseek-v3.2 则偏差于将同样的信号解读为"合法操作授权"�����,导致合规率反升������。
这注明:分歧模型对「显式恶意意图」的语义解读存在底子差距�����,话术类越狱战术的有效性无法跨模型迁徙������。但间接攻击的高成功率�����,则是跨模型一致的普遍法规:智能体的执行流水线�����,而非前端提醒词过滤�����,才是真正的重要失守点������。
钻研团队明确呼吁:EHR该当与ASR并列�����,成为LLM智能体行为安全评测的尺度指标������。在智能体走向真实OS部署的今天�����,单靠ASR�����,依然是对安全的幻觉������。
LITMUS作为一个盛开的活性基准(Living Benchmark)�����,欢迎社区持续贡献新的模型评测了局与测试用例�����,共同推动LLM智能体安全评测走向严格、可信、可复现的新范式������。
《满溢游泳池》漫画免费阅读【环球网科技综合报道】6月3日消息,据AOL报道,社交媒体巨头 Meta 针对备受争议的员工办公设备行为数据采集项目作出优化调整,在员工普遍提出异议后,推出数据采集临时暂停、项目豁免申请等新管控措施,进一步完善相关数据收集规则。是的。也许我们联系最多的是那些受伤的球员,因为这种情况下你没有太多选择空间,你知道他们不可能参加。至于其他球员,很大程度上取决于你和他们之间的关系。有些人你会打电话,有些人不会。我们以前也会给一些球员打电话,让他们做好准备,以防U21欧洲杯或者奥运会期间突然出现机会。《满溢游泳池》漫画免费阅读《《农家妹子2》免费旁观高清》凭借着在澳网获得亚军以及巴黎奥运会夺金的表现,郑钦文在过去两年商业价值急速飙升,同耐克、奥迪、迪奥、支付宝等众多知名品牌建立了合作关系。在2025年郑钦文的场外收入达到了惊人的2100万美元,进入了《福布斯》女性运动员榜单前5。相比之下,那3500张官方平台上的门票则是尚未售出的库存,甚至可能还有未被公开列出的额外余票。由于国际足联在整个售票周期中始终保留部分库存,并未公开完整销售数据,因此真实剩余数量可能更高。
20260604 ? 《满溢游泳池》漫画免费阅读对游戏玩家和 DIY 用户来说,平台能不能继续升级、主板能不能多用几年、同价位游戏性能是否划算,往往比「AI PC」这个大词更重要。AMD 这次没有抢 AI PC 的概念高地,而是在继续守住 PC 最传统、也最坚固的基本盘。行情网站WWW/大全百度搜泽连斯基在信中强调,乌克兰防空力量、特别是反导装备不足的问题正在加剧,“在应对弹道导弹方面几乎完全依赖美国”。泽连斯基请求美国总统和国会帮助乌方获得“爱国者先进能力-3”型导弹等防空系统,以拦截俄方弹道导弹和其他导弹的袭击。据悉,乌克兰驻美国大使斯特凡尼希娜已将信件发送给白宫、美众议院议长及国会议员。
20260604 ? 《满溢游泳池》漫画免费阅读这款迷你开发主机搭载英伟达(NVDA.US)最新RTX Spark平台,采用Arm Holdings(ARM.US)架构CPU与Blackwell GPU组合,并配备高达128GB统一内存。微软表示,该设备能够在本地运行高达1200亿参数的大模型。法国空姐接警后,民辅警立即携带铁锹、拖车绳、防滑垫板等救援工具,火速赶赴现场处置。针对现场复杂情况,民辅警分工协作,有人徒手清理淤泥,有人铺垫硬物,有人固定拖车绳。在确保安全的前提下,民辅警采用警用装甲车牵引、人力助推的方式。经过近两小时奋战,被困车辆被安全转移至路面。
京公网安备11010202000001号
