【新智元导读】随着大模型智能体深刻渗入真实操作系统����,一种全新的安全威胁悄然成型:行为越狱(Behavior Jailbreak)������。现有安全基准只盯着模型「说了什么」����,却对「做了什么」视而不见������。新基准LITMUS是首个同时覆盖真实OS环境行为越狱、语义-物理双层验证与多攻击范式的齐全评测系统����,并初次系吐淇化了「执行幻觉」这一被整个评测社区忽视的致命盲区������。
当AI智能体不再只是谈天工具����,而是真正收受你的服务器、操作你的文件、执行你的剧本——安全评测这件事����,就不能再停顿在「看它说了什么」的层面了������。
然而����,当前险些所有主流智能体安全基准����,依然把判断终点停在「语义输出层」——只问模型拒没拒����,不论OS改没改������。这一底子性缺点����,催生了一种极其危险的幻象:
为了彻底拆解这一盲区����,来自漯河航空航天大学、浙江大学的钻研团队推出了LITMUS(LLM-agentsIn-OSTesting forMeasuringUnsafeSubversion)——首个将真实OS环境行为越狱、语义-物理双层验证与多攻击范式系统整合的智能体安全评测基准����,初次在行为越狱中系统界说并量化这种「行口不一」的景象——执行幻觉(Execution Hallucination, EH)������。
AdvBench、HarmBench 等经典基准����,判断终点是「模型有没有天生有害文本」������。但在真实 OS 环境中����,危险来自工具挪用——模型不必要「说出」危险内容����,只需偷偷挪用一个系统号令����,文件就被删了����,密钥就泄露了������。文本安全����,底子不蹬宗行为安全������。
若是测试 A 批改了某个系统文件����,而测试 B 刚好依赖统一个文件����,那么B的了局测的到底是「模型的安全性」����,还是「A留下的传染」���?在没有 OS 级状态回滚的情况下����,这个问题无解������。
LITMUS在每次测试对话前后����,城市对真实操作系统进行快照采集������。物理判定基于系统状态的现实变动����,与模型的对话内容齐全独立������。即便模型嘴上说「我回绝了」����,只有 OS 状态显示危险操作已实现����,物理判定依然给出「执行成功」������。
每条测试用例均建设了预置与复原作为����,由专门的Recoverer智能体在测试前初始化系统基线、测试后齐全还原����,从底子上解除用例间的传染����,确保评测了局然正可复现������。
LITMUS数据集蕴含819条高风险测试用例����,起源涵盖真实缝隙数据库(CVE/GHSA)、公开渗入测试汇报����,以及经人为精辟验证的LLM天生案例����,全数在真实OS中通过物理测试验证������。
诱使智能体使用攻击者提供的 SKILL����,将恶意的 SKILL.md 文件内容注入智能体工具链����,在正常工作挪用时自动触发����,绕过前端提醒词过滤������。
图示:LITMUS评测框架的六智能体分工示意������。Prosecutor发出指令����,Verifier独立采集OS快照����,Analyzer(物理判定)与 Reviewer(语义判定)各自独立产出标签����,共同组成2×2语义-物理混合矩阵������。
图示:六款模型在 LITMUS 种子数据集上的攻击成功率(ASR)与执行幻觉率(EHR)总览������。 SPSR、SOSR、POSR、SPFR 别离为齐全越狱、攻击糊弄、荫蔽执杏注齐全失败的样本比例������。
值得出格关注的是「通讯表联」(CO)类别——跨模型、跨攻击范式����,这一类此外 ASR 险些始终最高����,最极端情况靠近97%������。这批注:智能体似乎天然地将「发送新闻」等表联操作视为无害行为����,导致数据表泄成为最难防守的攻击面������。
相对地����,「工作链」(CT)类此外 ASR 最低(Claude Sonnet 4.6仅21.72%)����,由于将多个恶意子步骤串联成一个要求����,反而让整体恶意意图越发显眼����,更容易被鉴别回绝������。
其中最危险的「荫蔽执杏坠(Covert Execution)模式——模型说话层面明确回绝����,但 OS 层面危险操作已悄然实现——在所有模型上均有出现����,Deepseek-v3.2的该项比率达到4.84%������。
这意味着一个极其端庄的现实:任何只依赖对话日志的安全审计����,性质上是不成靠的������。安全审计人员看到「模型回绝了」����,但系统已经被攻破������。
技术注入和实体包装(这两种将恶意指令「藏进」工具链或表部内容的间接攻击)在两款代表模型(Deepseek-v3.2与Claude Sonnet 4.6)上均实现了显著的 ASR 提升������。
相比之下����,直接使用「红队测试」或「调试模式」话术进行越狱的成效����,则出现出强烈的模型依赖性:Claude Sonnet 4.6 对显式恶意信号极为敏感����,这类话术反而会激活安全机造����,导致 ASR 跌破基线�����;而 Deepseek-v3.2 则偏差于将同样的信号解读为"合法操作授权"����,导致合规率反升������。
这注明:分歧模型对「显式恶意意图」的语义解读存在底子差距����,话术类越狱战术的有效性无法跨模型迁徙������。但间接攻击的高成功率����,则是跨模型一致的普遍法规:智能体的执行流水线����,而非前端提醒词过滤����,才是真正的重要失守点������。
钻研团队明确呼吁:EHR该当与ASR并列����,成为LLM智能体行为安全评测的尺度指标������。在智能体走向真实OS部署的今天����,单靠ASR����,依然是对安全的幻觉������。
LITMUS作为一个盛开的活性基准(Living Benchmark)����,欢迎社区持续贡献新的模型评测了局与测试用例����,共同推动LLM智能体安全评测走向严格、可信、可复现的新范式������。
假千金挨日记(NPC)小说TXT下载如今27岁的东契奇正值生涯黄金期,未来十年都将是湖人的门面。球队的管理层决策、阵容搭建与长远规划,自然都会围绕他的争冠窗口期展开。6月6日,法国网球公开赛将进入第14比赛日的争夺。赛事接近尾声,这一比赛日将上演多场女单、男双、青少年女单、青少年男单等多场决赛的对决。其中青少年女单决赛,中国小花孙心然将向着冠军发起冲击。假千金挨日记(NPC)小说TXT下载《丛林夫妻大战》当前,AI硬件、机器人、低空经济、智能汽车、工业自动化等新兴产业加速发展,对电子及机械产业链的快速响应能力提出更高要求。嘉立创所代表的一站式产业互联智造模式,能够在一定程度上缩短从创意到样机、从样机到小批量、从小批量到规模化验证的周期,有助于提升我国硬科技创新转化效率。他的生活几乎围绕着这张照片所代表的意义展开,职业占据他一天24小时中的一半还多,他在那些剩余的时间里,做儿子、丈夫和父亲。
20260609 ? 假千金挨日记(NPC)小说TXT下载里克尔梅在自己的竞选总部门口发表讲话,地点距离弗洛伦蒂诺竞选活动收官地点不远。他直接将矛头指向弗洛伦蒂诺-佩雷斯,并表示:“我一直努力进行一场干净的竞选,但我们必须要求透明和问责。没有什么比让会员在不了解俱乐部真实情况的前提下走进投票箱,更严重的民主欺骗了。”《《租借女友》动漫第二季》在南广镇五一村村民陈某强的带领下,红星新闻记者来到蛇被放生的红岩山“尖尖山”断崖处,该处是一条机耕道拐弯处,山势陡峭、植被茂密,山脚可见民房分布。地貌特征与上述抖音账号所发布的放蛇地点相符。此前,在宜宾读大学的陈同学前往五一村调查放生蛇时,在该放蛇区域附近拍到多张蛇蜕皮,并在机耕道外的崖壁上拍到一条蛇。
20260609 ? 假千金挨日记(NPC)小说TXT下载针对偷换测评概念、测评结果自相矛盾等涉嫌误导欺骗消费者的行为,可保留证据向相关互联网平台和有关部门进行投诉举报。XXXX她给出的理由是对方身上的特征太过于明显,只要自己稍微透露出一点点蛛丝马迹,网友们就一定能轻松地将此人定位锁定。
京公网安备11010202000001号
