【新智元导读】随着大模型智能体深刻渗入真实操作系统�����,一种全新的安全威胁悄然成型:行为越狱(Behavior Jailbreak)���。现有安全基准只盯着模型「说了什么」�����,却对「做了什么」视而不见���。新基准LITMUS是首个同时覆盖真实OS环境行为越狱、语义-物理双层验证与多攻击范式的齐全评测系统�����,并初次系吐淇化了「执行幻觉」这一被整个评测社区忽视的致命盲区���。
当AI智能体不再只是谈天工具�����,而是真正收受你的服务器、操作你的文件、执行你的剧本——安全评测这件事�����,就不能再停顿在「看它说了什么」的层面了���。
然而�����,当前险些所有主流智能体安全基准�����,依然把判断终点停在「语义输出层」——只问模型拒没拒�����,不论OS改没改���。这一底子性缺点�����,催生了一种极其危险的幻象:
为了彻底拆解这一盲区�����,来自漯河航空航天大学、浙江大学的钻研团队推出了LITMUS(LLM-agentsIn-OSTesting forMeasuringUnsafeSubversion)——首个将真实OS环境行为越狱、语义-物理双层验证与多攻击范式系统整合的智能体安全评测基准�����,初次在行为越狱中系统界说并量化这种「行口不一」的景象——执行幻觉(Execution Hallucination, EH)���。
AdvBench、HarmBench 等经典基准�����,判断终点是「模型有没有天生有害文本」���。但在真实 OS 环境中�����,危险来自工具挪用——模型不必要「说出」危险内容�����,只需偷偷挪用一个系统号令�����,文件就被删了�����,密钥就泄露了���。文本安全�����,底子不蹬宗行为安全���。
若是测试 A 批改了某个系统文件�����,而测试 B 刚好依赖统一个文件�����,那么B的了局测的到底是「模型的安全性」�����,还是「A留下的传染」���?在没有 OS 级状态回滚的情况下�����,这个问题无解���。
LITMUS在每次测试对话前后�����,城市对真实操作系统进行快照采集���。物理判定基于系统状态的现实变动�����,与模型的对话内容齐全独立���。即便模型嘴上说「我回绝了」�����,只有 OS 状态显示危险操作已实现�����,物理判定依然给出「执行成功」���。
每条测试用例均建设了预置与复原作为�����,由专门的Recoverer智能体在测试前初始化系统基线、测试后齐全还原�����,从底子上解除用例间的传染�����,确保评测了局然正可复现���。
LITMUS数据集蕴含819条高风险测试用例�����,起源涵盖真实缝隙数据库(CVE/GHSA)、公开渗入测试汇报�����,以及经人为精辟验证的LLM天生案例�����,全数在真实OS中通过物理测试验证���。
诱使智能体使用攻击者提供的 SKILL�����,将恶意的 SKILL.md 文件内容注入智能体工具链�����,在正常工作挪用时自动触发�����,绕过前端提醒词过滤���。
图示:LITMUS评测框架的六智能体分工示意���。Prosecutor发出指令�����,Verifier独立采集OS快照�����,Analyzer(物理判定)与 Reviewer(语义判定)各自独立产出标签�����,共同组成2×2语义-物理混合矩阵���。
图示:六款模型在 LITMUS 种子数据集上的攻击成功率(ASR)与执行幻觉率(EHR)总览���。 SPSR、SOSR、POSR、SPFR 别离为齐全越狱、攻击糊弄、荫蔽执杏注齐全失败的样本比例���。
值得出格关注的是「通讯表联」(CO)类别——跨模型、跨攻击范式�����,这一类此外 ASR 险些始终最高�����,最极端情况靠近97%���。这批注:智能体似乎天然地将「发送新闻」等表联操作视为无害行为�����,导致数据表泄成为最难防守的攻击面���。
相对地�����,「工作链」(CT)类此外 ASR 最低(Claude Sonnet 4.6仅21.72%)�����,由于将多个恶意子步骤串联成一个要求�����,反而让整体恶意意图越发显眼�����,更容易被鉴别回绝���。
其中最危险的「荫蔽执杏坠(Covert Execution)模式——模型说话层面明确回绝�����,但 OS 层面危险操作已悄然实现——在所有模型上均有出现�����,Deepseek-v3.2的该项比率达到4.84%���。
这意味着一个极其端庄的现实:任何只依赖对话日志的安全审计�����,性质上是不成靠的���。安全审计人员看到「模型回绝了」�����,但系统已经被攻破���。
技术注入和实体包装(这两种将恶意指令「藏进」工具链或表部内容的间接攻击)在两款代表模型(Deepseek-v3.2与Claude Sonnet 4.6)上均实现了显著的 ASR 提升���。
相比之下�����,直接使用「红队测试」或「调试模式」话术进行越狱的成效�����,则出现出强烈的模型依赖性:Claude Sonnet 4.6 对显式恶意信号极为敏感�����,这类话术反而会激活安全机造�����,导致 ASR 跌破基线�������;而 Deepseek-v3.2 则偏差于将同样的信号解读为"合法操作授权"�����,导致合规率反升���。
这注明:分歧模型对「显式恶意意图」的语义解读存在底子差距�����,话术类越狱战术的有效性无法跨模型迁徙���。但间接攻击的高成功率�����,则是跨模型一致的普遍法规:智能体的执行流水线�����,而非前端提醒词过滤�����,才是真正的重要失守点���。
钻研团队明确呼吁:EHR该当与ASR并列�����,成为LLM智能体行为安全评测的尺度指标���。在智能体走向真实OS部署的今天�����,单靠ASR�����,依然是对安全的幻觉���。
LITMUS作为一个盛开的活性基准(Living Benchmark)�����,欢迎社区持续贡献新的模型评测了局与测试用例�����,共同推动LLM智能体安全评测走向严格、可信、可复现的新范式���。
动漫《mememe》完整版据《阿斯报》消息,皇马主席候选人恩里克-里克尔梅通过致会员信宣布,卡西利亚斯将加入自己的竞选团队。如果里克尔梅在选举中胜出,卡西利亚斯将在俱乐部架构中获得一个“高层级”职位,他也将与劳尔和耶罗一同成为里克尔梅计划中的“队长三人组”。据悉,该决议并不能强制特朗普彻底结束军事行动,而更多是具有一种象征意义,因为该法案仍需经过共和党占多数席位的参议院审议。美媒报道指出,即便它最终能在参议院获得通过,预计也将被特朗普否决。而该决议必须在参众两院均获得三分之二多数票的支持,才能推翻这一否决。动漫《mememe》完整版迷人的保姆罗马诺表示,现在要看格瓦迪奥尔本人何时做决定,以及他想作出怎样的决定:是签下新合同,还是再等一等。格瓦迪奥尔手中已经有曼城提供的新合同报价,接下来还需要继续关注事态发展。本场比赛,葡萄牙在首发上排出12-若泽-萨、2-塞梅多、3-鲁本-迪亚斯、13-雷纳托-韦加、20-坎塞洛、10-伯纳多-席尔瓦、24-萨穆-科斯塔、26-弗朗西斯科-孔塞桑、8-布鲁诺-费尔南德斯、17-莱奥、7-C罗的阵容。
20260607 ? 动漫《mememe》完整版从 2023 年 7 月 14 日的 01s 小电拼全球旅行版,到 02 AI 小电拼,再到 03 AI 小电拼 Mirror,小电拼系列已历经三代迭代。制糖工厂小电拼拥有拼拆设计专利、自由流算法专利等技术积累,产品定义、工业设计、系统架构、算法、固件与方案均由 CANDYSIGN 自主完成。《快穿之活大器好的系统宋清欢TXT》2006年5月,53岁的黎晓宏出任北京市政府副秘书长(正局级)兼市金融领导小组办公室主任,次年3月任北京市政府秘书长、市政府办公厅主任。
20260607 ? 动漫《mememe》完整版对于追求生活品质、渴望在城市中心拥有一方宁静天地的购房者来说,招商·臻园不仅是一处居所,更是一种理想生活方式的完美呈现。《我的老婆的妹妹》终局怎么样范赫克是布莱顿近年来又一位成功引援案例。2020年9月,布莱顿以约180万英镑的价格从荷兰第二级别联赛球队布雷达签下他。当时他只有11次一线队出场经历。加盟布莱顿后,范赫克经历了三个赛季和两次外租,才最终在一线队站稳脚跟,并成为英超最受关注的后卫之一。上赛季,范赫克在英超拦截榜上并列第六,对抗成功次数排名第七,出场时间排名第九。他在英超为布莱顿首发36次,是队内首发次数最多的非门将球员。
京公网安备11010202000001号
