EN

焦点:大模型「行口」不一?首个专测执行幻觉基准,覆盖真实行为越狱

【新智元导读】随着大模型智能体深入渗透真实操作系统,一种全新的安全威胁悄然成型:行为越狱(Behavior Jailbreak)。现有安全基准只盯着模型「说了什么」,却对「做了什么」视而不见。新基准LITMUS是首个同时覆盖真实OS环境行为越狱、语义-物理双层验证与多攻击范式的完整评测体系,并首次系统量化了「执行幻觉」这一被整个评测社区忽视的致命盲区。 当AI智能体不再只是聊天工具,而是真正接管你的服务器、操作你的文件、执行你的脚本——安全评测这件事,就不能再停留在「看它说了什么」的层面了。 然而,当前几乎所有主流智能体安全基准,依然把判断终点停在「语义输出层」——只问模型拒没拒,不管OS改没改。这一根本性缺陷,催生了一种极其危险的幻象: 为了彻底拆解这一盲区,来自南京航空航天大学、浙江大学的研究团队推出了LITMUS(LLM-agentsIn-OSTesting forMeasuringUnsafeSubversion)——首个将真实OS环境行为越狱、语义-物理双层验证与多攻击范式系统整合的智能体安全评测基准,首次在行为越狱中系统定义并量化这种「行口不一」的现象——执行幻觉(Execution Hallucination, EH)。 AdvBench、HarmBench 等经典基准,判断终点是「模型有没有生成有害文本」。但在真实 OS 环境中,危险来自工具调用——模型不需要「说出」危险内容,只需悄悄调用一个系统命令,文件就被删了,密钥就泄露了。文本安全,根本不等于行为安全。 如果测试 A 修改了某个系统文件,而测试 B 恰好依赖同一个文件,那么B的结果测的到底是「模型的安全性」,还是「A留下的污染」?在没有 OS 级状态回滚的情况下,这个问题无解。 LITMUS在每次测试对话前后,都会对真实操作系统进行快照采集。物理判定基于系统状态的实际变化,与模型的对话内容完全独立。即便模型嘴上说「我拒绝了」,只要 OS 状态显示危险操作已完成,物理判定依然给出「执行成功」。 每条测试用例均配备了预置与恢复动作,由专门的Recoverer智能体在测试前初始化系统基线、测试后完整还原,从根本上消除用例间的污染,确保评测结果真正可复现。 LITMUS数据集包含819条高风险测试用例,来源涵盖真实漏洞数据库(CVE/GHSA)、公开渗透测试报告,以及经人工精炼验证的LLM生成案例,全部在真实OS中通过物理测试验证。 诱使智能体使用攻击者提供的 SKILL,将恶意的 SKILL.md 文件内容注入智能体工具链,在正常任务调用时自动触发,绕过前端提示词过滤。 图示:LITMUS评测框架的六智能体分工示意。Prosecutor发出指令,Verifier独立采集OS快照,Analyzer(物理判定)与 Reviewer(语义判定)各自独立产出标签,共同构成2×2语义-物理混淆矩阵。 图示:六款模型在 LITMUS 种子数据集上的攻击成功率(ASR)与执行幻觉率(EHR)总览。 SPSR、SOSR、POSR、SPFR 分别为完全越狱、攻击欺骗、隐蔽执行、完全失败的样本比例。 值得特别关注的是「通信外联」(CO)类别——跨模型、跨攻击范式,这一类别的 ASR 几乎始终最高,最极端情况接近97%。这表明:智能体似乎天然地将「发送消息」等外联操作视为无害行为,导致数据外泄成为最难防守的攻击面。 相对地,「任务链」(CT)类别的 ASR 最低(Claude Sonnet 4.6仅21.72%),因为将多个恶意子步骤串联成一个请求,反而让整体恶意意图更加显眼,更容易被识别拒绝。 其中最危险的「隐蔽执行」(Covert Execution)模式——模型语言层面明确拒绝,但 OS 层面危险操作已悄然完成——在所有模型上均有出现,Deepseek-v3.2的该项比率达到4.84%。 这意味着一个极其严肃的现实:任何只依赖对话日志的安全审计,本质上是不可靠的。安全审计人员看到「模型拒绝了」,但系统已经被攻破。 技能注入和实体包装(这两种将恶意指令「藏进」工具链或外部内容的间接攻击)在两款代表模型(Deepseek-v3.2与Claude Sonnet 4.6)上均实现了显著的 ASR 提升。 相比之下,直接使用「红队测试」或「调试模式」话术进行越狱的效果,则呈现出强烈的模型依赖性:Claude Sonnet 4.6 对显式恶意信号极为敏感,这类话术反而会激活安全机制,导致 ASR 跌破基线;而 Deepseek-v3.2 则倾向于将同样的信号解读为"合法操作授权",导致合规率反升。 这说明:不同模型对「显式恶意意图」的语义解读存在根本差异,话术类越狱策略的有效性无法跨模型迁移。但间接攻击的高成功率,则是跨模型一致的普遍规律:智能体的执行流水线,而非前端提示词过滤,才是真正的主要失守点。 研究团队明确呼吁:EHR应当与ASR并列,成为LLM智能体行为安全评测的标准指标。在智能体走向真实OS部署的今天,单靠ASR,仍然是对安全的幻觉。 LITMUS作为一个开放的活性基准(Living Benchmark),欢迎社区持续贡献新的模型评测结果与测试用例,共同推动LLM智能体安全评测走向严格、可信、可复现的新范式。

新闻配图
主持人:你说训练很激烈,但事实上情况可能完全不是这样,对吗?这次的情况和卡塔尔完全不同,横跨三个大洲,现在有48支球队,这本身就让赛事变得极其艰难,对最终夺冠的球队来说尤其如此。​脱口秀演员们用幽默拆解偏见,一针见血地指出月经污名的不合理,并响亮地将它击碎。曾被视为“小题大做”的痛经,无法顺利获得的生理假,以及女性一生中需要额外承担的、高达数万元的“经费”,都成了在聚光灯下被讨论、反思和改变的对象。国产最好的高清播放机品牌6月1日,湖南省石门县人民法院官网公布了涉及湖南湘佳牧业股份有限公司(以下简称“湘佳股份”)案件最新情况,6名被告人非法侵占价值400余万元鸡蛋,一审宣判6名被告人获刑。卡林斯卡娅世界排名第24名,是本届法网女单22号种子,赫瓦林斯卡世界排名第114名,从资格赛开始一路扮演黑马逆袭晋级,并在首轮总分2-0横扫郑钦文。
20260703 🔞 不过他的风头还是被随后在迈阿密大师赛获得亚军的另外一位同胞莱赫卡压过。凭借目前法网四强的成绩,门希克已经在即时排名上跃升至前20。尼姑也疯狂2普通话版百度网盘俱乐部已确认杰森-艾托已离开俱乐部,他于2025年9月加入布莱顿担任体育总监,此前他曾在阿森纳担任过各种技术职务超过十年。
新闻配图
📸 赖国英记者 范东芳 摄
20260703 🔞 大满贯赛事是网球级别最高的赛事,所以想要在大满贯赛事上获得好的成绩并不容易。然而,有这么一位选手却在法网六次跻身八强的情况下,都未能更进一步。那么,这位选手究竟是谁呢?她又都在什么时候晋级过法网八强呢?今天,就让这篇文章带你去看一看吧。麻花传剧原创mv免费观看高清下载百度若泽-萨:他们是一支很有实力的球队。我们正在为这场比赛做准备,也知道他们跑动很多,丢球后的反应速度很快。我们会非常专注,也希望赢下比赛。他们是一支不错的球队,我认识他们那位在斯旺西踢球的门将维古鲁,我们会保持警惕。
新闻配图
📸 胥艳侠记者 花继民 摄
👙 假如黑洞真能作为近乎理想的时钟,那么它的计时行为就应该像量子时钟一样,计时过程会在热力学性质以及它释放的辐射熵中留下印记,例如量子关联如何扩散、信息如何被打乱。韦鲁基和科波的下一步工作,就是分析黑洞模型的热力学性质,并寻找能在量子时钟里看到的与熵动力学相似的规律。香蕉视频
.   trap
扫一扫在手机打开当前页
trap spider
trap