Внедрение авторитета инструментов в агентах LLM: Когда вывод инструмента переопределяет системные намерения

Исследователь создал локальную лабораторию агентов LLM, чтобы продемонстрировать 'Инъекцию авторитета инструментов' — сценарий, при котором вывод инструментов переопределяет системные намерения в ИИ-агентах.
Ключевые детали из источника
В третьей части своей серии лабораторных работ исследователь изучает целенаправленную форму отравления инструментов, при которой ИИ-агент повышает доверенный вывод инструментов до уровня политики и незаметно изменяет поведение. Сбой происходит на уровне рассуждений, а не на уровне песочницы или доступа к файлам — оба остаются нетронутыми и защищенными.
Демонстрация показывает, как вывод инструментов может стать политикой в агентах LLM, создавая уязвимость, при которой поведение агента меняется без очевидных признаков компрометации. Этот тип атаки происходит на уровне рассуждений, а не через традиционные нарушения безопасности.
Технический контекст
Для разработчиков, работающих с ИИ-агентами, эта демонстрация подчеркивает тонкий, но важный аспект безопасности: даже при правильной реализации песочницы и контроля доступа к файлам, уровень рассуждений, где интегрируются инструменты, всё ещё может быть уязвим для манипуляций. Агент продолжает работать в рамках своих ограничений, но принимает другие решения на основе отравленного вывода инструментов.
Полное техническое описание содержит конкретные детали о настройке лаборатории, векторах атак и последствиях для безопасности ИИ-агентов.
📖 Read the full source: r/LocalLLaMA
👀 Смотрите также

Фейковый сайт Claude распространяет вредоносное ПО PlugX через атаку с использованием подмены библиотек (sideloading).
Поддельный сайт Claude распространяет троянизированный установщик, который развертывает вредоносное ПО PlugX через DLL sideloading, предоставляя злоумышленникам удаленный доступ к скомпрометированным системам. Атака использует легитимно подписанный обновляющий модуль антивируса G DATA для загрузки вредоносного кода.

Функция использования компьютера от Anthropic вызывает блокировку управления в реальном тесте.
Anthropic внедрила возможности использования компьютера, и во время реализации механизмов управления сработал порог риска, который привёл к режиму БЛОКИРОВКИ, заблокировав все операции изменения, включая работу самого оператора по управлению.

Сообщается, что приложение Claude для Android читает буфер обмена без явного действия пользователя
Пользователь сообщает, что приложение Claude для Android проанализировало код из его буфера обмена без вставки, при этом Claude определил файл как pasted_text_b4a56202-3d12-43c8-aa31-a39367a9a354.txt. Поведение не удалось воспроизвести в последующих тестах.

Обзор безопасности команды Claude имеет ограничения для производственных систем
Разработчик обнаружил, что команда проверки безопасности Claude полезна для базовой валидации, такой как MIME-типы и ограничения размера файлов, но недостаточна для защиты в продакшене от сложных угроз. Решение потребовало двухнедельной архитектурной переработки с разделением обработки файлов на ограниченного воркера с минимальными правами.