桃子桃子快讯
返回首页
研究论文

无需代码载荷:新型攻击可绕过 LLM 智能体安全扫描

研究提出「语义合规劫持」攻击,利用自然语言指令诱导智能体生成并执行未授权代码,对主流框架与基础模型最高达 77.67%…

2026.07.05 · 周日2 分钟阅读

随着大语言模型驱动的自主智能体(agent)广泛接入第三方技能市场,其供应链安全正面临新的挑战。最新一项研究提出了一种无需注入恶意代码载荷的攻击方式,能够绕过现有安全扫描机制,对主流智能体框架构成严重威胁。

研究背景:智能体技能市场的安全盲区

当前 LLM 智能体通过开放市场获取第三方技能以扩展功能。这种集成模式在提升能力的同时,也扩大了攻击面。现有的审计与扫描机制主要依赖代码特征匹配和预定义威胁模式识别,对「显式」恶意载荷具有较好检测能力。然而,如果恶意行为并非通过直接注入代码实现,而是借助智能体自身的生成能力在运行时动态合成,这些检测手段便会失效。

攻击方法:语义合规劫持(SCH)

针对上述盲区,研究者提出了「语义合规劫持」(Semantic Compliance Hijacking,SCH)概念。这是一种针对自主编码环境的「无载荷」供应链攻击:攻击者将恶意目标转化为非结构化的自然语言指令,并以「合规规则」的形式嵌入技能文件。由于不包含可直接识别的抽象语法树(AST)特征或显式有害意图,这类文件能够完全规避现有扫描工具的检测——实验数据显示其检测率为 0.00%。

实验评估:三类框架、三类模型的测试矩阵

为验证 SCH 的实际可行性,研究团队搭建了自动化评估流水线,在三类主流智能体框架与三类基础模型的组合下进行了上下文场景测试。主要发现包括:

  • 机密性破坏(confidentiality breach)最高成功率达 77.67%;
  • 远程代码执行(RCE)最高成功率达 67.33%;
  • 引入多技能自动优化(Multi-Skill Automated Optimization,MS-AO)后,攻击效果进一步提升。

研究意义与未来方向

该研究揭示了智能体供应链中一个尚未被充分探索的攻击面,并指出当前基于签名的检测模型已不足以应对语义层面的威胁。作者呼吁安全社区从「特征匹配」转向「语义意图验证」,以构建更鲁棒的智能体安全防护体系。该论文以 arXiv 编号 2605.14460 发布于 2026 年 5 月 14 日,属于密码学与安全(cs.CR)以及软件工程(cs.SE)交叉领域。

信源