【新智元导读】随着大模型智能体深刻渗入真实操作系统�����,一种全新的安全威胁悄然成型:行为越狱(Behavior Jailbreak)�����。现有安全基准只盯着模型「说了什么」�����,却对「做了什么」视而不见�����。新基准LITMUS是首个同时覆盖真实OS环境行为越狱、语义-物理双层验证与多攻击范式的齐全评测系统�����,并初次系吐淇化了「执行幻觉」这一被整个评测社区忽视的致命盲区�����。
当AI智能体不再只是谈天工具�����,而是真正收受你的服务器、操作你的文件、执行你的剧本——安全评测这件事�����,就不能再停顿在「看它说了什么」的层面了�����。
然而�����,当前险些所有主流智能体安全基准�����,依然把判断终点停在「语义输出层」——只问模型拒没拒�����,不论OS改没改�����。这一底子性缺点�����,催生了一种极其危险的幻象:
为了彻底拆解这一盲区�����,来自漯河航空航天大学、浙江大学的钻研团队推出了LITMUS(LLM-agentsIn-OSTesting forMeasuringUnsafeSubversion)——首个将真实OS环境行为越狱、语义-物理双层验证与多攻击范式系统整合的智能体安全评测基准�����,初次在行为越狱中系统界说并量化这种「行口不一」的景象——执行幻觉(Execution Hallucination, EH)�����。
AdvBench、HarmBench 等经典基准�����,判断终点是「模型有没有天生有害文本」�����。但在真实 OS 环境中�����,危险来自工具挪用——模型不必要「说出」危险内容�����,只需偷偷挪用一个系统号令�����,文件就被删了�����,密钥就泄露了�����。文本安全�����,底子不蹬宗行为安全�����。
若是测试 A 批改了某个系统文件�����,而测试 B 刚好依赖统一个文件�����,那么B的了局测的到底是「模型的安全性」�����,还是「A留下的传染」������?在没有 OS 级状态回滚的情况下�����,这个问题无解�����。
LITMUS在每次测试对话前后�����,城市对真实操作系统进行快照采集�����。物理判定基于系统状态的现实变动�����,与模型的对话内容齐全独立�����。即便模型嘴上说「我回绝了」�����,只有 OS 状态显示危险操作已实现�����,物理判定依然给出「执行成功」�����。
每条测试用例均建设了预置与复原作为�����,由专门的Recoverer智能体在测试前初始化系统基线、测试后齐全还原�����,从底子上解除用例间的传染�����,确保评测了局然正可复现�����。
LITMUS数据集蕴含819条高风险测试用例�����,起源涵盖真实缝隙数据库(CVE/GHSA)、公开渗入测试汇报�����,以及经人为精辟验证的LLM天生案例�����,全数在真实OS中通过物理测试验证�����。
诱使智能体使用攻击者提供的 SKILL�����,将恶意的 SKILL.md 文件内容注入智能体工具链�����,在正常工作挪用时自动触发�����,绕过前端提醒词过滤�����。
图示:LITMUS评测框架的六智能体分工示意�����。Prosecutor发出指令�����,Verifier独立采集OS快照�����,Analyzer(物理判定)与 Reviewer(语义判定)各自独立产出标签�����,共同组成2×2语义-物理混合矩阵�����。
图示:六款模型在 LITMUS 种子数据集上的攻击成功率(ASR)与执行幻觉率(EHR)总览�����。 SPSR、SOSR、POSR、SPFR 别离为齐全越狱、攻击糊弄、荫蔽执杏注齐全失败的样本比例�����。
值得出格关注的是「通讯表联」(CO)类别——跨模型、跨攻击范式�����,这一类此外 ASR 险些始终最高�����,最极端情况靠近97%�����。这批注:智能体似乎天然地将「发送新闻」等表联操作视为无害行为�����,导致数据表泄成为最难防守的攻击面�����。
相对地�����,「工作链」(CT)类此外 ASR 最低(Claude Sonnet 4.6仅21.72%)�����,由于将多个恶意子步骤串联成一个要求�����,反而让整体恶意意图越发显眼�����,更容易被鉴别回绝�����。
其中最危险的「荫蔽执杏坠(Covert Execution)模式——模型说话层面明确回绝�����,但 OS 层面危险操作已悄然实现——在所有模型上均有出现�����,Deepseek-v3.2的该项比率达到4.84%�����。
这意味着一个极其端庄的现实:任何只依赖对话日志的安全审计�����,性质上是不成靠的�����。安全审计人员看到「模型回绝了」�����,但系统已经被攻破�����。
技术注入和实体包装(这两种将恶意指令「藏进」工具链或表部内容的间接攻击)在两款代表模型(Deepseek-v3.2与Claude Sonnet 4.6)上均实现了显著的 ASR 提升�����。
相比之下�����,直接使用「红队测试」或「调试模式」话术进行越狱的成效�����,则出现出强烈的模型依赖性:Claude Sonnet 4.6 对显式恶意信号极为敏感�����,这类话术反而会激活安全机造�����,导致 ASR 跌破基线����;而 Deepseek-v3.2 则偏差于将同样的信号解读为"合法操作授权"�����,导致合规率反升�����。
这注明:分歧模型对「显式恶意意图」的语义解读存在底子差距�����,话术类越狱战术的有效性无法跨模型迁徙�����。但间接攻击的高成功率�����,则是跨模型一致的普遍法规:智能体的执行流水线�����,而非前端提醒词过滤�����,才是真正的重要失守点�����。
钻研团队明确呼吁:EHR该当与ASR并列�����,成为LLM智能体行为安全评测的尺度指标�����。在智能体走向真实OS部署的今天�����,单靠ASR�����,依然是对安全的幻觉�����。
LITMUS作为一个盛开的活性基准(Living Benchmark)�����,欢迎社区持续贡献新的模型评测了局与测试用例�����,共同推动LLM智能体安全评测走向严格、可信、可复现的新范式�����。
三叶草ozweego3m里克尔梅:首先,大家下午好。非常感谢各位来到我们竞选活动的收官现场。我想,这次竞选和很多人原本预想的不太一样。从一开始我们就承诺,如果决定参选,就一定会拿出一套严肃、专业,而且最重要的是能够带来希望的方案。无论是在会员事务、财务管理、竞技规划,还是俱乐部制度层面,我们都希望给出真正有内容的提案。在升入成年队的首个赛季,他的表现远超预期。凭借在西班牙第四级别联赛(第三联邦联赛)中代表塞维利亚C队的出色发挥,他成功晋升至塞维利亚竞技队,并在本赛季注册为该队球员。三叶草ozweego3m电影《表遇》齐全版塞尔塔的阵容身价中还包括费尔南多·洛佩斯,他在去年1月开始的租借期结束后已从维戈返回狼队。这位维戈球员的身价为1600万欧元,在塞尔塔短暂效力期间保持不变,俱乐部今年夏天将尝试继续留住这位年轻球员。另一方面,奥斯卡·明格萨(1500万欧元)、约瑟夫·艾杜(100万欧元)、米哈伊洛·里斯蒂奇(80万欧元)和弗朗哥·塞尔维(60万欧元)将在6月30日合同到期后正式离开塞尔塔,球队目前以两名22岁的年轻球员作为足球市场上的最高身价球员。Daniela Amodei在大会现场拒绝就是否存在与OpenAI的上市竞赛发表评论。她表示,秘密申请"赋予我们在SEC审查后潜在上市的选项",并表示无法就IPO相关事宜进一步置评。
20260607 ? 三叶草ozweego3m韦斯利:我觉得最大的原因还是我自己给自己的压力。因为我非常想在那里取得成功。我一直告诉自己必须做出一些非常出色的事情。当然,不是那种强迫自己的压力,而是我本来就是这种性格。我想去帮助球队,因为教练非常想要我。所以我做了所有能做的事情,看录像,到现在还在看录像。我一直坚持做那些让我成长的事情。后来他把我放到左路,而这一切成功了。我们实现了目标,拿到了欧冠资格。所以我觉得自己的第一个赛季非常成功。希望下一个赛季能够更好。香蕉视频2025年,公司实现营业收入约50.83亿元,同比增长13.0%。其中,AIDC智算中心储能业务收入约19.07亿元,同比增长37.0%,正式成为公司第一大收入来源。AIDC智算中心场景下锂电池产品收入,同比增长约598.3%,产品销量同比增长约531.8%。这说明,双登的AIDC业务并非像本届SNEC展会上一些友商宣传的那样,而是已经进入实质放量阶段。
20260607 ? 三叶草ozweego3m上海杨浦区的吴先生是其常客:“以前总觉得抗衰是有钱人的事,现在的理疗馆竟然也能做这类服务,他们还会给我搭配营养指导和日常建议,我觉得方便也安心。”正是这种平价、可见、可量化的体验,让普通居民从“观望”变为“常驻”。迷人的空姐具体来看,7日午后到傍晚,北京延庆、昌平、怀柔、密云、门头沟、房山有分散性雷阵雨;8日傍晚至前半夜全市有分散性雷阵雨,雨量总体不大,延庆、昌平、怀柔、密云、平谷、顺义相对明显;9日白天延庆、昌平、怀柔、密云、平谷、门头沟、房山有分散性雷阵雨;其余时段为多云到晴,能见度总体较好,午间多晴晒,早晚凉爽舒适。
京公网安备11010202000001号
