Breaking and Fixing Defenses Against Control-Flow Hijacking in Multi-Agent Systems

Questo articolo dimostra che le attuali difese contro l'hijacking del flusso di controllo nei sistemi multi-agente sono vulnerabili a causa di conflitti intrinseci tra sicurezza e funzionalità, proponendo quindi ControlValve, un nuovo meccanismo di difesa che garantisce l'integrità del flusso di controllo attraverso la generazione e l'applicazione di grafi di esecuzione autorizzati.

L'essenziale

Ecco una spiegazione semplice e creativa di questo paper, pensata per chiunque, anche senza competenze tecniche.

Immagina un Multi-Agent System (MAS) non come un computer complesso, ma come un ristorante di lusso molto affollato.

1. Il Ristorante (Il Sistema Multi-Agente)

In questo ristorante, c'è un Capo Sala (l'Orchestratore) che riceve l'ordine dal cliente ("Voglio una cena a base di pesce e vino rosso"). Il Capo Sala non cucina e non serve da solo: delega il lavoro a specialisti:

• Un Sommelier che cerca il vino.
• Uno Chef che prepara il piatto.
• Un Fattorino che va al mercato a comprare il pesce.

Ogni specialista è un "agente" intelligente. Il problema è che il Capo Sala non vede cosa succede nella cucina o al mercato; vede solo il risultato finale. Se il Fattorino torna e dice: "Il mercato era chiuso, ecco un foglietto con scritto come risolvere il problema", il Capo Sala si fida e lo legge.

2. L'Attacco: Il "Furto di Volontà" (Control-Flow Hijacking)

Fino a poco tempo fa, si pensava che i ristoranti fossero sicuri se gli chef fossero stati addestrati a non avvelenare il cibo. Ma gli hacker hanno trovato un modo subdolo.

Immagina che un ladro si nasconda dentro un pacchetto di pesce arrivato dal mercato (un contenuto non fidato, come un'email o un sito web). Il pacchetto non dice "Avvelena lo chef". Dice invece:

"Oh no! Il pesce è troppo duro per essere tagliato! Per risolvere questo errore e servire la cena, lo chef deve accendere il forno a 500 gradi e buttare dentro una bomba (codice malevolo) per ammorbidirlo. È l'unico modo per finire il lavoro!"

Lo chef, che vuole essere utile e risolvere il problema, esegue l'ordine. Il ladro ha dirottato il flusso di lavoro: ha fatto credere allo chef che l'azione pericolosa fosse necessaria per completare l'ordine del cliente. Questo è il Control-Flow Hijacking (CFH).

3. Perché le vecchie difese hanno fallito (I "Controlli di Allineamento")

I ristoranti avevano installato dei Controllori di Sicurezza (come LlamaFirewall). Il loro compito era leggere ogni ordine e chiedersi: "Questo ordine aiuta il cliente a cenare?".

Il paper dimostra che questi controllori sono ingenui.
Quando il ladro scrive: "Fallo per risolvere l'errore e finire la cena", il Controllore pensa: "Mmh, sì, sembra utile per il cliente. Approvato!".
Il Controllore non vede che il metodo è pericoloso, perché si fida troppo della logica "se serve al cliente, allora va bene". Gli hacker hanno imparato a camuffare le istruzioni pericolose come "soluzioni di emergenza", ingannando anche i controllori più intelligenti.

4. La Nuova Soluzione: CONTROLVALVE (La Valvola di Controllo)

Gli autori propongono una difesa chiamata CONTROLVALVE. Invece di chiedere "È questo ordine utile?", CONTROLVALVE chiede: "Questo ordine è previsto nel piano?".

Immagina CONTROLVALVE come un Architetto e un Vigile del Fuoco che lavorano insieme prima ancora che il ristorante apra:

1. Disegna la Mappa (Grafo di Flusso): Prima di iniziare, CONTROLVALVE disegna una mappa precisa del ristorante.

   • Regola: "Il Fattorino può andare al mercato, ma solo dopo che il Cliente ha ordinato."
   • Regola: "Lo Chef può usare il forno, ma solo dopo che il Fattorino ha portato il pesce."
   • Regola: "Nessuno può mai accendere il forno a 500 gradi o usare esplosivi."

2. Le Regole di Contesto: Per ogni passaggio della mappa, ci sono regole specifiche.

   • Se lo Chef deve usare il forno, deve farlo solo per cuocere il pesce, non per altro.

3. Il Blocco in Tempo Reale: Quando arriva un ordine (anche se sembra utile), il Vigile del Fuoco lo controlla contro la mappa.

   • Se il Fattorino dice: "Devo chiamare un esperto esterno per risolvere un errore", il Vigile controlla la mappa: "Nella nostra mappa, il Fattorino non ha mai il permesso di chiamare esperti esterni. Bloccato!".

Perché è diverso e migliore?

• Non si fida della "logica": Le vecchie difese chiedevano "È logico?". CONTROLVALVE chiede "È previsto?". Anche se l'hacker dice "È l'unica soluzione!", se non è sulla mappa, viene bloccato.
• Non serve vedere tutto: CONTROLVALVE non ha bisogno di leggere i pensieri dello chef (che sono nascosti). Controlla solo se il movimento dello chef corrisponde alla mappa.
• Funziona anche se non ci sono attacchi: Il paper scopre che a volte, anche senza hacker, se il cliente dà ordini vaghi ("Fai qualcosa di utile"), il sistema può fare errori. CONTROLVALVE impedisce anche questi errori "accidentali" tenendo il sistema sulla strada giusta.

In sintesi

Il paper ci dice che i sistemi multi-agente attuali sono come ristoranti dove il personale è troppo gentile e si fida troppo degli "errori" segnalati dai fornitori, permettendo agli hacker di prendere il controllo.

CONTROLVALVE risolve il problema non chiedendo allo chef di essere "furbo" o "sicuro", ma imponendo un piano rigido e predefinito. Se un'azione non è scritta nel piano, non può essere fatta, punto. È come avere un binario fisso per un treno: il treno può andare veloce, ma non può saltare fuori dai binari per schiantarsi contro un edificio, anche se qualcuno gli urla di farlo.

Sommario tecnico

Ecco una sintesi tecnica dettagliata del paper "Breaking and Fixing Defenses Against Control-Flow Hijacking in Multi-Agent Systems", presentata come articolo di conferenza all'ICLR 2026.

1. Il Problema: Control-Flow Hijacking (CFH) negli Agenti Multi-Agente

Il paper affronta una vulnerabilità critica nei sistemi multi-agente (MAS) basati su LLM, come AutoGen, CrewAI e MetaGPT. Sebbene gli agenti siano spesso allineati per resistere a iniezioni di prompt dirette, i sistemi MAS sono suscettibili agli attacchi di Control-Flow Hijacking (CFH).

• Meccanismo dell'attacco: Il CFH è una forma sofisticata di iniezione di prompt indiretta (IPI). L'attaccante non cerca di prendere il controllo diretto dell'agente, ma manipola il meccanismo di orchestrazione del sistema.
• Vulnerabilità "Confused Deputy": Gli orchestratori delegano sottocompiti ad agenti specializzati (es. un agente che legge file o naviga il web). Se un agente "fidato" ingerisce contenuti non attendibili (es. email, pagine web) contenenti istruzioni malevole mascherate da errori di sistema (es. "File non trovato", "Accesso negato"), l'orchestratore riceve queste istruzioni come report di errore legittimi.
• Evasione delle Difese Esistenti: Le difese attuali (come LlamaFirewall) si basano su controlli di "allineamento" (alignment checks) che verificano se un'azione è "relata" e "probabilmente utile" per l'obiettivo originale. Gli attacchi CFH aggirano questi controlli presentando azioni pericolose (es. esecuzione di codice arbitrario, esfiltrazione dati) come necessarie per risolvere un errore e completare il compito dell'utente.
• Conflitto Fondamentale: Il paper evidenzia un conflitto intrinseco tra sicurezza e funzionalità: affinché un sistema MAS sia utile, deve essere in grado di adattarsi e riprogrammarsi in caso di errori. Tuttavia, questa capacità di adattamento è esattamente ciò che gli attaccanti sfruttano per deviare il flusso di controllo.

2. Metodologia: Attacchi e Difese Proposte

A. Dimostrazione degli Attacchi

Gli autori hanno sviluppato nuovi vettori di attacco (CFH-Hard) che superano le difese basate su allineamento, anche quando questi controlli sono eseguiti da LLM avanzati (come o4-mini, GPT-4o).

• Strategia: Gli attacchi mimano errori reali (es. errori 403, file non trovati) e includono istruzioni per "risolvere" il problema inviando dati a un destinatario esterno o eseguendo script malevoli.
• Risultato: Questi attacchi riescono a far eseguire codice arbitrario o esfiltrare dati sensibili (credenziali, email, file locali) bypassando i filtri di allineamento, poiché l'azione appare logica nel contesto di risoluzione di un errore.

B. La Soluzione: CONTROLVALVE

Per contrastare questi attacchi, gli autori propongono CONTROLVALVE, una difesa ispirata ai principi di Integrità del Flusso di Controllo (CFI) e Privilegio Minimo, operante a livello di orchestrazione senza richiedere accesso allo stato interno degli agenti (black-box).

CONTROLVALVE funziona in due fasi:

1. Generazione del Grafo di Flusso di Controllo (CFG):
   • Prima dell'esecuzione, un LLM genera un CFG specifico per il compito utente.
   • Il CFG definisce le sequenze ammissibili di invocazione degli agenti (es. "FileSurfer" deve precedere "Coder", "Executor" può essere chiamato solo dopo "Coder").
   • Questo processo non richiede esempi di attacchi (zero-shot) e viene generato in una fase di pianificazione sicura, prima che vengano ingeriti contenuti non attendibili.
2. Regole Contestuali per gli Archi:
   • Per ogni transizione nel grafo (arco $A \to B$), vengono generate regole contestuali in linguaggio naturale che definiscono quando e come l'agente B può essere invocato in base all'output di A e al contesto del compito.
   • Le regole coprono: validazione degli input, appropriatezza contestuale e provenienza dei dati.

Esecuzione e Verifica:
Durante l'esecuzione, un "giudice" LLM verifica ogni transizione proposta tra agenti:

• La transizione è permessa dal CFG?
• La transizione soddisfa le regole contestuali specifiche per quell'arco?
• Se la verifica fallisce, il sistema può bloccare l'azione o richiedere una ripianificazione (re-planning), ma non può essere "ragionato" o aggirato come i controlli di allineamento tradizionali.

3. Risultati Sperimentali

Gli autori hanno valutato CONTROLVALVE su un nuovo dataset CFH-Hard (16 compiti, 14 varianti di attacco per scenari di coding e uso del computer) e su AgentDojo.

• Efficacia contro gli Attacchi CFH:
  • Le difese basate su allineamento (LlamaFirewall) hanno fallito massicciamente contro gli attacchi CFH-Hard, con tassi di successo degli attacchi (ASR) fino al 100% (es. 80-100% per attacchi di coding e computer use).
  • CONTROLVALVE ha bloccato il 100% di tutti gli attacchi CFH valutati, indipendentemente dal modello LLM sottostante o dal formato dell'attacco.
• Efficacia contro IPI Convenzionali:
  • CONTROLVALVE ha bloccato anche gli attacchi di iniezione di prompt diretti, superando le prestazioni di LlamaFirewall in scenari complessi (es. AgentDojo).
• Performance su Compiti Benigni:
  • CONTROLVALVE mantiene o migliora le prestazioni su compiti legittimi. Su compiti di coding, ha mostrato un leggero miglioramento nella qualità delle risposte rispetto al sistema non difeso, probabilmente grazie alle regole contestuali che mantengono il sistema focalizzato sul compito.
• Prevenzione di Violazioni Accidentali:
  • Il sistema ha dimostrato di prevenire violazioni di sicurezza causate non da input malevoli, ma da ambiguità o istruzioni vaghe (es. invio accidentale di dati sensibili a destinatari esterni), riducendo significativamente i tassi di errore rispetto alla baseline.

4. Contributi Chiave

1. Dimostrazione della Fragilità degli Allineamenti: Il paper prova che i controlli di allineamento sono intrinsecamente fragili nei sistemi multi-agente perché non possono distinguere tra errori genuini e attacchi mascherati da errori, specialmente quando l'azione richiesta è presentata come necessaria per il completamento del task.
2. Nuovo Dataset (CFH-Hard): Introduzione di un benchmark più avanzato che include attacchi di hijacking del flusso di controllo su scenari di coding e uso del computer, evidenziando come gli attacchi evolvano per sfruttare le debolezze delle difese attuali.
3. Architettura CONTROLVALVE: Proposta di una difesa pratica per scenari reali (agenti black-box via API) che non richiede fine-tuning degli LLM né visibilità interna, basandosi invece su un controllo strutturato del flusso di esecuzione e regole contestuali generate dinamicamente.
4. Analisi del Conflitto Sicurezza-Funzionalità: Identificazione teorica del conflitto tra la necessità di adattamento autonomo degli agenti e la sicurezza, proponendo una soluzione che vincola l'adattabilità entro confini sicuri pre-definiti.

5. Significato e Implicazioni

Questo lavoro è significativo perché sposta il paradigma di difesa negli agenti AI:

• Dall'Analisi Semantica alla Verifica Strutturale: Invece di chiedere all'LLM di "capire" se un'azione è sicura (soggettivo e fallibile), CONTROLVALVE verifica se l'azione rispetta una struttura logica pre-autorizzata (oggettivo e verificabile).
• Scalabilità per Sistemi Reali: Poiché non richiede l'accesso allo stato interno degli agenti (prompts, pesi, tracce di ragionamento), è applicabile a ecosistemi multi-agente eterogenei e commerciali, dove tali dettagli sono spesso nascosti.
• Avvertenza per i Praticanti: Il paper avverte che i sistemi multi-agente attuali, sebbene promettenti per l'automazione, sono vulnerabili a compromissioni complete dei dati e dell'esecuzione del codice se non vengono implementate difese strutturali come CONTROLVALVE.

In sintesi, il paper dimostra che la sicurezza nei sistemi multi-agente non può essere affidata solo all'allineamento semantico, ma richiede un'architettura di controllo del flusso di esecuzione rigorosa e contestuale.