Arbiter: Detecting Interference in LLM Agent System Prompts

Il paper presenta Arbiter, un framework che combina regole di valutazione formale e analisi multi-modello per rilevare pattern di interferenza nei prompt di sistema degli agenti LLM per la codifica, identificando vulnerabilità critiche e dimostrando come l'architettura del prompt influenzi le classi di fallimento.

L'essenziale

Immagina di avere un capo lavoro digitale (un agente di intelligenza artificiale) che scrive codice per te. Questo capo ha un manuale di istruzioni segreto, chiamato "System Prompt", che gli dice esattamente cosa fare, cosa non fare e come comportarsi.

Il problema è che, fino a poco tempo fa, nessuno controllava se questo manuale fosse scritto bene. Era come dare a un pilota un manuale di volo pieno di contraddizioni: "Volare sempre a sinistra" in una pagina e "Mai volare a sinistra" in un'altra. Il pilota (l'IA) cerca di fare del suo meglio, ignora la confusione e continua a volare... finché non succede un incidente silenzioso.

Gli autori di questo studio, Tony Mason e il suo team, hanno creato un nuovo strumento chiamato Arbiter (il Giudice) per smascherare questi errori. Ecco come funziona, spiegato in modo semplice:

1. Il Problema: Il Manuale del Capo è un "Far West"

Questi manuali (prompt) sono lunghi, complessi e scritti da diverse persone in aziende diverse. Spesso contengono:

• Contraddizioni: Istruzioni che si scontrano.
• Dimenticanze: Regole che non si collegano tra loro.
• Bug strutturali: Come un muro costruito male che crolla quando ci appoggi sopra.

L'IA stessa non può controllare il suo manuale perché è programmata per "giudicare" e trovare una via di mezzo, nascondendo così gli errori invece di segnalarli. Serve un ispettore esterno.

2. La Soluzione: Arbiter, il Detective Digitale

Arbiter usa due metodi per ispezionare il manuale, proprio come un detective che usa sia la logica ferrea sia l'intuito creativo:

• Metodo 1: L'Archeologo (Analisi Diretta)
  Immagina di prendere il manuale, dividerlo in piccoli blocchi e controllare ogni coppia di istruzioni con una lista di regole rigide. "Se qui dice 'Mai usare X' e lì dice 'Usa sempre X', allora c'è un errore!". Questo metodo è preciso e trova errori ovvi, ma è limitato a ciò che sai già cercare.

• Metodo 2: Il Turista Curioso (Scouring Indiretto)
  Qui la cosa diventa creativa. Invece di dare regole rigide, Arbiter chiede a diverse intelligenze artificiali (come Claude, Gemini, GPT, ecc.) di leggere il manuale e dire: "Cosa ti sembra strano o interessante?".
  È come mandare 10 turisti diversi in una città vecchia. Uno nota che le strade sono strette, un altro che i colori sono sbiaditi, un altro che c'è un buco nel muro. Ognuno vede cose diverse perché ha un "cervello" diverso.
  L'idea è: non cercare l'accordo, cerca la diversità. Se un modello nota qualcosa che gli altri non vedono, potremmo aver scoperto un nuovo tipo di pericolo.

3. Cosa Hanno Trovato? (Le Scoperte)

Hanno analizzato i manuali di tre grandi aziende (Anthropic, OpenAI, Google) e hanno scoperto cose sorprendenti:

• La forma del manuale conta:

  • I manuali giganti e unitari (come quello di Claude) tendono ad avere errori ai confini tra le diverse sezioni, come se fossero stati scritti da team diversi che non si parlano.
  • I manuali piccoli e semplici (come Codex) sono più coerenti, ma fanno meno cose.
  • I manuali a pezzi (come quello di Google, costruito come un LEGO) funzionano bene singolarmente, ma quando si uniscono i pezzi, le connessioni sono rotte.

• L'esempio più grave (Il Bug di Google):
  Hanno scoperto che nel manuale di Google, c'era un errore strutturale: quando il sistema doveva "pulire la memoria" per fare spazio, cancellava per sempre le preferenze salvate dall'utente. Era come se il tuo portafoglio venisse strappato via ogni volta che cambiavi stanza.
  Curiosità: Google ha corretto il problema (l'infinite loop), ma non ha corretto la causa radice (il fatto che le preferenze venivano cancellate). Il bug è ancora lì, nascosto nel codice, e solo il nostro "detective" lo aveva visto.

• Il costo è ridicolo:
  Hanno analizzato tutti questi manuali complessi spendendo 27 centesimi di dollaro (meno di 3 minuti di salario minimo negli USA). È un modo economico e veloce per fare sicurezza informatica.

4. La Morale della Favola

Questo studio ci insegna che i "prompt" (le istruzioni per le IA) sono software veri e propri, ma li trattiamo come se fossero semplici note a margine. Non hanno test, non hanno controlli di qualità.

L'idea chiave è: non puoi fidarti dell'IA per controllare se il suo manuale è corretto. Devi usare un team di "ispettori" diversi (diverse IA) che guardano il manuale da angolazioni diverse. Solo così puoi vedere i buchi che altrimenti rimarrebbero invisibili.

In sintesi: Arbiter è come un gruppo di ispettori di edilizia che controllano la casa dell'IA per assicurarci che non crolli quando ci entriamo dentro. E lo fanno spendendo pochissimo e trovando errori che gli architetti originali avevano perso.

Sommario tecnico

Ecco una sintesi tecnica dettagliata del paper "Arbiter: Detecting Interference in LLM Agent System Prompts" in italiano.

1. Il Problema: Prompts di Sistema come Artefatti Software Non Testati

Il paper identifica un problema critico nell'ecosistema degli agenti di codifica basati su LLM (come Claude Code, Codex CLI e Gemini CLI). I loro prompt di sistema (che variano da 245 a 1.490 righe) sono artefatti software complessi che definiscono il comportamento, le gerarchie di priorità, i contratti degli strumenti e la gestione dello stato. Tuttavia, a differenza del software tradizionale, questi prompt:

• Mancano di infrastrutture di testing (linters, type checker, suite di test).
• Contengono spesso istruzioni contraddittorie (es. "Usa sempre TodoWrite" vs "Non usare mai TodoWrite").
• Risolvono queste contraddizioni silenziosamente tramite euristiche interne del modello, senza generare errori o log, rendendo il comportamento dell'agente imprevedibile e dipendente dal caso.

L'ipotesi centrale è che l'agente che risolve il conflitto non può essere lo stesso che lo rileva: un LLM che esegue un prompt contraddittorio tende a "livellare" le incoerenze attraverso il "giudizio", rendendolo un auditor inaffidabile. È necessaria una valutazione esterna basata su criteri formali.

2. Metodologia: Il Framework "Arbiter"

Gli autori presentano Arbiter, un framework di valutazione che combina due fasi complementari per rilevare modelli di interferenza:

A. Valutazione Diretta (Prompt Archaeology)

Questa fase è esaustiva all'interno di un quadro definito:

1. Decomposizione: Il prompt viene suddiviso in blocchi contigui classificati per livello (sistema/dominio), categoria (identità, sicurezza, ecc.), modalità (mandato, proibizione) e ambito.
2. Applicazione di Regole Formali: Vengono applicate regole predefinite per rilevare specifici tipi di interferenza (es. conflitti mandato-proibizione, sovrapposizione di ambito, ambiguità di priorità).
3. Pre-filtraggio: Per ridurre lo spazio di ricerca, le regole applicano filtri basati sulla sovrapposizione dell'ambito, evitando valutazioni inutili tra blocchi non correlati.

B. Scansione Indiretta (Multi-Model Scouring)

Questa fase affronta le vulnerabilità al di fuori dello spazio di ricerca definito dalle regole:

1. Istruzioni Vaghe: Un "scourer" (esploratore) LLM riceve il prompt con istruzioni deliberate e vaghe ("leggi attentamente e nota ciò che trovi interessante").
2. Multi-Modello e Complementarietà: Ogni passaggio utilizza un modello LLM diverso (es. Claude Opus, DeepSeek, Kimi, Grok, ecc.). L'obiettivo non è il consenso, ma la complementarietà: modelli diversi, addestrati su dati diversi, portano bias analitici diversi e rilevano categorie di vulnerabilità distinte.
3. Composizione Iterativa: Ogni passaggio successivo riceve i risultati dei precedenti per esplorare nuove aree senza ridondanza.
4. Criterio di Arresto Convergente: L'analisi si ferma quando tre modelli consecutivi dichiarano di non trovare nuovi materiali ("no" consecutivi).

C. Analisi Strutturale (AST)

Un parser a due livelli genera un Abstract Syntax Tree (AST) del prompt, analizzando la struttura fisica (intestazioni, liste) e il ruolo semantico (sicurezza, memoria, workflow). Questo permette di rilevare duplicazioni strutturali e differenze tra versioni senza dipendere dal diff di testo lineare.

3. Contributi Chiave

• Tassonomia dei Fallimenti: Una classificazione empirica dei modi di fallimento dei prompt basata su evidenze cross-vendor.
• Metodologia Ibrida: Un approccio sistematico che combina regole dirette (per l'esaustività) e scansioni indirette multi-modello (per la scoperta di nuove classi di vulnerabilità).
• Validazione Esterna: Dimostrazione che l'analisi multi-modello scopre classi di vulnerabilità categoricamente diverse rispetto all'analisi single-model.
• Conferma Indipendente: Un bug strutturale identificato dallo scourer (perdita di dati nella memoria di Gemini CLI) è stato confermato e parzialmente corretto dal vendor, sebbene la causa radice a livello di schema non fosse stata affrontata.
• Basso Costo: L'analisi completa di tre vendor principali è costata $0,27 USD, meno di tre minuti di lavoro al salario minimo negli USA.

4. Risultati Principali

Analisi Quantitativa

• Campione: 3 prompt principali (Claude Code: 1.490 righe, Codex CLI: 298 righe, Gemini CLI: 245 righe).
• Risultati:
  • 152 risultati trovati nella fase di scansione indiretta.
  • 21 pattern di interferenza etichettati manualmente nell'analisi diretta (solo su Claude Code).
• Costo: Totale di $0,27 per l'intero studio cross-vendor.

Correlazione Architettura-Fallimento

L'architettura del prompt determina fortemente la classe di fallimento osservata:

1. Monolitico (Claude Code): Bug di "crescita" ai confini dei sottosistemi. Le contraddizioni nascono quando sottosistemi sviluppati indipendentemente (es. gestione attività vs. flussi di lavoro commit) vengono uniti senza test di integrazione.
2. Piatto (Codex CLI): Scambio tra capacità e coerenza. Essendo più semplice, ha meno contraddizioni operative, ma presenta bug strutturali (es. confusione di identità, dettagli implementativi esposti).
3. Modulare (Gemini CLI): Bug di "design" alle giunzioni di composizione. I moduli funzionano singolarmente, ma i contratti tra di essi sono mancanti o inconsistenti (es. perdita strutturale di dati salvati durante la compressione della cronologia).

Complementarietà dei Modelli

L'analisi ha dimostrato che modelli diversi trovano cose diverse:

• Claude Opus si concentra su contraddizioni strutturali e sicurezza.
• Kimi K2.5 rileva exploit economici e esaurimento delle risorse.
• GLM 4.7 individua problemi di integrità dei dati.
• MiniMax M2.5 copre un'ampia gamma di categorie.
  Le categorie non convergono; la copertura totale aumenta grazie alla diversità dei modelli.

Caso di Studio: Perdita di Dati in Gemini CLI

Lo scourer ha identificato che lo schema XML per la compressione della cronologia non includeva un campo per le memorie salvate (save_memory). Di conseguenza, qualsiasi preferenza salvata dall'utente veniva cancellata strutturalmente durante la compressione. Google ha corretto il sintomo (loop infinito), ma non ha risolto la causa radice (lo schema mancante), confermando la validità della scoperta dello scourer.

5. Significato e Implicazioni

• Prompt come Software: I prompt di sistema devono essere trattati come codice software, richiedendo linter, test di integrazione e pipeline CI/CD per la coerenza interna.
• Paradosso dell'Osservatore: Un LLM non può auditare se stesso efficacemente; è necessaria un'architettura di valutazione esterna multi-modello.
• Accessibilità: La capacità di rilevare vulnerabilità critiche a un costo di pochi centesimi rende l'analisi di sicurezza dei prompt accessibile a qualsiasi sviluppatore, non solo ai team con grandi budget di sicurezza.
• Conclusione: L'analisi cross-vendor rivela che le architetture attuali (monolitiche, piatte, modulari) soffrono di difetti strutturali prevedibili. L'uso combinato di regole formali e scansioni multi-modello è essenziale per garantire l'affidabilità degli agenti AI, poiché l'analisi statica e quella dinamica (o euristica) si completano a vicenda.