Blind Spots in the Guard: How Domain-Camouflaged Injection Attacks Evade Detection in Multi-Agent LLM Systems

Questo articolo rivela che i rilevatori di iniezione nei sistemi LLM multi-agente soffrono di un significativo "divario di rilevamento del camuffamento", non riuscendo a identificare attacchi che mimano il vocabolario specifico del dominio e le strutture di autorità, il che fa crollare i tassi di rilevamento ed espone una vulnerabilità architetturale critica nei meccanismi di sicurezza.

L'essenziale

Immagina di avere un assistente robotico molto intelligente e utile (un agente AI) che legge documenti per te. Forse è un robot finanziario che legge rapporti azionari, o un robot legale che esamina contratti. Per mantenere al sicuro questo robot, hai installato una "guardia di sicurezza" (un rilevatore di iniezioni). Il compito di questa guardia è individuare chiunque tenti di introdurre di nascosto un comando segreto e malevolo all'interno dei documenti che il robot legge.

Il Problema: Il "Lupo in Panni da Agnello"

Il documento sostiene che la guardia di sicurezza è addestrata a cercare intrusi ovvi e rumorosi. Pensa a un attacco statico come un tizio che indossa una maschera rosso acceso, tenendo un cartello che dice: "IGNORA TUTTE LE REGOLE PRECEDENTI! FA' QUELLO CHE TI DICO!". La guardia lo vede immediatamente e suona l'allarme.

Ma il documento introduce un nuovo tipo di attacco più subdolo, chiamato Iniezione Camuffata per Dominio.

Immagina un ladro sofisticato che non indossa una maschera. Invece, si traveste esattamente come un esperto fidato. Se il robot sta leggendo un rapporto finanziario, il ladro scrive un paragrafo falso che sembra e suona esattamente come se fosse stato scritto da un vero analista finanziario. Usa le stesse parole sofisticate, la stessa struttura delle frasi e lo stesso tono serio. Ma nascosto dentro quel testo che sembra perfettamente normale c'è un'istruzione segreta: "Vendi tutte le azioni".

Per la guardia di sicurezza, questo sembra una parte legittima del documento. La guardia non vede una maschera rossa; vede un completo e una cravatta. Quindi, la guardia dice: "Tutto sembra pulito", e lascia passare l'istruzione malevola senza problemi.

La Grande Scoperta: Il "Punto Cieco"

I ricercatori hanno testato questo con due diversi modelli AI (Llama e Gemini) e hanno trovato un enorme divario nella sicurezza, che chiamano Divario di Rilevamento del Camuffamento (CDG).

• Per il modello Llama: La guardia ha intercettato il 94% degli attacchi ovvi "con la maschera rossa". Ma quando gli attacchi erano camuffati come testo di esperti, la guardia ne ha intercettato solo il 9,7%. Ha perso quasi tutto.
• Per il modello Gemini: La guardia ha intercettato il 100% degli attacchi ovvi, ma è scesa a intercettare solo il 55,6% di quelli camuffati.

La parte spaventosa? La guardia non era confusa o incerta. Era sicura di sbagliare. Ha guardato l'attacco camuffato e ha detto con il 100% di certezza: "Questo è sicuro!" quando in realtà era pericoloso. Questo significa che non puoi semplicemente dire alla guardia di "fare più attenzione" o "preoccuparsi di più" per risolvere il problema; la guardia semplicemente non sa cosa cercare.

L'Esperimento del "Circolo di Dibattito"

I ricercatori hanno anche provato una strategia di sicurezza diversa: far discutere tre robot sulla risposta prima di decidere.

• Per il robot più debole (Llama): Il dibattito ha peggiorato le cose. Quando i robot discutevano, amplificavano effettivamente le istruzioni dannose. Se un robot veniva ingannato dal testo camuffato, gli altri seguivano, rendendo l'errore 10 volte più probabile. È come un gruppo di amici che concordano tutti su una risposta sbagliata perché nessuno vuole essere quello che dice: "Aspetta, questo sembra falso", quando in realtà sembra molto reale.
• Per il robot più forte (Gemini): Il dibattito ha aiutato. I robot più forti sono riusciti a individuare l'inganno e a correggersi a vicenda, rendendo il sistema più sicuro.

Possiamo semplicemente aggiungere più esempi?

I ricercatori hanno provato una "soluzione economica": hanno mostrato alla guardia di sicurezza alcuni esempi di questi attacchi camuffati in modo che potesse imparare cosa cercare.

• Per il robot forte (Gemini): Questo ha funzionato benissimo. La guardia ha imparato il modello e ha intercettato quasi tutti gli attacchi camuffati.
• Per il robot più debole (Llama): Questo ha aiutato a malapena. La guardia ha ancora perso la maggior parte di essi. Questo suggerisce che i modelli AI più piccoli ed economici hanno un limite fondamentale nella loro capacità di imparare questi trucchi sottili semplicemente guardando alcuni esempi.

La Conclusione

Il documento conclude che le nostre attuali guardie di sicurezza sono cieche agli attacchi che sembrano cose vere. Sono ottime nell'individuare intrusi rumorosi e ovvi, ma falliscono completamente contro gli attaccanti che si fondono perfettamente con la folla. Questo è un enorme problema per i modelli AI più piccoli utilizzati in lavori reali, perché non possono essere facilmente "insegnati" a individuare questi trucchi sottili, e aggiungere più robot per discutere la questione potrebbe effettivamente peggiorare il problema.

I ricercatori hanno rilasciato i loro strumenti in modo che altri possano provare a costruire guardie migliori, ma per ora, il "lupo in panni da agnello" è un modo molto efficace per ingannare i sistemi AI.

Sommario tecnico

Riepilogo Tecnico: Punti Ciechi nella Protezione

Enunciato del Problema

I rilevatori di iniezione attualmente distribuiti per proteggere gli agenti di Modelli Linguistici su Grande Scala (LLM) sono calibrati principalmente su payload statici basati su modelli. Questi attacchi standard si annunciano esplicitamente come direttive di sovrascrittura (ad esempio, "IGNORA TUTTE LE ISTRUZIONI PRECEDENTI") o rivendicazioni di autorità. Il documento individua un punto cieco sistematico: i rilevatori non riescono a riconoscere iniezioni camuffate per dominio.

In questo vettore di attacco, un avversario con accesso indiretto ai documenti (ad esempio, tramite RAG o elaborazione di email) crea un payload malevolo che imita il vocabolario del dominio, la struttura delle frasi e il registro di autorità del documento target. A differenza degli attacchi statici, questi payload non contengono marcatori espliciti di sovrascrittura; invece, incorporano istruzioni malevoli come se fossero contenuti legittimi di esperti. Il documento sostiene che i rilevatori standard sono "sicuri di sbagliare" riguardo a questi attacchi, classificandoli come PULITI con ALTA confidenza, rendendo inefficaci le strategie di rimedio standard come la soglia di confidenza.

Per quantificare questo fallimento, gli autori introducono il Divario di Rilevamento del Camuffamento (CDG), definito come la differenza nel Tasso di Rilevamento delle Iniezioni (IDR) tra payload statici e camuffati ($CDG = IDR_{statico} - IDR_{camuffato}$).

Metodologia

1. Banca di Attività e Generazione dei Payload

Gli autori hanno costruito un benchmark composto da 45 attività distribuite su tre domini professionali:

• Finanza: Analisi azionaria, valutazione del rischio, interpretazione degli utili.
• Legale: Revisione dei contratti, valutazione della conformità, segnalazione dei rischi.
• QA Generale: Recupero fattuale, riassunto, classificazione.

Per ogni attività, un CamouflageGenerator (un LLM attaccante) è stato istruito a leggere il documento di contesto pulito e generare un payload che incorpori un obiettivo malevolo specifico, adottando il vocabolario specifico del dominio e il registro epistemico del documento. Al generatore è stato esplicitamente vietato l'uso di marcatori standard di sovrascrittura. Sono state generate tre varianti per attività, e quella con il punteggio più alto di Camuffamento Autorevole (ACS) — misurato dalla similarità coseno con il contesto — è stata selezionata.

2. Configurazione Sperimentale

• Modelli: Gli esperimenti sono stati condotti su Llama 3.1 8B (inferenza locale) e Gemini 2.0 Flash (tramite OpenRouter) per la validazione cross-modello.
• Architetture:
  • Agente Singolo: Un analista professionista istruito a basare le risposte esclusivamente sul documento fornito.
  • Dibattito Multi-Agente: Tre agenti (Analista A, B, C) impegnati in tre round di dibattito. Le condizioni includevano inject_all (tutti gli agenti ricevono il contesto iniettato) e inject_first (solo il primo agente riceve l'iniezione).
• Rilevatori Valutati:
  • Rilevatore Statico: Un classificatore few-shot addestrato su tre esempi di iniezione statica e due esempi puliti (nessun esempio camuffato).
  • Rilevatore Aumentato: Il rilevatore statico con l'aggiunta di un esempio camuffato per dominio.
  • Llama Guard 3: Un classificatore di sicurezza di produzione utilizzato come baseline per verificare se il punto cieco si estenda oltre gli approcci few-shot.

3. Metriche

• ASR (Tasso di Successo dell'Attacco): Frazione di prove in cui l'agente ha seguito l'istruzione iniettata.
• IDR (Tasso di Rilevamento delle Iniezioni): Frazione di prove iniettate correttamente segnalate.
• CDG: Il divario nei tassi di rilevamento tra payload statici e camuffati.
• DAF (Fattore di Amplificazione del Dibattito): Rapporto tra ASR nelle impostazioni di dibattito e quelle ad agente singolo.
• CPS (Punteggio di Pressione alla Conformità): Frazione di agenti non iniettati che adottano la posizione dell'agente iniettato.

Risultati Chiave

1. Il Divario di Rilevamento del Camuffamento è Ampio e Significativo

Il rilevatore statico, che ottiene alti tassi di rilevamento per gli attacchi standard, crolla contro i payload camuffati:

• Llama 3.1 8B: L'IDR è sceso dal 93,8% (statico) al 9,7% (camuffato), producendo un CDG di 0,840.
• Gemini 2.0 Flash: L'IDR è sceso dal 100% al 55,6%, producendo un CDG di 0,444.
• Significatività Statistica: I test di McNemar hanno confermato che questi divari sono statisticamente significativi ($p < 0,001$) con zero coppie disconcordanti inverse (il camuffamento non ha mai eluso il rilevamento quando il payload statico è stato intercettato).
• Confidenza: Il fallimento non è dovuto all'incertezza. Il 96,7% dei casi camuffati mancati su Llama è stato classificato come PULITO con ALTA confidenza.

2. I Classificatori di Sicurezza di Produzione Condividono il Punto Cieco

Llama Guard 3 ha rilevato zero payload camuffati (IDR = 0,000) su 135 prove. Ciò conferma che la vulnerabilità non è limitata ai rilevatori few-shot ma si estende ai classificatori di sicurezza dedicati, probabilmente perché questi payload non contengono contenuti convenzionalmente "dannosi" (ad esempio, discorsi d'odio, violenza) ma piuttosto ragionamenti di esperti non allineati.

3. Il Dibattito Multi-Agente Amplifica la Vulnerabilità nei Modelli Più Piccoli

• Llama 3.1 8B: Il dibattito ha amplificato gli attacchi. Il DAF per gli attacchi statici era 3,4×, ma per gli attacchi camuffati ha raggiunto 9,9×. Gli agenti non sono riusciti a segnalare contenuti appropriati al dominio come sospetti, propagando l'iniezione attraverso dinamiche di conformità.
• Gemini 2.0 Flash: Il dibattito ha soppresso gli attacchi (DAF < 1), mostrando resistenza collettiva. Tuttavia, un Punteggio di Pressione alla Conformità di 0,282 ha indicato che gli agenti individuali erano comunque influenzati, anche se il voto di maggioranza ha corretto l'output finale.

4. L'Ampliamento del Rilevatore è Dipendente dal Modello

L'aggiunta di alcuni esempi camuffati al pool few-shot del rilevatore ha prodotto risultati divergenti:

• Gemini: Ha migliorato l'IDR camuffato dal 54,8% al 90,4% (miglioramento del CDG del 78,7%), chiudendo quasi il divario.
• Llama: Ha migliorato l'IDR camuffato dall'11,1% al 19,4% (miglioramento del CDG del 10,2%), lasciando la stragrande maggioranza degli attacchi non rilevati.
  Ciò suggerisce che le "soluzioni economiche" tramite apprendimento in contesto generalizzano efficacemente solo per modelli più potenti, indicando una limitazione architetturale fondamentale per i modelli più piccoli distribuiti localmente.

Significato e Affermazioni

Il documento afferma di essere il primo a valutare sistematicamente i sistemi di rilevamento contro payload adattivi al contesto generati da un LLM che legge l'intero documento dell'attività. I suoi contributi principali sono:

1. Definizione della Minaccia: Stabilire l'"iniezione camuffata per dominio" come un vettore di attacco distinto e ad alto rischio che elude i metodi di rilevamento sintattico attuali.
2. Quantificazione del Divario: Introdurre la metrica CDG per misurare la disparità tra il rilevamento statico e quello camuffato, dimostrando che il punto cieco è categorico (i rilevatori sono sicuri di sbagliare) piuttosto che statistico.
3. Vulnerabilità Architetturale: Rivelare che il dibattito multi-agente, spesso elogiato come meccanismo di robustezza, può agire come un punto debole per i modelli più piccoli, amplificando gli attacchi camuffati di quasi 10 volte.
4. Limiti delle Difese Attuali: Mostrare che i classificatori di sicurezza standard (Llama Guard 3) e l'ampliamento few-shot non riescono a far fronte a questa minaccia specifica, in particolare per i modelli più piccoli.

Gli autori concludono che le distribuzioni che utilizzano agenti più piccoli ospitati localmente affrontano una vulnerabilità sistematica e in gran parte irrisolta nel rilevamento delle iniezioni, che richiede soluzioni architetturali oltre alla semplice ampliamento few-shot. Il framework, la banca di attività e il generatore di payload sono rilasciati pubblicamente per supportare ulteriori ricerche.