Arbiter: Detecting Interference in LLM Agent System Prompts

Dit paper introduceert Arbiter, een framework dat formele regels en multi-model LLM-scouring combineert om interferentiepatronen in systeemprompts van coderingsagenten te detecteren, waarbij het verschillende kwetsbaarheden blootlegt die vaak worden gemist door traditionele methoden.

De kern

Stel je voor dat je een zeer slimme, maar soms wat verwarde assistent hebt die voor je werkt. Deze assistent (een AI-agent) kan code schrijven, bestanden beheren en taken uitvoeren. Maar er is een probleem: de instructies die deze assistent krijgt, zijn geschreven op een manier die vol zit met tegenstrijdigheden, en niemand heeft ze ooit goed gecontroleerd.

Dit artikel introduceert Arbiter, een slimme manier om deze instructies te testen. Hier is de uitleg in simpele taal, met een paar creatieve vergelijkingen:

1. Het Probleem: De "Grondwet" zonder Controle

De instructies die een AI-agent krijgt, noemen de auteurs een systeemprompt. Denk hierbij aan de grondwet van een land of de bedrijfsregels van een fabriek.

• Het probleem: In normale software (zoals een app op je telefoon) hebben we tools die fouten opsporen voordat het programma start. Maar bij deze AI-instructies is dat er niet.
• De chaos: Stel, in de ene paragraaf staat: "Gebruik altijd de 'Todo'-lijst!" en in een andere paragraaf staat: "Gebruik nooit de 'Todo'-lijst!"
• De reactie van de AI: De AI wordt niet boos, geeft geen foutmelding en logt geen waarschuwing. In plaats daarvan "gokt" hij even welke regel hij moet volgen. Soms doet hij het goed, soms maakt hij een rare fout. Omdat de AI zelf de fout moet oplossen, ziet hij de tegenstrijdigheid vaak niet eens.

2. De Oplossing: Arbiter (De Onafhankelijke Inspecteur)

De auteurs hebben Arbiter bedacht. Dit is een systeem dat de instructies controleert voordat de AI ze gebruikt. Arbiter werkt in twee fasen, die we kunnen vergelijken met twee verschillende soorten detectives:

Fase 1: De "Regel-Check" (Gerichte Analyse)

Stel je voor dat je een bouwkundige inspecteur bent die een huis controleert op specifieke regels: "Is er een trap? Ja. Is er een branddeur? Ja."

• Arbiter kijkt naar de instructies en zoekt naar bekende fouten, zoals twee regels die elkaar direct tegenspreken.
• Dit werkt goed voor duidelijke fouten, maar het mist dingen die niet op de "checklist" staan.

Fase 2: De "Verkenning" (Ondirigeerde Scouring)

Dit is de echte kracht van Arbiter. Stel je voor dat je tien verschillende detectives (verschillende AI-modellen) naar hetzelfde huis stuurt.

• Je geeft ze geen specifieke regels om te zoeken. Je zegt alleen: "Kijk goed om je heen en vertel me wat je raar, interessant of verdacht vindt."
• Omdat elke detective een andere achtergrond heeft (ze zijn getraind op verschillende data), zien ze verschillende dingen.
  • Detective A ziet een leegte in de muur (een veiligheidslek).
  • Detective B ziet dat de elektriciteitsrekening te hoog is (kostenprobleem).
  • Detective C merkt op dat de sleutel niet past in het slot (structuurprobleem).
• Als drie detectives achter elkaar zeggen: "Ik zie niets meer nieuws," dan stoppen ze. Zo vinden ze fouten die de eerste inspecteur nooit had gevonden.

3. Wat Vonden Ze? (De Drie Bouwstijlen)

De auteurs keken naar drie grote AI-assistenten (van Anthropic, OpenAI en Google) en ontdekten dat de vorm van de instructies bepaalt welk type fout er optreedt:

1. De "Monoliet" (Een groot, dik boek):

   • Vergelijking: Een enorme baksteen van instructies.
   • Fout: Omdat alles door verschillende teams is geschreven zonder coördinatie, botsen de regels elkaar. Bijvoorbeeld: "Gebruik altijd Todo" vs. "Gebruik nooit Todo".
   • Oplossing: Het moet netjeser worden opgedeeld, zoals het herschrijven van een rommelig manuscript.

2. De "Vlakke" (Een simpel lijstje):

   • Vergelijking: Een korte, simpele handleiding.
   • Fout: Omdat het zo simpel is, zijn er weinig tegenstrijdigheden. Maar de assistent kan ook minder complexe dingen doen. Het is veilig, maar beperkt.

3. De "Modulaire" (Blokken die je kunt schuiven):

   • Vergelijking: Een lego-constructie. Elke blok werkt prima op zich, maar als je ze aan elkaar klikt, passen ze niet goed.
   • Fout: Er is een gat tussen de blokken. Een heel grappig voorbeeld uit het artikel: De AI kan herinneringen opslaan (zoals "ik hou van blauw"), maar als het geheugen vol raakt en wordt gecomprimeerd, verdwijnt die herinnering omdat de "opslagdoos" geen plek heeft voor die specifieke info. De AI vergeet dus wat je net zei, puur door een ontwerpfout.

4. Het Verbazingwekkende Resultaat: Kosten

Het meest opvallende is hoeveel dit kostte.

• Om deze drie grote AI-systemen volledig te analyseren, betaalden de auteurs $0,27 (27 cent).
• Dat is minder dan de prijs van een stukje kauwgom.
• Het betekent dat elke ontwikkelaar met een internetverbinding deze diepgaande controle kan uitvoeren. Het is niet nodig om een duur beveiligingsteam in te huren.

Conclusie

De boodschap van dit artikel is simpel: AI-instructies zijn software, en ze moeten worden getest zoals software.
Op dit moment laten we AI-agenten werken met instructies die vol zitten met fouten, omdat niemand ze heeft gecontroleerd. Met een slimme combinatie van regels en verschillende AI-detectives (Arbiter) kunnen we deze fouten vinden voor ze problemen veroorzaken, en dat kost bijna niets.

Het is alsof we eindelijk beginnen met het bouwen van een veiligheidscontrole voor de "grondwetten" van onze digitale werelden.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het paper "Arbiter: Detecting Interference in LLM Agent System Prompts" in het Nederlands.

Probleemstelling

LLM-gebaseerde coderingsagenten (zoals Claude Code, Codex CLI en Gemini CLI) worden bestuurd door systeemprompts. Deze prompts zijn software-artefacten die gedrag specificeren, hiërarchieën definiëren en tools beheren. In tegenstelling tot traditionele software ontbreekt het echter aan de nodige testinfrastructuur: er zijn geen typecheckers, linters of test suites voor prompts.

Wanneer een prompt tegenstrijdige instructies bevat (bijv. "gebruik altijd TodoWrite" in de ene sectie en "gebruik NOOIT TodoWrite" in de andere), lost de uitvoerende LLM dit conflict stilzwijgend op via zijn trainingsheuristieken. Er wordt geen fout gegenereerd en geen waarschuwing gelogd. Het paper stelt dat de agent die het conflict oplost, niet de juiste entiteit is om het te detecteren ("de waarnemer is niet de uitvoerder"). Er is externe evaluatie nodig om deze structurele fouten en interferentiepatronen op te sporen.

Methodologie: Het Arbiter Framework

Arbiter is een raamwerk dat twee complementaire evaluatiefasen combineert om interferentie in systeemprompts te detecteren:

1. Gestuurde Evaluatie (Directed Evaluation):

   • Principe: De prompt wordt opgesplitst in geclassificeerde blokken (bijv. identiteit, beveiliging, workflow).
   • Analyse: Formele regels worden toegepast om paren blokken te testen op specifieke interferentietypes (zoals directe tegenstrijdigheden, scope-overlappingen en impliciete afhankelijkheden).
   • Voordeel: Dit is exhaustief binnen het gedefinieerde zoekframe; als er een regel is, wordt elke instantie gevonden.

2. Ongeleide Scouring (Undirected Scouring):

   • Principe: De prompt wordt naar meerdere LLM's gestuurd met vaag instructies ("lees dit zorgvuldig en noteer wat interessant is").
   • Multi-model aanpak: Elke "pass" gebruikt een ander model (bijv. Claude, Gemini, DeepSeek, Llama). Doel is niet consensus, maar complementariteit: verschillende modellen hebben verschillende analytische biases door hun trainingsdata.
   • Iteratie: Elke pass ontvangt de bevindingen van voorgaande passes en wordt gevraagd nieuwe gebieden te verkennen.
   • Stopconditie: Het proces stopt wanneer drie opeenvolgende modellen aangeven dat er geen nieuwe bevindingen meer zijn ("convergent termination").

3. Structurele Analyse (AST):

   • Een parser bouwt een Abstract Syntax Tree (AST) van de prompt om structurele eigenschappen (diepte, secties, channels) te analyseren en versieverschillen te detecteren zonder afhankelijk te zijn van tekstuele diffing.

Belangrijkste Bijdragen

• Taxonomie van Falingsmodi: Een classificatie van fouten in prompts gebaseerd op empirisch bewijs van drie grote leveranciers.
• Methodologie: Een systematische aanpak die gestuurde regels combineert met ongeleide multi-model scouring.
• Complementariteit van Modellen: Het bewijs dat multi-model evaluatie fundamenteel andere kwetsbaarheidsklassen ontdekt dan single-model analyse.
• Validatie: Een door de scourer ontdekt ontwerp-fout (bij Gemini CLI) werd onafhankelijk bevestigd door een bugrapport en patch van de leverancier zelf.
• Kostenefficiëntie: De totale kosten voor de volledige cross-vendor analyse bedroegen slechts $0,27 USD.

Resultaten

De analyse werd uitgevoerd op de prompts van Claude Code (Anthropic), Codex CLI (OpenAI) en Gemini CLI (Google).

• Aantal Bevindingen:
  • 152 bevindingen uit de ongeleide scouring fase.
  • 21 hand-gelabelde interferentiepatronen uit de gestuurde analyse (specifiek voor Claude Code).
• Architectuur en Foutklassen: Er is een sterke correlatie tussen de prompt-architectuur en het type fouten:
  • Monolithisch (Claude Code): Leidt tot "groei-fouten" op de grenzen van subsystemen. Bijvoorbeeld, algemene regels ("gebruik altijd X") botsen met specifieke workflow-regels ("gebruik nooit X").
  • Vlak/Flat (Codex CLI): Biedt consistentie door eenvoud, maar mist complexiteit. Fouten zijn vaak structureel (bijv. identiteitsverwarring) in plaats van operationeel.
  • Modulair (Gemini CLI): Leidt tot "ontwerpfouten" op de naadpunten van modules. Modules werken apart goed, maar de contracten ertussen ontbreken.
    • Kernvoorbeeld: Een "History Compression" prompt verwijdert structureel opgeslagen gebruikersvoorkeuren (save_memory) omdat het compressieschema geen veld voor deze data bevat. Google patchte een symptoom (infinite loop), maar niet de root-cause (het schema).
• Multi-Model Complementariteit: Verschillende modellen vinden verschillende soorten fouten.
  • Claude Opus focust op structurele tegenstrijdigheden.
  • Kimi K2.5 focust op economische uitbuiting en bronnen.
  • GLM 4.7 focust op data-integriteit.
  • Geen enkel model dekt alles; samen vormen ze een compleet beeld.
• Kosten: De analyse kostte in totaal $0,27. Dit is minder dan drie minuten arbeid tegen het Amerikaanse minimumloon, wat aantoont dat grondige prompt-analyse toegankelijk is voor elke ontwikkelaar.

Significantie en Conclusie

Het paper concludeert dat systeemprompts de minst geteste, maar meest consequente software-artefacten in moderne AI-systemen zijn. De structuur van een prompt weerspiegelt de structuur van het team dat het heeft gemaakt (Conway's Law), wat leidt tot dezelfde foutpatronen als in traditionele software (monolithen, microservices, etc.).

De belangrijkste inzichten zijn:

1. Externe validatie is noodzakelijk: LLM's kunnen hun eigen prompts niet betrouwbaar auditeren vanwege hun neiging om tegenstrijdigheden te "gladstrijken".
2. Diversiteit is cruciaal: Multi-model evaluatie is geen optie, maar een vereiste om het volledige spectrum van kwetsbaarheden te vinden.
3. Infrastructuur ontbreekt: Prompt engineering moet evolueren van een creatieve kunst naar een discipline met linters, tests en CI/CD-pipelines, net als traditionele softwareontwikkeling.

Het paper biedt een blauwdruk voor het bouwen van deze infrastructuur en toont aan dat het detecteren van deze fundamentele architecturale fouten goedkoop en haalbaar is.