MAStrike: Shapley-Guided Collusive Red-Teaming on Multi-Agent Systems

Este artigo apresenta o MAStrike, um framework de red-teaming de malha fechada que utiliza a análise do valor de Shapley ao nível do agente para identificar e explorar coalizões de agentes vulneráveis por meio de ataques adversários coordenados e conscientes de papéis, revelando, assim, vulnerabilidades críticas de segurança em sistemas multiagentes hierárquicos que os métodos heurísticos existentes negligenciam.

O essencial

Imagine um cofre de um banco de alto risco. Nos velhos tempos, você talvez só precisasse enganar um guarda para entrar. Mas em Sistemas Multiagentes (MAS) modernos, o cofre é guardado por uma equipe inteira de especialistas: um verifica seu ID, outro verifica seu histórico, um terceiro verifica seu dispositivo e um quarto aprova a transação. Eles conversam entre si para garantir que tudo esteja seguro.

O problema é que, se esses guardas começarem a sussurrar uns com os outros em um código secreto, eles podem deixar um ladrão entrar mesmo que os outros guardas estejam gritando "Pare!".

Este artigo apresenta o MASTRIKE, uma nova maneira de testar se essas equipes de agentes de IA são realmente seguras. Pense no MASTRIKE como um "super-hacker" que não tenta apenas enganar um único guarda; ele descobre exatamente quais guardas deve subornar e como fazer com que eles trabalhem juntos para contornar todo o sistema.

Veja como funciona, dividido em partes simples:

1. O Problema: Os "Guarda Sussurrando"

Nesses sistemas de IA, a segurança é geralmente construída sobre pesos e contrapesos. Um agente pode dizer: "Isso parece arriscado", mas se outros dois agentes disserem: "Não, está tudo bem", o sistema pode ignorar o aviso e prosseguir.

• A Falha: Os testes de segurança existentes geralmente tentam enganar apenas um agente por vez. Eles perguntam: "Você consegue enganar o verificador de ID?". Mas, na realidade, o verificador de ID pode ser honesto, enquanto o agente de "Confiança do Dispositivo" e o agente de "Política" são aqueles que realmente deixam algo ruim acontecer.
• O Risco: Se os vilões (ou um hacker) conseguirem fazer com que um pequeno grupo desses agentes coluda (trabalhe junto secretamente), eles podem anular os avisos dos agentes honestos.

2. A Solução: MASTRIKE (O "Detetive de Equipe")

Os pesquisadores construíram uma ferramenta chamada MASTRIKE para encontrar esses pontos fracos. Ela faz duas coisas principais:

A. O Scorecard de "Valor de Shapley" (Quem é o Verdadeiro Culpado?)

O artigo utiliza um conceito da matemática chamado Valores de Shapley. Imagine um grupo de amigos tentando resolver um quebra-cabeça. Alguns amigos são super prestativos, outros são inúteis e alguns até tornam as coisas mais difíceis.

• O MASTRIKE calcula um "score" para cada agente individual no sistema.
• Ele pergunta: "Se removermos este agente, o sistema se torna mais seguro?" ou "Se subornarmos este agente, o sistema quebra?".
• Esse score diz ao sistema exatamente quais agentes são os mais críticos para a segurança de toda a equipe. É como descobrir que o "Engenheiro de Segurança" e o "Gerente de Mudanças" são os dois guardas que, se se unirem, podem abrir o cofre, mesmo que o guarda de "Operações de Cartão" esteja fazendo o seu trabalho perfeitamente.

B. O "Assalto Coordenado" (O Agente de Red-Teaming)

Uma vez que o MASTRIKE sabe quais agentes são os mais importantes, ele não os ataca aleatoriamente.

• O Plano: Ele cria um "script de ataque" personalizado para um grupo específico de agentes (uma coalizão).
• A Coordenação: Ele garante que as mensagens que esses agentes enviam uns aos outros sejam perfeitamente consistentes. Se o Agente A disser "É seguro", o Agente B deve dizer "Sim, eu concordo", e o Agente C deve dizer "Não vejo problemas". Eles não se contradizem.
• O Ciclo: Se o sistema ainda assim detectar o ataque, o MASTRIKE analisa por que falhou, aprende com isso e tenta novamente com um plano melhor e mais coordenado. Ele continua refinando o "assalto" até ter sucesso.

3. O Teste de Campo: MABENCH

Para provar que isso funciona, os autores construíram um grande parquinho chamado MABENCH. Eles criaram três mundos realistas para testar sua ferramenta:

1. Finanças: Simulando um banco onde agentes lidam com senhas, reembolsos e bloqueios de cartões.
2. Engenharia de Software: Simulando uma empresa de tecnologia onde agentes gerenciam atualizações de código e verificações de segurança.
3. CRM (Gestão de Relacionamento com o Cliente): Simulando uma equipe de vendas lidando com leads e pagamentos.

Nesses mundos, eles configuraram cenários onde um hacker quer fazer algo ruim (como reembolsar US$ 192.000 para uma empresa falsa ou deletar verificações de segurança em uma atualização de software).

4. Os Resultados: MASTRIKE Vence

Quando testaram o MASTRIKE contra outros métodos de teste de segurança:

• Métodos antigos (que tentam apenas enganar um agente) falharam quase completamente. Eles foram bloqueados porque os outros agentes ainda estavam vigiando.
• O MASTRIKE foi incrivelmente bem-sucedido. Ele conseguiu enganar os sistemas 61,8% das vezes em um modelo e 55,6% em outro.
• Descoberta Chave: O artigo descobriu que você não precisa enganar todos. Você só precisa encontrar o pequeno grupo específico de agentes que, quando trabalham juntos, podem anular todo o sistema.

5. O Grande Aviso

O artigo conclui com uma observação preocupante: Os sistemas de segurança atuais não foram construídos para ataques de equipe.
A maioria das ferramentas de segurança procura por uma única mensagem "ruim". Mas o MASTRIKE mostrou que, se as mensagens ruins forem espalhadas por diferentes agentes e eles concordarem entre si, as ferramentas de segurança muitas vezes não as percebem. É como um júri onde todos concordam em mentir; o juiz (o sistema de segurança) vê uma decisão unânime e assume que é a verdade, sem perceber que o júri foi subornado.

Em resumo: O MASTRIKE é uma ferramenta que prova que, em uma equipe de agentes de IA, o todo é mais vulnerável do que a soma de suas partes. Se você conseguir fazer com que os agentes certos sussurrem em segredo, você pode quebrar todo o sistema.

Resumo técnico

Resumo Técnico: MASTRIKE – Red-Teaming Colusivo Guiado por Shapley em Sistemas Multiagentes

Declaração do Problema

Sistemas Multiagentes (MAS) hierárquicos estão sendo cada vez mais implantados em domínios de alto risco, como finanças, engenharia de software e gestão de relacionamento com o cliente (CRM). Esses sistemas distribuem verificações de segurança e proteção entre subagentes especializados em funções. No entanto, essa modularidade introduz uma vulnerabilidade crítica e subexplorada: ataques colusivos. Nesses cenários, um subconjunto de agentes comprometidos pode se coordenar para suprimir sinais de alerta de agentes benignos, criando uma trajetória coletiva que contorna as salvaguardas do sistema.

As abordagens de red-teaming existentes para MAS são limitadas de duas formas fundamentais:

1. Falta de Atribuição Principiada: Elas dependem da seleção heurística de agentes alvo (baseada em descrições de funções ou topologia) sem avaliar quantitativamente quais agentes são mais responsáveis pela segurança do sistema ou quais grupos de agentes formam coalizões vulneráveis.
2. Modelagem de Coordenação Inadequada: Elas frequentemente perturbam fluxos de mensagens isolados ou aplicam ataques genéricos baseados em modelos, falhando em capturar as interdependências e os comportamentos complementares necessários para uma colusão multiagente bem-sucedida.

Metodologia: MASTRIKE

Os autores propõem o MASTRIKE, um framework de malha fechada para red-teaming colusivo em MAS hierárquicos. O framework opera em duas fases primárias:

1. Análise de Valor de Shapley ao Nível do Agente

Para identificar coalizões vulneráveis, o MASTRIKE trata a vulnerabilidade do sistema como um jogo cooperativo.

• Função de Valor da Coalizão: A Taxa de Sucesso do Ataque (ASR) é definida como a função de valor $v_q(C)$ para uma coalizão de agentes comprometidos $C$ sob uma tarefa específica $q$.
• Valores de Shapley ($\phi_i$): O framework calcula o valor de Shapley para cada agente para quantificar sua contribuição marginal para a vulnerabilidade do sistema (ou seja, o quanto um agente degrada a segurança quando adicionado a uma coalizão).
• Índices de Interação ($I_{ij}$): Para capturar efeitos de ordem superior, índices de interação de Shapley pareados são calculados. Isso mede o efeito sinérgico de comprometer dois agentes juntos versus a soma de seus efeitos individuais.
• Estimativa Eficiente: Como a avaliação exaustiva de todas as $2^{|A|}$ coalizões é computacionalmente inviável, o MASTRIKE utiliza uma abordagem de amostragem estratificada para estimar esses valores de forma eficiente.

2. Otimização de Red-Teaming Guiada por Shapley

Com base nos sinais de atribuição, o framework executa um loop de red-teaming autônomo:

• Seleção de Coalizão: Para uma tarefa alvo, o sistema agrega valores de Shapley de tarefas amostradas semelhantes (usando ponderação por similaridade de cosseno) para estimar a importância específica da tarefa. Em seguida, seleciona uma coalizão de tamanho $k$ que maximiza um objetivo consciente de sinergia, combinando altos valores de Shapley individuais com fortes índices de interação positiva.
• Geração de Injeção Coordenada: Um agente de red-teaming gera prompts adversariais para a coalizão selecionada simultaneamente. Diferente de ataques de agente único, esses prompts são conscientes da função (role-aware) e mutuamente consistentes, projetados para satisfazer verificações entre agentes e suprimir alertas.
• Refinamento de Malha Fechada: O ataque é executado no MAS. Uma função de julgamento avalia o resultado. Se o ataque falhar, um diagnóstico de falha estruturado identifica condições de bloqueio, e o agente de red-teaming refina iterativamente as injeções até o sucesso ou até que o orçamento seja esgotado.

Principais Contribuições

1. Primeira Análise de Shapley ao Nível de Agente para MAS: O artigo introduz um framework principiado para quantificar as contribuições dos agentes para a segurança do sistema, capturando tanto a importância individual quanto os efeitos de interação via valores de Shapley e índices de interação.
2. Framework de Red-Teaming de Malha Fechada: O MASTRIKE integra a seleção de agentes baseada em Shapley com a geração coordenada e consciente de funções e o diagnóstico de falha estruturado, permitindo o refinamento adaptativo de ataques colusivos.
3. Benchmark MABENCH: Os autores construíram o MABENCH, um benchmark abrangente de red-teaming que abrange Finanças, Engenharia de Software e CRM. Ele apresenta ambientes MAS controláveis e em sandbox com topologias hierárquicas realistas e conjuntos de tarefas (tanto benignas quanto maliciosas) que exigem colusão entre agentes para terem sucesso.
4. Validação Empírica: Experimentos extensos demonstram que o MASTRIKE supera significativamente as linhas de base heurísticas (TAMAS, GCA, AutoTransform, AiTM) em diferentes modelos de fronteira (GPT-5.5, Gemini 3.1 Pro, Claude Opus 4.7).

Resultados Experimentais

• Taxas de Sucesso do Ataque (ASR): O MASTRIKE alcançou uma ASR média de 61,8% contra o Claude Opus 4.7, 55,6% contra o GPT-5.5 e 51,0% contra o Gemini 3.1 Pro. Em contraste, os métodos de linha de base frequentemente resultaram em ASR próximo de zero (ex: 0,0% para o AiTM no Claude Opus 4.7).
• Sinergia e Eficiência: O framework demonstrou que selecionar agentes com base em valores de Shapley e índices de interação é mais eficaz do que aumentar o tamanho da coalizão arbitrariamente. As linhas de base frequentemente viram a ASR diminuir com coalizões maiores devido a sinais conflitantes, enquanto a geração coordenada do MASTRIKE escalou efetivamente.
• Avaliação de Salvaguardas Corporativas: Ao ser testado contra salvaguardas de segurança de nível empresarial (especificamente aquelas desenvolvidas na Salesforce), os ataques do MASTRIKE foram frequentemente não detectados. O estudo descobriu que as salvaguardas que dependem da detecção ao nível de trajetória lutam quando os comportamentos adversários são distribuídos entre múltiplos agentes, pois os sinais coordenados parecem estruturalmente similares a trajetórias benignas.
• Insights da Distribuição de Shapley: A análise revelou que a importância do agente é esparsa e dependente da tarefa. Uma alta importância individual não garante uma forte sinergia de coalizão; alguns agentes de alto impacto exibem interações negativas quando pareados, destacando a necessidade de modelar interações.

Significância e Alegações

O artigo afirma que o MASTRIKE aborda uma lacuna crítica na segurança de MAS ao ir além da robustez de agente único para analisar a dinâmica colusiva. Os autores argumentam que:

• Coordenação é a Chave: A segurança em MAS hierárquicos não pode ser garantida apenas assegurando agentes individuais; o sistema é vulnerável à manipulação coordenada que contorna verificações distribuídas.
• Atribuição Quantitativa é Necessária: A seleção heurística de alvos de ataque é insuficiente. Os valores de Shapley fornecem um método principiado para identificar agentes "críticos" e pares "sinérgicos" que os métodos heurísticos perdem.
• Defesas Atuais são Insuficientes: A avaliação das salvaguardas corporativas sugere que os sinais de segurança atuais, que são eficazes para ataques de agente único, não se traduzem bem para ambientes multiagentes onde os comportamentos adversários são composicionais e distribuídos.

O trabalho estabelece uma base para compreender e mitigar riscos de colusão em implantações multiagentes complexas e do mundo real, enfatizando que os futuros mecanismos de segurança devem considerar as dependências entre agentes e os vetores de ataque coordenados.