WebWeaver: Breaking Topology Confidentiality in LLM Multi-Agent Systems with Stealthy Context-Based Inference

本文提出了 WebWeaver 攻击框架，通过仅 compromising 单个任意代理并利用基于上下文的隐蔽推理机制（包括新型隐蔽越狱和免越狱扩散设计），在无需控制管理代理的情况下高效且隐蔽地推断大语言模型多智能体系统的通信拓扑，从而显著突破了现有防御并大幅提升了推断准确率。

要点

这篇文章介绍了一种名为 WebWeaver（网络编织者） 的新型攻击手段，它专门针对基于大语言模型（LLM）的“多智能体系统”。

为了让你轻松理解，我们可以把整个系统想象成一个由不同专家组成的“超级侦探团队”。

1. 背景：侦探团队的“秘密地图”

想象一下，有一个由 AI 组成的侦探团队，他们分工合作解决复杂的案件（比如数学题、科学难题或法律分析）。

• 智能体（Agents）： 每个 AI 都是一个专家（有的擅长数学，有的擅长逻辑，有的擅长查资料）。
• 通信拓扑（Topology）： 这是团队内部的**“联络图”**。谁向谁汇报？谁直接和谁对话？是像“串糖葫芦”一样一个传一个（链式），还是像“众星捧月”一样大家都听队长的（星式）？

为什么这张图很重要？
这张“联络图”是团队的核心机密（知识产权）。

• 如果坏人知道了这张图，就能更精准地破坏团队，或者窃取机密。
• 比如，如果坏人知道“数学专家”只和“逻辑专家”说话，他就可以专门攻击这两个人，切断他们的联系，让团队瘫痪。

2. 以前的攻击有多笨？

以前的黑客想偷这张图，方法很“硬”且容易被发现：

• 假设太离谱： 他们假设黑客能控制整个团队的“总指挥”（管理员），这就像假设你能直接控制整个侦探局的局长，现实中很难做到。
• 手段太直白： 他们直接问 AI：“你是谁？你的邻居是谁？”（这就好比直接问侦探：“你刚才跟谁说话了？”）。
• 容易被防住： 只要团队设置一个简单的“关键词过滤器”（比如禁止出现“邻居”、“身份”等词），这种直白的问法就失效了。

3. WebWeaver：像“蜘蛛”一样编织秘密

这篇论文提出的 WebWeaver 就像一只高明的蜘蛛，它不需要控制整个网络，只需要混入团队，变成其中一只普通的“小蜘蛛”（一个普通 AI 智能体），就能把整个联络图织出来。

它主要用了两招“魔法”：

第一招：听音辨人（基于上下文的推断）

• 原理： 每个 AI 说话都有独特的“口音”和“习惯”。就像你能通过一段文字猜出是“严谨的数学老师”写的，还是“活泼的创意作家”写的。
• 操作： 黑客控制了一个 AI，让它静静听着周围传来的对话。通过分析这些对话的内容、语气和逻辑，WebWeaver 就能猜出：“这句话是谁说的？”
• 比喻： 就像你在一个嘈杂的房间里，不需要看人，光听声音就能认出谁在跟谁说话。这样，它就能画出局部的联络图，而且完全不需要问“你是谁”，所以关键词过滤器根本防不住。

第二招：双管齐下（越狱 vs. 扩散模型）

一旦知道了局部联络图，黑客想扩大战果，知道全貌，有两种策略：

1. 策略 A：隐形的“催眠术”（越狱机制）

   • 黑客控制的那个 AI 会悄悄给邻居发一些经过精心设计的“暗示”（Prompt），诱导邻居把它们的聊天记录转发过来，甚至让邻居去诱导它们的邻居。
   • 如果对方有安全防御，黑客就用一种**“自动优化”**的方法（梯度下降），像不断微调密码一样，直到找到能绕过防御的“完美暗示”。
   • 比喻： 就像间谍用极其隐晦的暗语，骗过守卫，让守卫主动把机密文件交出来。

2. 策略 B：AI 的“脑补”能力（无越狱扩散模型）

   • 如果“催眠术”失败了（对方防御太强），WebWeaver 不会硬来。它会利用**“扩散模型”**（一种 AI 生成技术，类似 AI 画画）。
   • 原理： 它手里已经有一部分已知的联络图（比如 A 认识 B，B 认识 C）。它把剩下的空白部分想象成“噪点”，然后让 AI 像“去噪”一样，根据已知的线索，**“脑补”**出最可能的完整联络图。
   • 关键创新： 它设计了一种“掩码策略”，确保在“脑补”的时候，不会把已经确定的事实（已知联络）给改错了。
   • 比喻： 就像你有一张残缺的拼图，虽然缺了几块，但 AI 能根据剩下的图案，完美地猜出缺的那几块长什么样，而且保证不会把原本拼好的地方拆散。

4. 结果：快、准、狠

实验表明，WebWeaver 非常厉害：

• 更准： 在防御措施下，它的准确率比以前的方法高了 60%。
• 更隐蔽： 它不需要控制管理员，也不需要问敏感问题，就像幽灵一样潜入。
• 代价小： 对系统的运行几乎没有额外负担。

总结

WebWeaver 告诉我们：在 AI 多智能体系统中，“谁和谁说话”这张秘密地图，其实非常脆弱。

以前我们以为只要不让 AI 直接说“我是谁”就安全了，但 WebWeaver 证明，只要 AI 在对话中留下了独特的“指纹”，黑客就能像侦探一样，通过听对话、猜关系、甚至用 AI 脑补，把整个团队的内部结构还原出来。

这对未来的启示是： 保护 AI 系统，不能只防“关键词”，还得防“行为模式”和“结构泄露”。就像侦探团队不仅要保密文件，还得注意每个人说话的习惯，别让外人听出端倪。

技术摘要

这篇论文提出了一种名为 WebWeaver 的攻击框架，旨在揭示大语言模型多智能体系统（LLM-MAS）中通信拓扑结构的机密性漏洞。以下是该论文的详细技术总结：

1. 研究背景与问题定义

• 核心问题：LLM-MAS 的通信拓扑（如链式、星型等）是系统性能和安全性（如防攻击能力）的关键决定因素，属于高价值的知识产权（IP）。然而，现有的拓扑推断研究存在严重的现实性差距（Realism Gap）。
• 现有局限：
  • 假设不切实际： prior work 通常假设攻击者能控制“管理智能体”（Administrative Agent）或直接获取系统控制权，这在跨机构协作（如大学间合作）的真实场景中极难实现。
  • 防御易被绕过：现有方法依赖通过“越狱”（Jailbreak）直接查询智能体身份（ID），这种基于关键词的查询极易被基础的关键词过滤防御所阻断。
• 攻击目标：在仅攻陷单个任意智能体（而非管理端）且无法直接获取 ID 的情况下，推断出整个 LLM-MAS 的完整通信拓扑结构。

2. 方法论：WebWeaver 框架

WebWeaver 提出了一种基于**上下文（Context-based）**的推断机制，不依赖显式的身份标识。其核心流程分为五个步骤（如图 2 所示）：

A. 威胁模型

• 攻击者能力：控制目标系统中 $N$ 个智能体中的任意一个（设为 $C$），可以主动请求相邻智能体的上下文（模拟异步执行或断线重连时的重传请求），并拥有独立的 LLM-MAS 用于收集对话数据。
• 攻击目标：推断出完整的通信图 $G=(V, E)$。

B. 核心模块设计

1. 发送者预测器（Sender Predictor）训练：

   • 利用离线收集的对话数据（包含发送者 ID 和消息内容），训练一个模型 $S_\theta$。
   • 该模型学习不同智能体独特的“语言指纹”和角色特定语法，仅根据消息内容 $m$ 预测发送者身份 $s$，实现去匿名化。

2. 递归越狱模块（Recursive Jailbreak-based Module）：

   • 原理：被攻陷的智能体 $C$ 向邻居发送“传播提示词”（Propagation Prompt），诱导邻居转发其对话历史，并递归地让邻居继续向它们的邻居传播。
   • 自适应优化：如果基础提示词被安全过滤器拦截，攻击者利用**贪婪坐标梯度（GCG）**算法，在本地代理模型上优化对抗后缀（Adversarial Suffix），以绕过防御并强制邻居执行传播命令。
   • 优势：通过递归获取全局上下文，逐步构建完整的拓扑图。

3. 无越狱扩散模块（Jailbreak-free Diffusion Module）：

   • 适用场景：当越狱失败或防御过于严格时作为备选方案。
   • 技术原理：将拓扑推断建模为**图补全（Graph Completion）**问题，利用去噪扩散概率模型（DDPM）。
   • 掩码策略（Masking Strategy）：这是关键创新。标准扩散过程会破坏已知信息。WebWeaver 引入掩码机制，在反向采样过程中，强制保留已知部分（$M \odot x_{obs}$），仅对未知部分（$(1-M) \odot x_{pred}$）进行扩散生成。
   • 理论保证：论文提供了理论证明，确保该掩码策略不违反 DDPM 的数学性质，从而在保持已知拓扑正确性的同时推断出缺失部分。

3. 主要贡献

1. 首个单智能体攻陷框架：WebWeaver 是第一个仅需攻陷单个任意智能体即可恢复完整 LLM-MAS 拓扑的框架，无需管理权限，且无需直接查询 ID。
2. 构建专用数据集：构建了包含显式拓扑标注、智能体提示词和发送者 - 接收者标签的对话数据集，填补了该领域的数据空白。
3. 高隐蔽性攻击策略：
   • 提出基于上下文的推断，而非基于 ID 的查询，有效规避关键词防御。
   • 结合隐蔽递归越狱与无越狱扩散模型，形成双重策略。
   • 提出掩码扩散策略，解决了扩散模型在图补全中保持已知结构一致性的难题。
4. 实证性能：在多种数据集和模型上，WebWeaver 在主动防御下比现有最先进（SOTA）基线高出约 60% 的推断准确率，且额外开销可忽略不计。

4. 实验结果

• 数据集与模型：在 CSQA, GSM8k, Fact, Bias 四个数据集上，使用 Llama 3.1, Qwen 2.5, Mistral, Gemma 等模型进行评估。
• 发送者预测：发送者预测器在所有数据集上的 F1 分数均超过 0.85（最高达 0.98），证明不同智能体具有可识别的语言特征。
• 拓扑推断性能：
  • 越狱模块：在部分数据集上达到 100% 的精确率、召回率和 F1 分数。
  • 无越狱模块：即使在无法越狱的情况下，F1 分数仍保持在 0.78 以上，展现出强大的鲁棒性。
• 防御鲁棒性：在针对 ID 过滤的防御测试中，传统方法（IP Leakage）性能归零，而 WebWeaver（尤其是无越狱版本）依然保持高性能，证明了其基于上下文的推断方式能有效绕过关键词防御。
• 扩展性：在智能体数量从 5 增加到 20 的实验中，攻击效果未出现显著下降。
• 开销分析：无越狱模块的在线运行开销几乎为零（被动监听）；越狱模块虽有计算成本，但相比其带来的高精度收益是可接受的，且离线训练成本一次完成。

5. 意义与局限性

• 安全启示：
  • 揭示了当前基于关键词的防御机制在保护 LLM-MAS 拓扑机密性方面的严重不足。
  • 证明了即使没有系统控制权，仅通过单个节点的上下文泄露，攻击者也能重构整个系统的架构，进而实施更高级的针对性攻击。
  • 呼吁社区开发**拓扑感知（Topology-aware）**的保护机制，而不仅仅是内容过滤。
• 局限性：
  • 出于伦理和隐私考虑，未在真实的在线学术协作平台或活体项目中测试，仅在受控实验环境中验证。
  • 未来工作计划与跨学科研究者合作，在符合伦理和知情同意的前提下，评估该方法在真实环境中的影响。

总结：WebWeaver 通过结合自适应越狱和结构一致的扩散模型，成功打破了 LLM-MAS 的拓扑机密性，揭示了当前多智能体系统在架构安全方面的重大隐患，为未来的防御研究指明了方向。