引言
多Agent系统的真实复杂度,来自三个叠加因素;
- 角色叠加,调度代理、执行代理、检索代理、审计代理同时在线。
- 状态叠加,短期上下文、长期记忆、外部知识库并行驱动决策。
- 权限叠加,多个代理共享凭证或间接继承高权限动作入口。
这三个叠加让风险从单点故障变成系统故障,当单个Agent遭受提示词注入攻击时,就会对多个Agent协同系统造成连续威胁。
多Agent协同威胁建模
多Agent协同风险建模的首先要做的不是找规则,而是先回答系统到底在做什么。
没有边界定义时,会把不同问题混在一起讨论,越权、注入、泄露、误阻、可用性下降被放进同一个讨论框,最后每个都觉得自己讲得有道理,但没有一条动作能落地。
因此概念边界要至少覆盖四件事。
- 任务边界,系统被允许完成什么,不被允许完成什么
- 数据边界,什么数据可以读取,什么数据只能脱敏读取
- 工具边界,哪些工具可调用,调用到什么深度
- 权限边界,谁在什么条件下能触发高后果动作。
很多团队把边界写成口号,例如严格控制权限、优先安全。但是口号无法映射成策略引擎,研发就只能临时解释。临时解释在迭代中会迅速漂移,今天的默认拒绝可能在下周变成默认放行。边界必须写成字段化定义,才能映射成判定逻辑和日志字段。
边界定义还有一个容易忽略的价值,就是减少跨团队误解。业务团队需要知道安全限制是否影响交付,平台团队需要知道策略落地成本,运维团队需要知道异常时怎么降级。
只有在边界清晰时,协作语言会统一,决策速度明显提升。
多Agent协同资产识别
威胁建模如果不从资产开始,最后会变成泛泛而谈。
在多Agent系统至少要识别六类核心资产,即任务目标、身份凭证、敏感数据、工具权限、中间状态、审计记录。
识别资产后必须画信任边界。常见边界包括用户输入边界、代理消息边界、外部工具边界、检索内容边界、持久化存储边界等。
每条边界都要明确定义写入者、读取者、转发者、执行者,如果边界责任未绑定到角色时,异常出现后常见现象是责任漂移,导致处置时间大幅拉长。
实践中高频错误是把所有输入当同等级来源。用户文本、网页抓取、插件输出、历史缓存在可信度上完全不同,却被拼接到同一上下文,让模型自行判断优先级。攻击者只要控制最低可信来源,就可能借由拼接路径影响高后果动作判定。
Agent角色模型与权限继承风险
与上一篇的Agent权限分配一样,多Agent协同不是多个聊天窗口并排,而是多角色联合执行系统。
常见角色包括调度代理、检索代理、执行代理、验证代理、审计代理。必须看角色组合后的权限流,而不是只看单个代理的局部能力。
权限继承是多Agent里最容易被忽略的高风险点,调度代理通常会把上游上下文直接转给下游执行代理,如果上游上下文中有恶意目标重写内容,下游可能在合法权限范围内执行错误任务。表面是正常执行,实质是目标被劫持,属于完整性破坏。
同时角色模型还要补信道属性。消息是否结构化,是否可签名,是否可重放,是否可追溯。很多系统只画角色关系图,不画信道属性,导致评审时看起来完整,实际执行时无法解释传播路径和阻断位置。
攻击面拆解,从入口到高后果动作
在攻击面建模要先把路径拆细。多Agent场景至少有五类入口,用户文本输入、外部网页内容、插件返回数据、历史记忆回放、跨代理消息注入。
在实际业务中,最危险的不是明显恶意输入,而是看似合理的辅助说明。攻击者会把恶意意图埋入步骤建议、格式要求、上下文提示,让调度代理误当作高质量补充信息。进入任务链后,恶意内容会被多次复述,可信度被持续抬高。
因此对攻击面拆解可使用三层结构。
在入口层看载荷如何进入,传播层看载荷如何在代理间流动,同时执行层看载荷如何触发高后果动作。
三层都要有可观测点和阻断点,仅在入口层布控,会被内部传播绕开。仅在执行层布控,会增加误阻和处置成本。
每条攻击路径都要附失败安全设计。即使检测模型漏判,也要让关键动作需要二次确认,关键数据需要字段级白名单,关键令牌需要短时失效。
注入传播链建模,为什么一次漏判会放大
在论文arXiv2403.04957中,提出了一个很重要的点,跨Agent传播:攻击内容进入一个Agent后,会在任务分解和消息转发过程中被复制,复制次数越多,后续节点越难判断原始来源。最终即便单个节点防护能力不弱,也可能在链路组合下被击穿。
对传播链建模可采用五跳法。第一跳外部载荷进入、第二跳调度代理复述、第三跳执行代理采信、第四跳工具调用放大、第五跳结果回写污染。五跳法的价值是把复杂攻击拆成可测试单元,每一跳都能设计样本与门禁。
在传播链里最脆弱的往往是摘要环节:Agent为了节省上下文会压缩信息,压缩过程中恶意指令可能被重写成更像系统要求的语句。因此下游看到的是二次加工文本,原始证据已经丢失,检测难度明显上升。
阻断传播必要时可坚持三原则
- 源头可标记,跨边界可验证,高后果可确认
- 源头标记解决来源不明。跨边界验证解决传递失真
- 高后果确认解决最后一跳放大
记忆与知识库污染建模
多Agent系统为了提高效率会引入长期记忆和共享知识库,这一步同时打开了持久化攻击面。通过论文arXiv2407.12784,攻击者即使只污染少量样本,也可能在特定触发词出现时稳定诱导代理执行偏离任务目标的动作。
记忆污染的危害在于隐蔽和持续。输入层攻击通常随会话结束而衰减,记忆层污染会跨会话保留。若只监控在线输入,常误判为风险已消失,实际上污染已经迁移到存储层,等到高后果任务触发再集中爆发。
记忆与知识库建模时应拆成写入前、存储中、召回后三段控制。写入前做来源标记和异常扫描、存储中做版本隔离和过期清理,召回后做任务一致性校验和敏感字段再过滤。这三段如果缺一,记忆模块就会从效率组件转为攻击扩散器。
除此之外,还要单独建模缓存层。很多系统把缓存当临时数据,不设严格治理,但缓存最容易被跨任务误用。
工具调用风险建模
多Agent系统进入工具调用环节后,风险会从文本层进入动作层。文本层误判造成的是答案偏差,动作层误判可能直接导致高后果事件,例如误发邮件、误删记录、误改权限。
工具调用威胁建模要关注四类风险:参数污染、工具错选、调用越界、结果伪造。
- 参数污染指合法工具被喂入恶意参数
- 工具错选指任务目标正确但调用了错误工具。
- 调用越界指权限范围外执行
- 结果伪造指外部工具返回被注入的诱导文本。
在调用前后分别设置策略门。调用前门检验任务一致性、参数合法性、权限最小化,调用后门检验返回内容可信度、敏感信息暴露和可执行指令污染。同时对于高后果工具,必须加入显式审批和限流。
数据外泄建模
数据外泄在多Agent系统里通常不是直接窃取,而是任务过程中逐步拼接形成。Agent会先合法读取局部敏感字段,再在后续环节组合输出。若模型只控制读取权限而不控制转发权限,外泄会在合法链路中发生,难以及时察觉。
外泄建模可采用用数据流图法。标注敏感数据首次出现点、跨代理转发点、外部出口点,出口不仅是外部接口,也包括日志、调试面板、告警通道。
在控制上要同时执行最小可见和最小可转发。最小可见要求代理只见当前动作必需字段以及最小可转发要求跨代理输出走字段白名单。
同时对于高敏数据,可增加脱敏与过期双策略。默认输出脱敏值,完整值只在短时审批窗口可用,并在任务结束后自动失效。
指令优先级建模
多Agent协同里冲突是常态,。当组织策略、任务约束、用户请求、外部内容常同时存在。若没有优先级建模,Agent会把它们当成同级信息处理,攻击者就能通过语气强化或格式诱导覆盖原有限制。
优先级模型可固定为四层。组织策略最高,任务边界次之,用户目标再次,外部内容最低。每次冲突都要输出可解释裁决结果,并写入审计。
在实践中,优先级应由独立求解模块实现,不要只放在提示词里。提示词属于软约束,求解模块属于硬约束。硬约束可以做单元测试和回归门禁,能抵抗版本漂移。
同时在版本升级时必须做冲突回归。新增代理或新工具接入后,隐式优先关系很容易变化,若不做回归,旧问题会在新路径复发。冲突回归样本应该覆盖高后果动作、历史事故样本和跨语言变体等。
总结
多Agent协同风险不是单点漏洞问题,而是跨角色、跨消息、跨工具的链路风险问题,真正需要威胁建模的是谁在什么边界内读写什么信息、通过什么信道影响下游决策、最终如何触发高后果动作,并围绕入口、传播、执行、回写四段建立可验证的控制点与证据链,这样才能把注入扩散、权限继承、记忆污染和数据外泄从偶发事故转成可度量、可阻断、可复验的工程治理闭环。
学AI大模型的正确顺序,千万不要搞错了
🤔2026年AI风口已来!各行各业的AI渗透肉眼可见,超多公司要么转型做AI相关产品,要么高薪挖AI技术人才,机遇直接摆在眼前!
有往AI方向发展,或者本身有后端编程基础的朋友,直接冲AI大模型应用开发转岗超合适!
就算暂时不打算转岗,了解大模型、RAG、Prompt、Agent这些热门概念,能上手做简单项目,也绝对是求职加分王🔋
📝给大家整理了超全最新的AI大模型应用开发学习清单和资料,手把手帮你快速入门!👇👇
学习路线:
✅大模型基础认知—大模型核心原理、发展历程、主流模型(GPT、文心一言等)特点解析
✅核心技术模块—RAG检索增强生成、Prompt工程实战、Agent智能体开发逻辑
✅开发基础能力—Python进阶、API接口调用、大模型开发框架(LangChain等)实操
✅应用场景开发—智能问答系统、企业知识库、AIGC内容生成工具、行业定制化大模型应用
✅项目落地流程—需求拆解、技术选型、模型调优、测试上线、运维迭代
✅面试求职冲刺—岗位JD解析、简历AI项目包装、高频面试题汇总、模拟面经
以上6大模块,看似清晰好上手,实则每个部分都有扎实的核心内容需要吃透!
我把大模型的学习全流程已经整理📚好了!抓住AI时代风口,轻松解锁职业新可能,希望大家都能把握机遇,实现薪资/职业跃迁~
)
