Содержание
Коротко
Языковые модели выявляют множество уязвимостей в коде, и всё чаще используются в кибератаках. Атакующие разделяют вредоносные задачи между многими аккаунтами: каждый отдельный диалог выглядит безобидно, а опасность становится видимой только в совокупности. Обычные мониторы, оценивающие один контекст за раз, не могут распознать такой сценарий.
Что произошло
Исследователи создали, как они утверждают, первую распределённую атаку на агента: мультиагентный каркас выполняет сложные задачи, скрывая цель между субагентами с ограниченным контекстом. Стандартный монитор обнаруживает её в пять раз реже, чем «одноаккаунтные» атаки из прошлых исследований.
Защита — онлайн-монитор с памятью состояния: слабые сигналы подозрительности собираются кластеризацией по множеству транскриптов; сложная модель активируется только при эскалации. На симулированном трафике дата-центра монитор раньше на ~30% обнаруживает распределённые атаки при минимальной задержке для ~99% легитимного трафика.
Почему это важно
- Безопасность агентов нельзя строить только на анализе одного сеанса пользователя.
- Агрегация слабых сигналов и редкая эскалация обеспечивают лучший компромисс между «точностью и задержкой», чем оценка каждого сообщения сложной моделью.
- После совместной имитации атак та же схема неожиданно ловит и обычные обходы ограничений модели — атакующие повторяют варианты между аккаунтами.
На практике
- В продакшен-агентах закладывайте кросс-пользовательский слой мониторинга, если API доступен многим аккаунтам.
- Храните агрегаты поведения (частота вызовов инструментов, паттерны запросов), а не только последний промпт.
- Эскалация на LLM — дорогой ресурс; сначала используйте дешёвые эвристики и кластеры.
- Тестируйте не только «злой промпт в одном чате», но и разделение задачи на несколько сессий.
Итог
Оценка проводилась на симулированном трафике; перенос на ваш продукт требует калибровки порогов. При очень большом фоне легитимного трафика преимущество может уменьшиться. Это исследование безопасности, а не готовый SaaS-модуль.