Adaptive Angriffe auf vertrauenswürdige Überwachungssysteme untergraben KI-Kontrollprotokolle.
Adaptive Attacks on Trusted Monitors Subvert AI Control Protocols
October 10, 2025
papers.authors: Mikhail Terekhov, Alexander Panfilov, Daniil Dzenhaliou, Caglar Gulcehre, Maksym Andriushchenko, Ameya Prabhu, Jonas Geiping
cs.AI
papers.abstract
KI-Kontrollprotokolle dienen als Verteidigungsmechanismus, um nicht vertrauenswürdige LLM-Agenten daran zu hindern, in autonomen Umgebungen Schaden anzurichten. Bisherige Arbeiten behandeln dies als ein Sicherheitsproblem, indem sie mit Exploits Stresstests durchführen, die den Einsatzkontext nutzen, um subtil schädliche Nebentätigkeiten wie das Einschleusen von Hintertüren zu vollenden. In der Praxis basieren die meisten KI-Kontrollprotokolle grundlegend auf LLM-Monitoren, die zu einem zentralen Fehlerpunkt werden können. Wir untersuchen adaptive Angriffe durch ein nicht vertrauenswürdiges Modell, das das Protokoll und das Monitor-Modell kennt, was plausibel ist, wenn das nicht vertrauenswürdige Modell mit einem späteren Wissensstand trainiert wurde oder diese Informationen autonom suchen kann. Wir konkretisieren einen einfachen adaptiven Angriffsvektor, bei dem der Angreifer öffentlich bekannte oder Zero-Shot-Prompt-Injektionen in die Modellausgaben einbettet. Mit dieser Taktik umgehen Frontier-Modelle konsequent diverse Monitore und vollenden bösartige Aufgaben in zwei wichtigen KI-Kontroll-Benchmarks. Der Angriff funktioniert universell gegen aktuelle Protokolle, die auf einen Monitor angewiesen sind. Darüber hinaus schlägt das kürzlich entwickelte Defer-to-Resample-Protokoll sogar fehl, da dessen Resampling die Prompt-Injektion verstärkt und sie effektiv als einen Best-of-n-Angriff umrahmt. Im Allgemeinen stellen adaptive Angriffe auf Monitor-Modelle eine große Schwachstelle in aktuellen Kontrollprotokollen dar und sollten zu einem Standardbestandteil von Bewertungen für zukünftige KI-Kontrollmechanismen werden.
English
AI control protocols serve as a defense mechanism to stop untrusted LLM
agents from causing harm in autonomous settings. Prior work treats this as a
security problem, stress testing with exploits that use the deployment context
to subtly complete harmful side tasks, such as backdoor insertion. In practice,
most AI control protocols are fundamentally based on LLM monitors, which can
become a central point of failure. We study adaptive attacks by an untrusted
model that knows the protocol and the monitor model, which is plausible if the
untrusted model was trained with a later knowledge cutoff or can search for
this information autonomously. We instantiate a simple adaptive attack vector
by which the attacker embeds publicly known or zero-shot prompt injections in
the model outputs. Using this tactic, frontier models consistently evade
diverse monitors and complete malicious tasks on two main AI control
benchmarks. The attack works universally against current protocols that rely on
a monitor. Furthermore, the recent Defer-to-Resample protocol even backfires,
as its resampling amplifies the prompt injection and effectively reframes it as
a best-of-n attack. In general, adaptive attacks on monitor models represent
a major blind spot in current control protocols and should become a standard
component of evaluations for future AI control mechanisms.