ChatPaper.aiChatPaper

Cuando los privilegios menores bastan: Investigando la selección sobreprivilegiada de herramientas en agentes LLM

When Lower Privileges Suffice: Investigating Over-Privileged Tool Selection in LLM Agents

June 18, 2026
Autores: Kaiyue Yang, Yuyan Bu, Jingwei Yi, Yuchi Wang, Biyu Zhou, Juntao Dai, Songlin Hu, Yaodong Yang
cs.AI

Resumen

A medida que los agentes LLM seleccionan herramientas de forma cada vez más autónoma, sus elecciones entre herramientas con diferentes privilegios adquieren relevancia para la seguridad. Sin embargo, los estudios previos sobre selección de herramientas se centran en preferencias de metadatos ajenas a la seguridad, dejando las decisiones sensibles a los privilegios sin explorar. Para abordar esta brecha, estudiamos la selección de herramientas sobreprivilegiadas, en la que un agente selecciona o escala hacia una herramienta de mayor privilegio a pesar de existir una alternativa suficiente de menor privilegio. Introducimos ToolPrivBench para evaluar si los agentes eligen herramientas de mayor privilegio a pesar de contar con alternativas suficientes de menor privilegio, midiendo tanto la selección inicial como la escalada tras fallos transitorios en las herramientas. En ocho dominios y cinco patrones recurrentes de riesgo, encontramos que la selección de herramientas sobreprivilegiadas es común entre los agentes LLM convencionales y se ve amplificada por fallos transitorios. Además, observamos que la alineación general de seguridad no se transfiere de manera confiable a la elección de herramientas de mínimo privilegio, mientras que los controles a nivel de indicaciones ofrecen solo una mitigación limitada ante fallos transitorios. Por lo tanto, introducimos una defensa posterior al entrenamiento consciente de privilegios que enseña a los agentes a preferir herramientas suficientes de menor privilegio y escalar solo cuando sea necesario. Nuestros experimentos de mitigación muestran que esta defensa reduce sustancialmente el uso innecesario de herramientas de alto privilegio, preservando al mismo tiempo las capacidades generales.
English
As LLM agents increasingly select tools autonomously, their choices among tools with different privileges become safety-relevant. However, prior tool-selection studies focus on safety-agnostic metadata preferences, leaving privilege-sensitive choices underexplored. To address this gap, we study over-privileged tool selection, in which an agent selects or escalates to a higher-privilege tool despite a sufficient lower-privilege alternative. We introduce ToolPrivBench to evaluate whether agents choose higher-privilege tools despite sufficient lower-privilege alternatives, measuring both initial selection and escalation after transient tool failures. Across eight domains and five recurring risk patterns, we find that over-privileged tool selection is common among mainstream LLM agents and is further amplified by transient failures. We further find that general safety alignment does not reliably transfer to least-privilege tool choice, while prompt-level controls provide only limited mitigation under transient failures. We therefore introduce a privilege-aware post-training defense that teaches agents to prefer sufficient lower-privilege tools and escalate only when necessary. Our mitigation experiments show that this defense substantially reduces unnecessary high-privilege tool use while preserving general capabilities.