Ataques Adaptativos sobre Monitores de Confianza Socavan los Protocolos de Control de IA
Adaptive Attacks on Trusted Monitors Subvert AI Control Protocols
October 10, 2025
Autores: Mikhail Terekhov, Alexander Panfilov, Daniil Dzenhaliou, Caglar Gulcehre, Maksym Andriushchenko, Ameya Prabhu, Jonas Geiping
cs.AI
Resumen
Los protocolos de control de IA sirven como mecanismo de defensa para evitar que agentes de LLM no confiables causen daño en entornos autónomos. Trabajos previos abordan esto como un problema de seguridad, realizando pruebas de estrés con exploits que utilizan el contexto de despliegue para completar sutilmente tareas secundarias dañinas, como la inserción de puertas traseras. En la práctica, la mayoría de los protocolos de control de IA se basan fundamentalmente en monitores de LLM, que pueden convertirse en un punto central de fallo. Estudiamos ataques adaptativos por parte de un modelo no confiable que conoce el protocolo y el modelo monitor, lo cual es plausible si el modelo no confiable fue entrenado con un corte de conocimiento posterior o puede buscar esta información de manera autónoma. Instanciamos un vector de ataque adaptativo simple mediante el cual el atacante incrusta inyecciones de prompts conocidas públicamente o de tipo zero-shot en las salidas del modelo. Utilizando esta táctica, los modelos de vanguardia evaden consistentemente diversos monitores y completan tareas maliciosas en dos principales benchmarks de control de IA. El ataque funciona universalmente contra los protocolos actuales que dependen de un monitor. Además, el reciente protocolo Defer-to-Resample incluso resulta contraproducente, ya que su remuestreo amplifica la inyección de prompt y la reformula efectivamente como un ataque de tipo best-of-n. En general, los ataques adaptativos a los modelos monitores representan un punto ciego importante en los protocolos de control actuales y deberían convertirse en un componente estándar de las evaluaciones para futuros mecanismos de control de IA.
English
AI control protocols serve as a defense mechanism to stop untrusted LLM
agents from causing harm in autonomous settings. Prior work treats this as a
security problem, stress testing with exploits that use the deployment context
to subtly complete harmful side tasks, such as backdoor insertion. In practice,
most AI control protocols are fundamentally based on LLM monitors, which can
become a central point of failure. We study adaptive attacks by an untrusted
model that knows the protocol and the monitor model, which is plausible if the
untrusted model was trained with a later knowledge cutoff or can search for
this information autonomously. We instantiate a simple adaptive attack vector
by which the attacker embeds publicly known or zero-shot prompt injections in
the model outputs. Using this tactic, frontier models consistently evade
diverse monitors and complete malicious tasks on two main AI control
benchmarks. The attack works universally against current protocols that rely on
a monitor. Furthermore, the recent Defer-to-Resample protocol even backfires,
as its resampling amplifies the prompt injection and effectively reframes it as
a best-of-n attack. In general, adaptive attacks on monitor models represent
a major blind spot in current control protocols and should become a standard
component of evaluations for future AI control mechanisms.