De l'injection de prompt au contrôle persistant : défendre le harnais agentique contre les portes dérobées Trojan

Résumé

Les agents LLM évoluent de chatbots conversationnels vers des outils opérationnels dans les environnements de travail réels. Dans les cadres agentiques locaux, un LLM peut lire et écrire des fichiers, invoquer des outils et réutiliser l'état de l'espace de travail entre les sessions. Bien que ces capacités améliorent l'utilité, elles exposent également une nouvelle surface d'attaque pour les adversaires. Ceux-ci peuvent dissimuler une injection d'instruction dans un fichier ou une sortie d'outil. Les agents peuvent lire cette instruction cachée, la stocker et l'exécuter ultérieurement. Dans ce paradigme d'attaque trojan en plusieurs étapes, aucune étape individuelle n'apparaît malveillante en soi, mais ces étapes peuvent collectivement transformer un texte non fiable en contenu de contrôle persistant. Cependant, les défenses existantes inspectent souvent chaque étape de manière isolée. En conséquence, elles peuvent bloquer une action clairement nuisible, mais échouent à détecter l'opération d'écriture antérieure qui implante la porte dérobée. Pour révéler cette menace, nous introduisons ClawTrojan, un benchmark conçu pour identifier les attaques trojan en plusieurs étapes dans les cadres agentiques locaux. Dans un espace de travail simulé de style OpenClaw avec GPT-5.4, ClawTrojan atteint un taux de succès d'attaque (ASR) de 95,5 %, tandis que les attaques d'injection d'instruction en un seul tour produisent un ASR quasi nul sur le même modèle. Pour contrer cette menace, nous proposons DASGuard, qui analyse le texte de type contrôle dans les fichiers locaux sensibles, retrace son origine et supprime le contenu de contrôle qui ne provient pas d'une source de confiance. Nos résultats montrent que DASGuard réalise une défense dynamique robuste en combinant le blocage d'attaque en temps réel avec des commits assainis vers l'espace de travail.

English

LLM agents are evolving from conversational chatbots to operational tools in real-world workspaces. In local agentic harnesses, an LLM can read and write files, call tools, and reuse workspace state across sessions. While such capabilities enhance utility, they also expose a new attack surface for attackers. Attackers can embed a prompt injection within a file or tool output. Agents may read this hidden instruction, store it, and execute it later. In this multi-step trojan attack paradigm, no individual step appears malicious on its own, but these steps can collectively turn untrusted text into persistent control content. However, existing defenses often inspect each step in isolation. As a result, they can block a clear harmful action, but fail to detect the earlier write operation that plants the backdoor. To reveal this threat, we introduce ClawTrojan, a benchmark designed to identify multi-step trojan attacks in local agentic harnesses. In an OpenClaw-style simulated workspace with GPT-5.4, ClawTrojan reaches a 95.5% attack success rate (ASR), while existing single-turn prompt-injection attacks produce near-zero ASR on the same model. To address this threat, we propose DASGuard, which scans control-like text in sensitive local files, traces its origin, and removes control content that does not originate from a trusted source. Our results show that DASGuard achieves strong dynamic defense by combining runtime attack blocking with sanitized commits to the workspace.