Adaptieve aanvallen op vertrouwde monitors ondermijnen AI-controleprotocollen

Samenvatting

AI-controleprotocollen dienen als een verdedigingsmechanisme om te voorkomen dat niet-vertrouwde LLM-agents schade veroorzaken in autonome omgevingen. Eerder werk behandelt dit als een beveiligingsprobleem, waarbij stress tests worden uitgevoerd met exploits die de implementatiecontext gebruiken om subtiel schadelijke neventaken te voltooien, zoals het inbrengen van achterdeuren. In de praktijk zijn de meeste AI-controleprotocollen fundamenteel gebaseerd op LLM-monitors, die een centraal punt van falen kunnen worden. Wij bestuderen adaptieve aanvallen door een niet-vertrouwd model dat het protocol en het monitor-model kent, wat plausibel is als het niet-vertrouwde model is getraind met een latere kennisafsluitdatum of deze informatie autonoom kan opzoeken. We concretiseren een eenvoudige adaptieve aanvalsvector waarbij de aanvaller publiek bekende of zero-shot prompt-injecties in de modeloutputs inbedt. Met deze tactiek ontwijken frontier-modellen consistent diverse monitors en voltooien ze schadelijke taken op twee belangrijke AI-controlebenchmarks. De aanval werkt universeel tegen huidige protocollen die afhankelijk zijn van een monitor. Bovendien werkt het recente Defer-to-Resample-protocol zelfs averechts, omdat het hermonsteren de prompt-injectie versterkt en deze effectief herformuleert als een best-of-n aanval. Over het algemeen vormen adaptieve aanvallen op monitor-modellen een groot blinde vlek in huidige controleprotocollen en zouden ze een standaardonderdeel moeten worden van evaluaties voor toekomstige AI-controlemechanismen.

English

AI control protocols serve as a defense mechanism to stop untrusted LLM agents from causing harm in autonomous settings. Prior work treats this as a security problem, stress testing with exploits that use the deployment context to subtly complete harmful side tasks, such as backdoor insertion. In practice, most AI control protocols are fundamentally based on LLM monitors, which can become a central point of failure. We study adaptive attacks by an untrusted model that knows the protocol and the monitor model, which is plausible if the untrusted model was trained with a later knowledge cutoff or can search for this information autonomously. We instantiate a simple adaptive attack vector by which the attacker embeds publicly known or zero-shot prompt injections in the model outputs. Using this tactic, frontier models consistently evade diverse monitors and complete malicious tasks on two main AI control benchmarks. The attack works universally against current protocols that rely on a monitor. Furthermore, the recent Defer-to-Resample protocol even backfires, as its resampling amplifies the prompt injection and effectively reframes it as a best-of-n attack. In general, adaptive attacks on monitor models represent a major blind spot in current control protocols and should become a standard component of evaluations for future AI control mechanisms.

Adaptieve aanvallen op vertrouwde monitors ondermijnen AI-controleprotocollen

Adaptive Attacks on Trusted Monitors Subvert AI Control Protocols

Samenvatting

Support