AgentWatcher: Um Monitor de Injeção de Prompt Baseado em Regras
AgentWatcher: A Rule-based Prompt Injection Monitor
April 1, 2026
Autores: Yanting Wang, Wei Zou, Runpeng Geng, Jinyuan Jia
cs.AI
Resumo
Os grandes modelos de linguagem (LLMs) e suas aplicações, como agentes, são altamente vulneráveis a ataques de injeção de prompt. Os métodos de deteção de injeção de prompt mais avançados apresentam as seguintes limitações: (1) a sua eficácia degrada-se significativamente à medida que o comprimento do contexto aumenta, e (2) carecem de regras explícitas que definam o que constitui uma injeção de prompt, tornando as decisões de deteção implícitas, opacas e difíceis de fundamentar. Neste trabalho, propomos o AgentWatcher para abordar as duas limitações acima mencionadas. Para resolver a primeira limitação, o AgentWatcher atribui a saída do LLM (por exemplo, a ação de um agente) a um pequeno conjunto de segmentos de contexto causalmente influentes. Ao concentrar a deteção num texto relativamente curto, o AgentWatcher pode ser dimensionado para contextos longos. Para resolver a segunda limitação, definimos um conjunto de regras que especificam o que constitui e o que não constitui uma injeção de prompt, e utilizamos um LLM monitor para raciocinar sobre estas regras com base no texto atribuído, tornando as decisões de deteção mais explicáveis. Realizamos uma avaliação abrangente em benchmarks de agentes de uso de ferramentas e em conjuntos de dados de compreensão de contexto longo. Os resultados experimentais demonstram que o AgentWatcher pode detetar eficazmente a injeção de prompt e manter a utilidade sem ataques. O código está disponível em https://github.com/wang-yanting/AgentWatcher.
English
Large language models (LLMs) and their applications, such as agents, are highly vulnerable to prompt injection attacks. State-of-the-art prompt injection detection methods have the following limitations: (1) their effectiveness degrades significantly as context length increases, and (2) they lack explicit rules that define what constitutes prompt injection, causing detection decisions to be implicit, opaque, and difficult to reason about. In this work, we propose AgentWatcher to address the above two limitations. To address the first limitation, AgentWatcher attributes the LLM's output (e.g., the action of an agent) to a small set of causally influential context segments. By focusing detection on a relatively short text, AgentWatcher can be scalable to long contexts. To address the second limitation, we define a set of rules specifying what does and does not constitute a prompt injection, and use a monitor LLM to reason over these rules based on the attributed text, making the detection decisions more explainable. We conduct a comprehensive evaluation on tool-use agent benchmarks and long-context understanding datasets. The experimental results demonstrate that AgentWatcher can effectively detect prompt injection and maintain utility without attacks. The code is available at https://github.com/wang-yanting/AgentWatcher.