Pesquisa Profunda Causa Danos Maiores
Deep Research Brings Deeper Harm
October 13, 2025
Autores: Shuo Chen, Zonggen Li, Zhen Han, Bailan He, Tong Liu, Haokun Chen, Georg Groh, Philip Torr, Volker Tresp, Jindong Gu
cs.AI
Resumo
Agentes de Pesquisa Profunda (DR, na sigla em inglês) construídos sobre Modelos de Linguagem de Grande Escala (LLMs) podem realizar pesquisas complexas e de múltiplas etapas, decompondo tarefas, recuperando informações online e sintetizando relatórios detalhados. No entanto, o uso indevido de LLMs com capacidades tão poderosas pode levar a riscos ainda maiores. Isso é especialmente preocupante em domínios de alto impacto e intensivos em conhecimento, como a biosegurança, onde os DRs podem gerar relatórios profissionais contendo conhecimento proibido detalhado. Infelizmente, encontramos tais riscos na prática: simplesmente enviar uma consulta prejudicial, que um LLM autônomo rejeita diretamente, pode eliciar um relatório detalhado e perigoso de agentes DR. Isso destaca os riscos elevados e reforça a necessidade de uma análise de segurança mais profunda. No entanto, métodos de jailbreak projetados para LLMs não são suficientes para expor esses riscos únicos, pois não visam a capacidade de pesquisa dos agentes DR. Para abordar essa lacuna, propomos duas novas estratégias de jailbreak: Injeção de Plano, que insere subobjetivos maliciosos no plano do agente; e Sequestro de Intenção, que reformula consultas prejudiciais como questões de pesquisa acadêmica. Realizamos extensos experimentos em diferentes LLMs e vários benchmarks de segurança, incluindo prompts proibidos gerais e de biosegurança. Esses experimentos revelam três descobertas principais: (1) O alinhamento dos LLMs frequentemente falha em agentes DR, onde prompts prejudiciais enquadrados em termos acadêmicos podem sequestrar a intenção do agente; (2) O planejamento e execução de múltiplas etapas enfraquecem o alinhamento, revelando vulnerabilidades sistêmicas que as salvaguardas no nível do prompt não conseguem abordar; (3) Agentes DR não apenas contornam recusas, mas também produzem conteúdo mais coeso, profissional e perigoso, em comparação com LLMs autônomos. Esses resultados demonstram um desalinhamento fundamental em agentes DR e exigem técnicas de alinhamento melhores e específicas para agentes DR. Códigos e conjuntos de dados estão disponíveis em https://chenxshuo.github.io/deeper-harm.
English
Deep Research (DR) agents built on Large Language Models (LLMs) can perform
complex, multi-step research by decomposing tasks, retrieving online
information, and synthesizing detailed reports. However, the misuse of LLMs
with such powerful capabilities can lead to even greater risks. This is
especially concerning in high-stakes and knowledge-intensive domains such as
biosecurity, where DR can generate a professional report containing detailed
forbidden knowledge. Unfortunately, we have found such risks in practice:
simply submitting a harmful query, which a standalone LLM directly rejects, can
elicit a detailed and dangerous report from DR agents. This highlights the
elevated risks and underscores the need for a deeper safety analysis. Yet,
jailbreak methods designed for LLMs fall short in exposing such unique risks,
as they do not target the research ability of DR agents. To address this gap,
we propose two novel jailbreak strategies: Plan Injection, which injects
malicious sub-goals into the agent's plan; and Intent Hijack, which reframes
harmful queries as academic research questions. We conducted extensive
experiments across different LLMs and various safety benchmarks, including
general and biosecurity forbidden prompts. These experiments reveal 3 key
findings: (1) Alignment of the LLMs often fail in DR agents, where harmful
prompts framed in academic terms can hijack agent intent; (2) Multi-step
planning and execution weaken the alignment, revealing systemic vulnerabilities
that prompt-level safeguards cannot address; (3) DR agents not only bypass
refusals but also produce more coherent, professional, and dangerous content,
compared with standalone LLMs. These results demonstrate a fundamental
misalignment in DR agents and call for better alignment techniques tailored to
DR agents. Code and datasets are available at
https://chenxshuo.github.io/deeper-harm.