Da Injeção de Prompt ao Controle Persistente: Defendendo a Estrutura de Agentes contra Backdoors Troianos

Resumo

Os agentes de LLM estão evoluindo de chatbots conversacionais para ferramentas operacionais em ambientes de trabalho reais. Em ambientes operacionais locais de agentes, um LLM pode ler e escrever arquivos, chamar ferramentas e reutilizar o estado do ambiente entre sessões. Embora tais capacidades aumentem a utilidade, elas também expõem uma nova superfície de ataque para invasores. Atacantes podem incorporar uma injeção de prompt dentro de um arquivo ou saída de ferramenta. Agentes podem ler essa instrução oculta, armazená-la e executá-la posteriormente. Nesse paradigma de ataque troiano de múltiplas etapas, nenhuma etapa individual aparenta ser maliciosa por si só, mas essas etapas podem, coletivamente, transformar texto não confiável em conteúdo de controle persistente. No entanto, as defesas existentes frequentemente inspecionam cada etapa de forma isolada. Como resultado, podem bloquear uma ação claramente prejudicial, mas falham em detectar a operação de escrita anterior que planta o backdoor. Para revelar essa ameaça, introduzimos o ClawTrojan, um referencial projetado para identificar ataques troianos de múltiplas etapas em ambientes operacionais locais de agentes. Em um ambiente de trabalho simulado estilo OpenClaw com GPT-5.4, o ClawTrojan atinge uma taxa de sucesso de ataque (ASR) de 95,5%, enquanto ataques de injeção de prompt de turno único existentes produzem ASR próxima de zero no mesmo modelo. Para enfrentar essa ameaça, propomos o DASGuard, que escaneia texto de tipo controle em arquivos locais sensíveis, rastreia sua origem e remove conteúdo de controle que não se origina de uma fonte confiável. Nossos resultados mostram que o DASGuard alcança uma forte defesa dinâmica ao combinar bloqueio de ataque em tempo de execução com commits sanitizados ao ambiente de trabalho.

English

LLM agents are evolving from conversational chatbots to operational tools in real-world workspaces. In local agentic harnesses, an LLM can read and write files, call tools, and reuse workspace state across sessions. While such capabilities enhance utility, they also expose a new attack surface for attackers. Attackers can embed a prompt injection within a file or tool output. Agents may read this hidden instruction, store it, and execute it later. In this multi-step trojan attack paradigm, no individual step appears malicious on its own, but these steps can collectively turn untrusted text into persistent control content. However, existing defenses often inspect each step in isolation. As a result, they can block a clear harmful action, but fail to detect the earlier write operation that plants the backdoor. To reveal this threat, we introduce ClawTrojan, a benchmark designed to identify multi-step trojan attacks in local agentic harnesses. In an OpenClaw-style simulated workspace with GPT-5.4, ClawTrojan reaches a 95.5% attack success rate (ASR), while existing single-turn prompt-injection attacks produce near-zero ASR on the same model. To address this threat, we propose DASGuard, which scans control-like text in sensitive local files, traces its origin, and removes control content that does not originate from a trusted source. Our results show that DASGuard achieves strong dynamic defense by combining runtime attack blocking with sanitized commits to the workspace.