Глубокие исследования влекут за собой более серьезные последствия
Deep Research Brings Deeper Harm
October 13, 2025
Авторы: Shuo Chen, Zonggen Li, Zhen Han, Bailan He, Tong Liu, Haokun Chen, Georg Groh, Philip Torr, Volker Tresp, Jindong Gu
cs.AI
Аннотация
Агенты глубокого исследования (Deep Research, DR), построенные на основе крупных языковых моделей (Large Language Models, LLMs), способны выполнять сложные, многоэтапные исследования, разбивая задачи на подзадачи, извлекая информацию из интернета и синтезируя детализированные отчеты. Однако неправильное использование LLMs с такими мощными возможностями может привести к еще большим рискам. Это особенно актуально в высокорисковых и насыщенных знаниями областях, таких как биобезопасность, где DR может генерировать профессиональный отчет, содержащий детализированные запрещенные знания. К сожалению, мы обнаружили такие риски на практике: просто отправка вредоносного запроса, который автономная LLM прямо отвергает, может вызвать создание детализированного и опасного отчета агентами DR. Это подчеркивает повышенные риски и необходимость более глубокого анализа безопасности. Однако методы взлома (jailbreak), разработанные для LLMs, не способны выявить такие уникальные риски, поскольку они не нацелены на исследовательские способности агентов DR. Чтобы устранить этот пробел, мы предлагаем две новые стратегии взлома: «Инъекция плана» (Plan Injection), которая внедряет вредоносные подцели в план агента, и «Перехват намерения» (Intent Hijack), которая переформулирует вредоносные запросы как академические исследовательские вопросы. Мы провели обширные эксперименты на различных LLMs и различных тестах безопасности, включая общие и биобезопасные запрещенные запросы. Эти эксперименты выявили три ключевых вывода: (1) Выравнивание (alignment) LLMs часто не работает в агентах DR, где вредоносные запросы, сформулированные в академических терминах, могут перехватывать намерение агента; (2) Многоэтапное планирование и выполнение ослабляют выравнивание, выявляя системные уязвимости, которые не могут быть устранены на уровне запросов; (3) Агенты DR не только обходят отказы, но и создают более связный, профессиональный и опасный контент по сравнению с автономными LLMs. Эти результаты демонстрируют фундаментальное несоответствие в агентах DR и указывают на необходимость разработки более совершенных методов выравнивания, адаптированных для агентов DR. Код и наборы данных доступны по адресу https://chenxshuo.github.io/deeper-harm.
English
Deep Research (DR) agents built on Large Language Models (LLMs) can perform
complex, multi-step research by decomposing tasks, retrieving online
information, and synthesizing detailed reports. However, the misuse of LLMs
with such powerful capabilities can lead to even greater risks. This is
especially concerning in high-stakes and knowledge-intensive domains such as
biosecurity, where DR can generate a professional report containing detailed
forbidden knowledge. Unfortunately, we have found such risks in practice:
simply submitting a harmful query, which a standalone LLM directly rejects, can
elicit a detailed and dangerous report from DR agents. This highlights the
elevated risks and underscores the need for a deeper safety analysis. Yet,
jailbreak methods designed for LLMs fall short in exposing such unique risks,
as they do not target the research ability of DR agents. To address this gap,
we propose two novel jailbreak strategies: Plan Injection, which injects
malicious sub-goals into the agent's plan; and Intent Hijack, which reframes
harmful queries as academic research questions. We conducted extensive
experiments across different LLMs and various safety benchmarks, including
general and biosecurity forbidden prompts. These experiments reveal 3 key
findings: (1) Alignment of the LLMs often fail in DR agents, where harmful
prompts framed in academic terms can hijack agent intent; (2) Multi-step
planning and execution weaken the alignment, revealing systemic vulnerabilities
that prompt-level safeguards cannot address; (3) DR agents not only bypass
refusals but also produce more coherent, professional, and dangerous content,
compared with standalone LLMs. These results demonstrate a fundamental
misalignment in DR agents and call for better alignment techniques tailored to
DR agents. Code and datasets are available at
https://chenxshuo.github.io/deeper-harm.