От инъекции промптов к постоянному контролю: защита агентной обвязки от троянских бэкдоров

Аннотация

Агенты LLM эволюционируют от разговорных чат-ботов к операционным инструментам в реальных рабочих пространствах. В локальных агентных средах LLM может читать и записывать файлы, вызывать инструменты и повторно использовать состояние рабочего пространства между сессиями. Хотя такие возможности повышают полезность, они также открывают новую поверхность атаки для злоумышленников. Злоумышленники могут внедрить инъекцию промпта в файл или вывод инструмента. Агенты могут прочитать эту скрытую инструкцию, сохранить ее и выполнить позже. В этой парадигме многошаговой троянской атаки ни один отдельный шаг не выглядит вредоносным сам по себе, но эти шаги в совокупности могут превратить ненадежный текст в постоянное управляющее содержимое. Однако существующие механизмы защиты часто проверяют каждый шаг изолированно. В результате они могут заблокировать явное вредоносное действие, но не могут обнаружить более раннюю операцию записи, которая устанавливает бэкдор. Чтобы выявить эту угрозу, мы представляем ClawTrojan — эталонный тест, предназначенный для идентификации многошаговых троянских атак в локальных агентных средах. В симулированном рабочем пространстве в стиле OpenClaw с GPT-5.4 ClawTrojan достигает 95,5% уровня успешности атак (УУА), в то время как существующие одношаговые атаки с инъекцией промптов показывают почти нулевой УУА на той же модели. Для противодействия этой угрозе мы предлагаем DASGuard, который сканирует управляющий текст в конфиденциальных локальных файлах, отслеживает его происхождение и удаляет управляющее содержимое, не исходящее из доверенного источника. Наши результаты показывают, что DASGuard обеспечивает надежную динамическую защиту, сочетая блокировку атак во время выполнения с очищенными фиксациями в рабочем пространстве.

English

LLM agents are evolving from conversational chatbots to operational tools in real-world workspaces. In local agentic harnesses, an LLM can read and write files, call tools, and reuse workspace state across sessions. While such capabilities enhance utility, they also expose a new attack surface for attackers. Attackers can embed a prompt injection within a file or tool output. Agents may read this hidden instruction, store it, and execute it later. In this multi-step trojan attack paradigm, no individual step appears malicious on its own, but these steps can collectively turn untrusted text into persistent control content. However, existing defenses often inspect each step in isolation. As a result, they can block a clear harmful action, but fail to detect the earlier write operation that plants the backdoor. To reveal this threat, we introduce ClawTrojan, a benchmark designed to identify multi-step trojan attacks in local agentic harnesses. In an OpenClaw-style simulated workspace with GPT-5.4, ClawTrojan reaches a 95.5% attack success rate (ASR), while existing single-turn prompt-injection attacks produce near-zero ASR on the same model. To address this threat, we propose DASGuard, which scans control-like text in sensitive local files, traces its origin, and removes control content that does not originate from a trusted source. Our results show that DASGuard achieves strong dynamic defense by combining runtime attack blocking with sanitized commits to the workspace.