Адаптивные атаки на доверенные мониторы подрывают протоколы контроля ИИ
Adaptive Attacks on Trusted Monitors Subvert AI Control Protocols
October 10, 2025
Авторы: Mikhail Terekhov, Alexander Panfilov, Daniil Dzenhaliou, Caglar Gulcehre, Maksym Andriushchenko, Ameya Prabhu, Jonas Geiping
cs.AI
Аннотация
Протоколы контроля ИИ служат защитным механизмом для предотвращения вреда, который могут причинить ненадежные агенты на основе больших языковых моделей (LLM) в автономных условиях. Предыдущие работы рассматривали это как проблему безопасности, проводя стресс-тестирование с использованием эксплойтов, которые используют контекст развертывания для незаметного выполнения вредоносных побочных задач, таких как внедрение бэкдоров. На практике большинство протоколов контроля ИИ основываются на мониторах LLM, которые могут стать центральной точкой отказа. Мы исследуем адаптивные атаки со стороны ненадежной модели, которая знает протокол и модель монитора, что вполне возможно, если ненадежная модель была обучена с более поздним порогом знаний или может автономно искать эту информацию. Мы реализуем простой вектор адаптивной атаки, при котором злоумышленник внедряет общеизвестные или zero-shot инъекции промптов в выходные данные модели. Используя эту тактику, передовые модели стабильно обходят разнообразные мониторы и выполняют вредоносные задачи на двух основных тестовых наборах для контроля ИИ. Атака универсально эффективна против текущих протоколов, полагающихся на монитор. Более того, недавний протокол Defer-to-Resample даже усугубляет ситуацию, так как его повторная выборка усиливает инъекцию промпта и фактически превращает её в атаку best-of-n. В целом, адаптивные атаки на модели мониторов представляют собой значительный пробел в текущих протоколах контроля и должны стать стандартным компонентом оценки будущих механизмов контроля ИИ.
English
AI control protocols serve as a defense mechanism to stop untrusted LLM
agents from causing harm in autonomous settings. Prior work treats this as a
security problem, stress testing with exploits that use the deployment context
to subtly complete harmful side tasks, such as backdoor insertion. In practice,
most AI control protocols are fundamentally based on LLM monitors, which can
become a central point of failure. We study adaptive attacks by an untrusted
model that knows the protocol and the monitor model, which is plausible if the
untrusted model was trained with a later knowledge cutoff or can search for
this information autonomously. We instantiate a simple adaptive attack vector
by which the attacker embeds publicly known or zero-shot prompt injections in
the model outputs. Using this tactic, frontier models consistently evade
diverse monitors and complete malicious tasks on two main AI control
benchmarks. The attack works universally against current protocols that rely on
a monitor. Furthermore, the recent Defer-to-Resample protocol even backfires,
as its resampling amplifies the prompt injection and effectively reframes it as
a best-of-n attack. In general, adaptive attacks on monitor models represent
a major blind spot in current control protocols and should become a standard
component of evaluations for future AI control mechanisms.