Who's the Mole? Modeling and Detecting Intention-Hiding Malicious Agents in LLM-Based Multi-Agent Systems

📄 arXiv: 2507.04724v2 📥 PDF

作者: Yizhe Xie, Congcong Zhu, Xinyue Zhang, Tianqing Zhu, Dayong Ye, Minghao Wang, Chi Liu

分类: cs.MA, cs.AI

发布日期: 2025-07-07 (更新: 2025-10-06)

💡 一句话要点

提出AgentXposed框架,用于检测LLM多智能体系统中隐藏意图的恶意智能体。

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 多智能体系统 大型语言模型 恶意智能体检测 意图隐藏 HEXACO人格模型 Reid审讯技术 安全防御

📋 核心要点

  1. 现有基于LLM的智能体研究主要集中在单智能体场景,而多智能体系统的安全性尚未得到充分探索,面临意图隐藏攻击的挑战。
  2. 论文提出AgentXposed框架,该框架结合HEXACO人格模型和Reid审讯技术,旨在主动识别LLM多智能体系统中隐藏意图的恶意智能体。
  3. 实验结果表明,AgentXposed能够有效检测多种形式的恶意行为,并在多种通信设置中表现出强大的鲁棒性,优于现有防御机制。

📝 摘要(中文)

本文针对基于大型语言模型的多智能体系统(LLM-MAS)中意图隐藏的威胁进行了系统研究。设计了四种具有高度隐蔽性的攻击范式,这些攻击能够巧妙地扰乱任务完成。实验结果表明,这些攻击具有很强的破坏性,并且容易逃避现有的防御机制。为了应对这些威胁,本文提出了一种受心理学启发的检测框架AgentXposed。AgentXposed借鉴了HEXACO人格模型(通过心理特征维度表征智能体)和Reid审讯技术(一种引出隐藏意图的结构化方法)。通过结合渐进式问卷探测和基于行为的智能体间监控,该框架能够在有害行为发生之前主动识别恶意智能体。在六个数据集上针对本文提出的攻击和两种基线威胁进行的大量实验表明,AgentXposed能够有效地检测各种形式的恶意行为,并在多种通信设置中实现强大的鲁棒性。

🔬 方法详解

问题定义:论文旨在解决LLM驱动的多智能体系统中,恶意智能体通过隐藏自身意图来破坏协作任务的问题。现有方法主要关注单智能体安全,缺乏对多智能体系统中复杂交互和恶意意图隐藏行为的有效检测机制。这些恶意智能体能够以隐蔽的方式干扰任务完成,难以被传统防御手段发现。

核心思路:AgentXposed的核心思路是借鉴心理学中的人格分析和审讯技巧,通过分析智能体的行为模式和回答问题的风格,推断其隐藏的意图。该方法假设恶意智能体在行为和语言上会表现出与正常智能体不同的特征,通过捕捉这些细微差异来识别恶意行为。

技术框架:AgentXposed框架包含两个主要模块:渐进式问卷探测和基于行为的智能体间监控。渐进式问卷探测模块采用Reid审讯技术,设计一系列问题,逐步引导智能体暴露其真实意图。基于行为的智能体间监控模块则持续监测智能体之间的交互行为,分析其协作模式和通信内容,以发现异常行为。这两个模块相互补充,共同完成恶意智能体的检测任务。

关键创新:AgentXposed的关键创新在于将心理学理论应用于LLM多智能体系统的安全检测。通过引入HEXACO人格模型,能够从心理特征维度对智能体进行刻画,从而更全面地理解其行为动机。同时,Reid审讯技术的应用使得框架能够主动地挖掘智能体的隐藏意图,而不仅仅是被动地监测其行为。

关键设计:在渐进式问卷探测模块中,问题的设计需要充分考虑恶意智能体的欺骗能力,避免直接询问其意图,而是通过间接的方式来获取信息。在基于行为的智能体间监控模块中,需要设计合适的指标来衡量智能体之间的协作程度和通信内容的异常程度。此外,框架还需要设置合适的阈值来判断智能体是否为恶意智能体,以避免误报和漏报。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果表明,AgentXposed在六个数据集上针对四种提出的攻击和两种基线威胁均表现出良好的检测性能。相较于现有防御机制,AgentXposed能够更有效地识别隐藏意图的恶意智能体,并在多种通信设置下保持鲁棒性。具体性能数据未知,但摘要强调了其“有效检测”和“强大鲁棒性”。

🎯 应用场景

AgentXposed框架可应用于各种基于LLM的多智能体协作系统,例如:供应链管理、金融交易、智能交通、协同设计等。通过及早发现并隔离恶意智能体,可以有效保障系统的安全性和可靠性,避免因恶意行为造成的经济损失和声誉损害。该研究为构建更安全、更可信的LLM多智能体系统奠定了基础。

📄 摘要(原文)

Multi-agent systems powered by Large Language Models (LLM-MAS) have demonstrated remarkable capabilities in collaborative problem-solving. However, their deployment also introduces new security risks. Existing research on LLM-based agents has primarily examined single-agent scenarios, while the security of multi-agent systems remains largely unexplored. To address this gap, we present a systematic study of intention-hiding threats in LLM-MAS. We design four representative attack paradigms that subtly disrupt task completion while maintaining a high degree of stealth, and evaluate them under centralized, decentralized, and layered communication structures. Experimental results show that these attacks are highly disruptive and can easily evade existing defense mechanisms. To counter these threats, we propose AgentXposed, a psychology-inspired detection framework. AgentXposed draws on the HEXACO personality model, which characterizes agents through psychological trait dimensions, and the Reid interrogation technique, a structured method for eliciting concealed intentions. By combining progressive questionnaire probing with behavior-based inter-agent monitoring, the framework enables the proactive identification of malicious agents before harmful actions are carried out. Extensive experiments across six datasets against both our proposed attacks and two baseline threats demonstrate that AgentXposed effectively detects diverse forms of malicious behavior, achieving strong robustness across multiple communication settings.