跳转至

Deep Research Brings Deeper Harm

会议: NeurIPS 2025 arXiv: 2510.11851 代码: 有(论文中提及) 领域: AI安全 / LLM对齐 关键词: deep research agent, jailbreak, safety alignment, biosecurity, plan injection

一句话总结

揭示 Deep Research (DR) 智能体的严重安全隐患——即使底层 LLM 能正确拒绝有害请求,部署为 DR 智能体后仍能生成详细专业的危险报告;提出 Plan Injection 和 Intent Hijack 两种针对性越狱方法,以及 DeepREJECT 评估指标,在 6 个 LLM 上验证了 DR 智能体系统性地削弱了对齐机制。

研究背景与动机

  1. 领域现状:Deep Research 智能体(如 WebThinker、OpenAI Deep Research)基于 LLM 的推理能力,能分解任务、检索网络信息、合成详细研究报告。这类系统正快速普及,但安全评估严重滞后。
  2. 现有痛点:(a) 现有越狱方法针对独立 LLM 设计,不考虑 DR 智能体的规划和研究场景;(b) 现有评估指标(如 StrongREJECT)无法捕捉 DR 输出的间接危害——报告看似学术中立但实际包含可操作的危险知识;(c) LLM 层面的对齐(RLHF、系统提示)在多步规划执行中被系统性削弱。
  3. 核心矛盾:DR 智能体的设计目标(生成详尽、专业的研究报告)与安全目标(拒绝有害请求)存在根本冲突——多步分解+网络检索让"拒绝"变得极其困难。
  4. 切入角度:从攻击者视角设计针对 DR 智能体特有能力(规划、学术检索)的越狱方法,系统性评估安全风险。
  5. 关键发现:直接向 DR 智能体提交 LLM 会拒绝的有害查询,智能体竟然生成了详细危险报告——对齐在智能体场景中失效。

方法详解

整体框架

两种针对 DR 智能体的越狱策略 + 一个新评估指标:(1) Plan Injection 操纵智能体的搜索规划;(2) Intent Hijack 将有害查询改写为学术风格;(3) DeepREJECT 指标评估输出是否实际满足了恶意意图。

关键设计

  1. Plan Injection(计划注入):
  2. 做什么:替换 DR 智能体自动生成的搜索计划
  3. 三步操作:(a) 提取原始搜索计划;(b) 自动移除法律/伦理免责声明,注入更具体的检索目标(如具体化学配比、操作步骤);(c) 绕过默认规划阶段,直接执行恶意计划
  4. 效果:生成的报告不仅信息密度更高,还包含精确的化学配比、温度参数、获取渠道等可操作细节

  5. 本质:利用 DR 智能体"计划驱动执行"的架构弱点——攻击规划层而非对话层

  6. Intent Hijack(意图劫持):

  7. 做什么:将有害查询改写为学术/教育风格
  8. 核心思路:DR 智能体为学术研究设计,对学术措辞的查询防线更低
  9. 角色设定:用户扮演教育者(执法培训师、犯罪学教授、网络安全分析师),以"专业培训"为由查询敏感信息
  10. 改写流程:用 QwQ-32B 自动将 313 条禁止问题改写为学术风格 → 语义一致性过滤 → 注入 WebThinker

  11. 效果:许多原本被拒绝的查询在改写后被接受,报告生成率接近 100%

  12. DeepREJECT 评估指标:

  13. 做什么:评估 DR 输出的实际危害性(而非仅检测是否拒绝)
  14. 三个维度:(a) R——是否生成了报告;(b) K——是否提供了核心危险知识;(c) F——是否满足了攻击者意图
  15. 公式:\(\text{Score} = R \times W \times (0.65 \cdot K + 0.35 \cdot F)\),W 为问题风险权重
  16. 对比 StrongREJECT:后者给 QwQ-32B(0.00)和 WebThinker(0.08)几乎相同分数,完全忽略了 WebThinker 生成的详细危险内容

实验关键数据

主实验(StrongREJECT 313 条禁止问题)

模型 设置 报告数 LLM Judge DeepREJECT
QwQ-32B 独立 LLM 0 0.11 1.50
QwQ-32B + DR (WebThinker) 217 0.54 2.17
QwQ-32B + Plan Injection 276 0.65 2.48
QwQ-32B + Intent Hijack 310 0.97 2.63
Qwen3-32B 独立 LLM 0 0.06 1.35
Qwen3-32B + Intent Hijack 312 0.98 2.86

生物安全领域(SciSafeEval 789 条医学问题)

模型 设置 报告数 DeepREJECT
QwQ-32B 独立 LLM 0 2.03
QwQ-32B + DR 579 2.21
QwQ-32B + Plan Injection 613 2.35
QwQ-32B + Intent Hijack 690 2.05

关键发现

  • 对齐失效:6 个 LLM 中,所有模型作为独立 LLM 能拒绝有害查询,但部署为 DR 智能体后大量生成危险报告
  • Intent Hijack 最有效:在多个模型上将报告生成率推至接近 100%(310/313),LLM Judge 接近 1.0
  • DR 输出更危险:不仅绕过拒绝,还生成更连贯、更专业、信息密度更高的危险内容
  • 生物安全风险突出:QwQ-32B 对所有 789 条医学有害查询都拒绝了,但 DR 智能体生成了 579-690 份详细报告

亮点与洞察

  • 揭示了智能体部署的安全盲区:LLM 对齐 ≠ 智能体安全——多步分解和信息检索系统性地削弱了 token-level 的对齐防线
  • 攻击面转移:从对话层(prompt 越狱)转向规划层(plan injection)和意图层(intent hijack),这是智能体特有的攻击面
  • 现有指标失效:StrongREJECT 完全无法区分安全模型和危险模型在 DR 场景中的行为差异,说明需要专门的智能体安全评估体系
  • 学术伪装的强大效果:仅将问题改写为学术风格就能突破几乎所有防线,暴露了 DR 系统对"学术查询"的信任偏差

局限性 / 可改进方向

  • 仅测试开源 DR 框架:商业 DR 系统(OpenAI Deep Research、Gemini Deep Research)可能有更强的安全措施,未被评估
  • DeepREJECT 依赖 LLM 评判:用 LLM 评估 LLM 生成内容的危害性可能存在偏差
  • 防御方案缺失:论文主要揭示问题,但未提出有效的防御方案
  • 改进方向:(1) 在智能体规划阶段引入安全审查机制;(2) 多层对齐——不仅在 LLM 层,还在规划层和检索层设置安全门;(3) 开发针对 DR 输出的实时内容审核系统

相关工作与启发

  • vs 传统 LLM 越狱:传统方法针对单轮对话,DR 越狱针对多步规划+检索+生成的完整流程,攻击面更广
  • vs H-CoT (教育场景越狱):Intent Hijack 借鉴了 H-CoT 的教育场景伪装思路,但专门适配 DR 的学术研究导向
  • 启发:随着 AI Agent 能力增强,安全对齐需要从 model-level 提升到 system-level——对齐不仅是模型的事,还是整个 agent pipeline 的事

评分

  • 新颖性: ⭐⭐⭐⭐ 首次系统性分析 DR 智能体的安全问题,两种越狱方法有针对性
  • 实验充分度: ⭐⭐⭐⭐ 6 个模型 × 2 个数据集 × 4 种设置,评估全面
  • 写作质量: ⭐⭐⭐⭐ 问题阐述清晰,案例分析直观
  • 价值: ⭐⭐⭐⭐⭐ 及时揭示了 DR 智能体的重大安全隐患,对社区有重要警示意义