当基于嵌入的防御在 LLM 多智能体系统中失效

这是什么？

2026 年 5 月 1 日，Lingxi Zhang、Guangtao Zheng 与 Hanjie Chen 发布了 When Embedding-Based Defenses Fail: Rethinking Safety in LLM-Based Multi-Agent Systems（arXiv:2605.01133，cs.CR）。论文针对的是一种在多智能体部署中已成惯性的防御范式：通过检查某个智能体所发消息的文本嵌入来识别被攻陷或恶意的智能体，再剔除或降权那些消息显得异常的智能体。

结论令人不安。基于嵌入的检测只在恶意消息与良性消息占据嵌入空间中可分离区域时才有效。作者从理论到实证表明：能够操控消息措辞的攻击者，可以把其嵌入任意地推近良性簇——到那时，检测器便再无可分离之物。该工作的贡献并非单一漏洞利用，而是揭示了一整类护栏的结构性局限，并给出了一种不依赖嵌入可分离性的替代方案。

工作原理

多智能体系统（MAS）让智能体相互对话、共享中间结果以完成任务。这条通信通道同时也是攻击面：单个恶意智能体即可注入错误信息，使其在群体中传播并左右集体决策。基于嵌入的防御就部署在这条通道上，对每条消息编码并标记离群值。

论文用三种攻击验证了这一失效模式，它们都在保留恶意载荷的同时将其嵌入推向良性区域：

# 三类攻击的概念性概述——仅为描述，并非可用 payload。
# 来源：arXiv:2605.01133（Zhang、Zheng 与 Chen，2026）。

Slow Drift     -> 跨多轮逐步移动消息嵌入，使任何单条消息都不触发异常阈值。
Benign Wrapper -> 将操纵性内容包裹在外观合法的框架中，其嵌入贴近良性簇。
Chaos Seeding  -> 注入噪声以模糊检测器所依赖的边界，瓦解恶意/良性的分离。

更深层的要点在于信号本身的局限。由于基于嵌入的检测器只看文本嵌入，它丢弃了词元级置信度信息——模型的logits——而这一信息在嵌入已不可区分时仍可能保持判别力。换言之，两条消息在嵌入空间中可能看起来完全相同，而模型在生成恶意那条时的置信度却明显更低。只盯着嵌入的防御者永远看不到这一落差。

为何重要

嵌入相似度是生产环境 LLM 护栏中最常见的构件之一：成本低、与模型无关、易于附加到既有流水线上。那个标记”这条消息不像正常流量”的同一机制，也支撑着大量 RAG 投毒检测与提示注入过滤。本文提醒我们：用构建防御时已存在的攻击去衡量该防御，会让你自信地犯错——你在测试中观察到的恶意/良性分离，正是自适应攻击者会抹除的东西。

对运行多智能体编排的团队而言，由此引出三点后果。其一，基于嵌入的”恶意智能体检测器”应被视为弱信号，而非边界——可用于分流，不可用于信任决策。其二，攻击对攻击者而言是平缓退化的：Slow Drift 意味着仅凭耐心即可击败按单条消息调校的异常检测器。其三，只观察智能体消息内容、却忽略产生这些消息的生成过程的防御，放弃了最具判别力的信号。

防御

作者不仅打破了该范式，还提出了替代方案。其防御使用词元级置信度分数（logits）在 MAS 通信过程中剔除或降权消息，而不依赖嵌入可分离性。在不同模型、数据集与通信拓扑下，这种由置信度引导的剪枝在嵌入检测失效之处提升了稳健性——因为正是在嵌入崩塌的区间，置信度仍保持判别力。

论文还直接给出两点实用告诫。置信度信号的有效性会随通信轮次衰减，因此尽早介入至关重要：在消息进入系统时即予筛查，而非等错误信息已经过多跳传播之后。而且基于置信度的剪枝是补充手段，并非万灵药——诚实的解读仍是纵深防御。请将生成置信度筛查与以下措施结合：对单个智能体可执行操作的最小权限隔离、用于追踪并隔离被投毒消息的来源追溯、对任一智能体输出影响半径的封顶，以及在集体决策具有现实后果之处的人工复核。

最可迁移的元教训是：评估基于内容的护栏时，应针对一个自适应攻击者来测试——其明确目标是让恶意输入看起来良性——而非针对那种分离看似清晰的、攻击前的静态分布。

状态

项目	参考	日期	备注
主论文	arXiv:2605.01133（Zhang、Zheng、Chen）	2026-05-01	cs.CR / cs.LG / cs.MA；v1
攻击家族	Slow Drift、Benign Wrapper、Chaos Seeding	2026-05	将恶意嵌入推近良性簇
所提防御	置信度（logits）剪枝	2026-05	跨模型、数据集与拓扑均稳健
关键告诫	置信度信号随轮次衰减	2026-05	需尽早介入

这是一项研究成果，而非已披露的产品漏洞——没有补丁可打。可落地的要点是架构性的：不要再把基于嵌入相似度的异常检测当作多智能体系统中的信任边界，加入生成置信度信号，并尽早介入。