计算机科学 > 密码学与安全
[提交于 2025年10月1日
]
标题: 破解代码:通过系统越狱攻击对AI代码代理的安全性评估
标题: Breaking the Code: Security Assessment of AI Code Agents Through Systematic Jailbreaking Attacks
摘要: 代码能力强大的大型语言模型(LLM)代理正越来越多地嵌入软件工程工作流中,它们可以读取、编写和执行代码,使安全绕过(“越狱”)攻击的威胁超出了仅文本的环境。 以往的评估强调拒绝或有害文本检测,而未明确代理是否实际编译并运行恶意程序。 我们提出了JAWS-BENCH(跨工作区越狱),这是一个涵盖三种逐步升级的工作区模式的基准,反映了攻击者的能力建设:空(JAWS-0)、单文件(JAWS-1)和多文件(JAWS-M)。 我们还配套了一个分层的、可执行的Judge框架,用于测试(i)合规性,(ii)攻击成功率,(iii)语法正确性,以及(iv)运行时可执行性,超越拒绝行为来衡量可部署的危害。 使用来自五个家族的七种LLMs作为后端,我们发现,在JAWS-0的仅提示条件下,代码代理平均接受61%的攻击;其中58%是有害的,52%可以解析,27%能够端到端运行。 转向JAWS-1的单文件模式,对于能力强的模型,合规性达到约100%,平均攻击成功率(ASR)约为71%;多文件模式(JAWS-M)将平均ASR提高到约75%,其中32%的攻击代码可以立即部署。 在不同模型中,将LLM封装成代理会显著增加脆弱性——ASR提高了1.6倍——因为初始拒绝通常在后续的规划/工具使用步骤中被推翻。 类别级别的分析确定了哪些攻击类别最易受攻击且最容易部署,而其他类别则表现出较大的执行差距。 这些发现促使我们提出执行感知的防御措施、代码上下文的安全过滤器,以及在代理的多步骤推理和工具使用过程中保持拒绝决策的机制。
收藏
文献和引用工具
与本文相关的代码,数据和媒体
alphaXiv (什么是 alphaXiv?)
CatalyzeX 代码查找器 (什么是 CatalyzeX?)
DagsHub (什么是 DagsHub?)
Gotit.pub (什么是 GotitPub?)
Hugging Face (什么是 Huggingface?)
带有代码的论文 (什么是带有代码的论文?)
ScienceCast (什么是 ScienceCast?)
演示
推荐器和搜索工具
arXivLabs:与社区合作伙伴的实验项目
arXivLabs 是一个框架,允许合作伙伴直接在我们的网站上开发和分享新的 arXiv 特性。
与 arXivLabs 合作的个人和组织都接受了我们的价值观,即开放、社区、卓越和用户数据隐私。arXiv 承诺这些价值观,并且只与遵守这些价值观的合作伙伴合作。
有一个为 arXiv 社区增加价值的项目想法吗? 了解更多关于 arXivLabs 的信息.