Problem
現有的大型語言模型(LLM)代理人在操作本地檔案與工具時,容易遭受多步驟木馬攻擊。攻擊者能將惡意指令隱藏在檔案或工具輸出中,讓代理人在後續操作中執行。由於單一操作步驟看似無害,傳統僅針對單次對話進行檢查的防禦機制,往往無法偵測到早期的後門植入行為,導致代理人系統被長期控制。
Method
研究團隊開發了 ClawTrojan 基準測試,專門用於識別本地代理人環境中的多步驟木馬攻擊。此外,同步提出了 DASGuard 防禦機制。該機制會主動掃描敏感本地檔案中的控制類文字,並追溯其來源,一旦發現內容非出自信任來源,便會立即移除該控制指令,實現來源驗證與內容清理。
Results
實驗顯示,在 OpenClaw 模擬工作空間中,ClawTrojan 對高階模型的攻擊成功率(ASR)高達 95.5%,遠高於傳統單步注入攻擊的趨近於零。而 DASGuard 透過結合執行期(runtime)攔截與工作空間的淨化提交(sanitized commits),證明能有效阻斷攻擊並清除潛在的木馬威脅。
Significance
隨著 AI 代理人從單純聊天轉向實際的操作工具,此研究指出了現有防禦架構的重大盲點。DASGuard 提出的來源追蹤技術,為開發者提供了一套保護本地工作空間安全的新典範,對建立更可靠且具備防禦韌性的自動化 AI 系統至關重要。