Традиционные методы безопасности мультиагентных систем (MAS) окончательно расписались в собственном бессилии, поскольку они привыкли работать лишь с видимой «поверхностью» коммуникаций. Пока LLM превращаются в децентрализованные цифровые коллективы, наивное ожидание, что атака будет выглядеть как явный вредоносный сигнал или топорный промпт, становится опасным анахронизмом. Исследование, проведенное Вустерским политехническим институтом совместно с Фуданьским университетом, вскрывает неприятный тренд — семантическую скрытность. В этой схеме скомпрометированные агенты внедряют вредоносную логику, виртуозно маскируя её под обычные, на первый взгляд безобидные запросы. Группа под руководством Сяоянь Сунь и Цзюнь Дая подчеркивает: такие стелс-атаки создают когнитивный диссонанс, где внешне адекватное поведение скрывает внутреннюю коррупцию рассуждений, делая стандартный анализ выходных данных бесполезной тратой ресурсов.

Провал внешнего наблюдения

Большинство современных защитных решений для MAS исходят из ложной предпосылки, что атаки всегда семантически очевидны, и полагаются на графовое моделирование топологии системы. Такой подход предполагает, что безопасность можно обеспечить, просто наблюдая за потоками информации между агентами в предсказуемом, пошаговом режиме. Однако работа, представленная на ICML, указывает на суровую реальность: исполнение в MAS асинхронно. Отсутствие временного выравнивания мгновенно ломает любые графовые модели распространения. Когда агент «сходит с ума» в событийно-ориентированной среде, его деструктивное влияние расползается без четкой раундовой структуры, оставляя традиционные инструменты детекции далеко позади.

Реальные атаки становятся все более скрытными на семантическом уровне, в то время как работа мультиагентных систем асинхронна и лишена временной синхронизации, необходимой для графовых моделей.

Чтобы ликвидировать этот разрыв, исследователи предложили AcMAS — фреймворк, который переносит фокус с того, что агент говорит, на то, о чем он «думает». Вместо того чтобы городить сложные графы взаимодействий или бесконечно парсить логи, AcMAS проводит анализ активаций внутренних состояний рассуждения в пространстве локальных агентов. Заглядывая непосредственно в «голову» модели и анализируя активность нейронов, система выявляет тончайшие паттерны деградации логики еще до того, как они превратятся во вредоносный аутпут. Такая методология устойчива к асинхронности: системе неважно, насколько рассинхронизированы действия агентов или насколько нелинейны триггеры их срабатывания.

Анализ активаций против изоляции

AcMAS делает нечто большее, чем просто выбрасывает красный флаг — он выдает диагностические данные для «лечения». В отличие от радикальной изоляции агентов, принятой в индустрии, сигналы активации позволяют восстанавливать функциональность скомпрометированных узлов без остановки всей системы. В ходе экспериментов авторы проверили устойчивость метода на различных опенсорсных LLM-архитектурах и MAS разного масштаба. Результаты показательны: в синхронных сценариях AcMAS обошел графовые бейзлайны по показателю F1 (0.94 против 0.72). В реалистичных асинхронных условиях разрыв стал катастрофическим: AcMAS удержал планку в 0.93, в то время как традиционные методы рухнули до 0.38.

Эпоха восприятия AI-агентов как «черных ящиков», за которыми можно присматривать через чат-логи, официально закончена. Для защиты мультиагентного «штата» придется переходить к мониторингу активаций, который ловит предвестники саботажа до того, как команда будет отдана. Несмотря на вычислительную сложность инспекции слоев в реальном времени, AcMAS доказывает, что в хаотичной среде только глубокий аудит нейронов дает шанс сохранить контроль над системой из сотен автономных единиц.

ИИ-агентыБезопасность ИИКибербезопасностьБольшие языковые модели