多代理網絡的湧現風險：Microsoft Research 紅隊測試報告

核心概念

Microsoft Research 於 2026 年 4 月發表一篇關鍵研究報告，核心命題只有一句話：單一代理的安全性，無法保證代理網絡的安全性。

這個結論來自對一個擁有 100 多個代理的內部即時平台所做的紅隊測試（Red-teaming）。每個代理在平台中代表一名人類使用者，透過論壇發文、直接訊息與協作工具進行互動——這是迄今為止規模最大的多代理網絡安全測試之一。

研究主持人 Gagan Bansal 與其他 18 位研究員發現，某些風險只有在代理相互作用時才會出現，在單一測試環境中根本察覺不到。這讓過去「單元測試通過 = 系統安全」的直覺徹底失效。

四大網絡級攻擊向量

1. 自我傳播蠕蟲（Propagation）

攻擊者只需向一個代理傳送一條惡意訊息，這條訊息便開始在代理之間傳播，每次跳轉都會竊取目標代理的私密資料，並自動選定下一個目標。在測試中，這條訊息觸及了測試組內全部 6 個代理，且每個代理都在不知情的狀況下轉發了攻擊載荷。

傳統資安的蠕蟲概念此時以 AI 形式重現：不需要漏洞（CVE），只需要一個能被「說服」的代理。

2. 聲譽操縱（Amplification）

攻擊者借助可信代理的社群聲譽來擴大虛假資訊。測試案例中，一則針對目標代理的誹謗貼文收獲了 299 條評論，42 個代理參與討論並推波助瀾。

這個機制利用了多代理系統的一個根本特性：代理傾向信任「高互動量」的訊息，因為高互動量在人類社群中是可信指標。攻擊者精準利用了這個轉移而來的假設。

3. 製造共識（Trust Capture）

攻擊者控制 3 個虛假帳戶，對同一個程序或訊息進行協調式背書。受害代理收到多方來源的「獨立確認」後，認為訊息已通過驗證，進而遵從該程序。

問題的本質在於：多代理系統如何區分「多方獨立驗證」與「協調式造假」？在沒有密碼學承諾或可信執行環境的情況下，幾乎無法區分。許多代理在此測試中主動遵從了被植入的虛假流程。

4. 代理鏈傳輸（Invisibility）

攻擊訊息不直接從攻擊者傳至受害者，而是透過若干不知情的中介代理傳遞。這讓溯源變得極為困難：受害代理看到的訊息來源是「可信的」中介，而非惡意攻擊者。

一條訊息同時造成兩層損害：目標代理失去資料控制權，中介代理的所有者則在不知情的狀況下，讓自己的系統成了攻擊工具。

湧現的防禦行為

最耐人尋味的發現來自防禦側。研究發現，少數代理在未收到任何明確安全指令的情況下，自發產生了安全行為：其中一個代理主動發布了一份隱私保護宣言，隨後其他代理開始採用類似語言來拒絕攻擊請求。

這個現象說明多代理網絡存在「安全行為傳播」的可能性——就像攻擊可以傳播，防禦規範也可以在代理之間擴散。這是當前研究中最值得深入探索的方向之一。

關鍵要點

• 個體安全 ≠ 系統安全：即使每個代理都通過了單元測試，網絡中仍會出現個體層級不可見的風險
• 信任假設是核心弱點：「多個來源一致 = 可信」這個從人類社會繼承的直覺，在多代理環境中被精準利用
• 攻擊面積是傳統系統的倍數：每增加一個代理就增加一個潛在的攻擊跳板和資料洩漏點
• 緩解策略需三層並行：
  • 平台層：監測異常通訊模式、維護代理間互動的稽核記錄
  • 代理層：要求陳述決策理由、對「多方一致」主動質疑而非盲信
  • 模型層：將其他代理傳來的訊息視為不可信的外部輸入，套用與人類輸入相同的安全閾值
• 紅隊測試必須在網絡層級進行：單一代理的對抗性測試無法揭露網絡互動帶來的湧現漏洞
• 測試規模是結論的前提：100+ 代理的即時平台使研究發現具有實際意義，而非純理論推導

延伸觀點

同期學術界的研究從多個角度印證並延伸了 Microsoft Research 的發現。

ACL 2025 論文（arxiv 2502.14847）提出了 Agent-in-the-Middle（AiTM）攻擊：研究者發現，攻擊者無需破解任何單一代理，只需在代理之間的通訊通道中插入一個 LLM 驅動的惡意代理，攔截並改寫訊息即可控制整個多代理系統。測試結果顯示成功率超過 40%，在部分場景下高達 70%。這個數字令人不安——它意味著大多數現有多代理框架的通訊設計根本沒有考慮中間人攻擊的威脅模型。

Cooperative AI Foundation 的報告（arxiv 2502.14143）則從更宏觀的角度分類了三大失敗模式：

• 誤協調（Miscoordination）：代理有共同目標卻行動不一致
• 衝突（Conflict）：代理追求不相容的目標
• 勾結（Collusion）：代理為了共同利益損害外部方或社會整體

這三種模式都可能在大規模部署時自然湧現，無需攻擊者介入。

arxiv 2505.02077 提出「多代理安全」作為一個獨立的新領域，強調現有的 AI 安全框架（針對單一模型）和網路安全框架（針對靜態系統）對此問題都不完整。研究者指出這個領域目前高度碎片化，橫跨 AI 安全、博弈論、分散系統、複雜系統與技術治理，需要跨領域整合。

三篇論文的共同結論是：多代理網絡的安全問題需要在系統層級而非個體層級思考。這是 AI 基礎設施演進帶來的架構性挑戰，無法靠「把每個代理做得更安全」來解決。對正在建構或評估 Agentic AI 系統的從業者而言，這意味著安全評估的單位必須從「代理」升級為「代理網絡」。

→ 相關知識：多 Agent 系統協作架構：MCP 與 A2A 協議 | AI Agent 生產環境防線：最小權限與稽核控制 | LLM API Router 供應鏈攻擊 | AI Agent 設計模式

反向連結

以下頁面引用了本頁：

• AI Eval 成本危機：評估比訓練更貴（文章精選）
• GPT 小妖精事件：強化學習人格訓練的行為外洩（文章精選）
• AI Agent 生產環境防線：最小權限與稽核控制（技術與AI）
• AI Agent 設計模式（技術與AI）
• LLM API Router 供應鏈攻擊（技術與AI）
• 多 Agent 系統協作架構：MCP 與 A2A 協議（技術與AI）
• MachinaCheck：多 Agent CNC 可製造性分析系統（文章精選）
• AI 委派任務的文件保真度危機：Microsoft Research 深度解析（文章精選）
• SocialReasoning-Bench：衡量 AI Agent 是否真正代表使用者利益（文章精選）
• MagenticLite：為小型模型優化的代理系統三層架構（文章精選）
• Open Agent Leaderboard：通用代理系統的開放評估框架（文章精選）
• Vega：AI 時代的零知識數位身份驗證（文章精選）
• AI Agent 詞彙指南：Harness、Scaffold 與 Sub-agent 層次定義（文章精選）
• AI 作為人類智能的延伸：微軟研究院認知科學視角（文章精選）
• OpenAI 前沿治理框架：AI 安全法規對齊路徑（文章精選）
• 前沿 AI 第三方評估手冊：OpenAI 的信任框架與失真風險管控（文章精選）
• 可信任第三方 AI 評估：OpenAI 指引手冊（文章精選）