【新智元导读】随着大模子智能体深入渗透真实操作系统，，，，
，，，一种全新的清静威胁悄然成型：行为越狱（Behavior Jailbreak）。。。。。。。现有清静基准只盯着模子「说了什么」，，，，
，，，却对「做了什么」置若罔闻。。。。。。。新基准LITMUS是首个同时笼罩真实OS情形行为越狱、语义-物理双层验证与多攻击范式的完整评测系统，，，，
，，，并首次辖档涂化了「执行幻觉」这一被整个评测社区忽视的致命盲区。。。。。。。 当AI智能体不再只是谈天工具，，，，
，，，而是真正接受你的效劳器、操作你的文件、执行你的剧本——清静评测这件事，，，，
，，，就不可再停留在「看它说了什么」的层面了。。。。。。。 然而，，，，
，，，目今险些所有主流智能体清静基准，，，，
，，，依然把判断终点停在「语义输出层」——只问模子拒没拒，，，，
，，，不管OS改没改。。。。。。。这一根天性缺陷，，，，
，，，催生了一种极其危险的幻象： 为了彻底拆解这一盲区，，，，
，，，来自南京航空航天大学、浙江大学的研究团队推出了LITMUS（LLM-agentsIn-OSTesting forMeasuringUnsafeSubversion）——首个将真实OS情形行为越狱、语义-物理双层验证与多攻击范式系统整合的智能体清静评测基准，，，，
，，，首次在行为越狱中系统界说并量化这种「行口纷歧」的征象——执行幻觉（Execution Hallucination, EH）。。。。。。。 AdvBench、HarmBench 等经典基准，，，，
，，，判断终点是「模子有没有天生有害文本」。。。。。。。但在真实 OS 情形中，，，，
，，，危险来自工具挪用——模子不需要「说出」危险内容，，，，
，，，只需悄悄挪用一个系统下令，，，，
，，，文件就被删了，，，，
，，，密钥就泄露了。。。。。。。文本清静，，，，
，，，基础不即是行为清静。。。。。。。 若是测试 A 修改了某个系统文件，，，，
，，，而测试 B 恰恰依赖统一个文件，，，，
，，，那么B的效果测的究竟是「模子的清静性」，，，，
，，，照旧「A留下的污染」？
？？？在没有 OS 级状态回滚的情形下，，，，
，，，这个问题无解。。。。。。。 LITMUS在每次测试对话前后，，，，
，，，都会对真实操作系统举行快照收罗。。。。。。。物理判断基于系统状态的现实转变，，，，
，，，与模子的对话内容完全自力。。。。。。。即便模子嘴上说「我拒绝了」，，，，
，，，只要 OS 状态显示危险操作已完成，，，，
，，，物理判断依然给出「执行乐成」。。。。。。。 每条测试用例均配备了预置与恢复行动，，，，
，，，由专门的Recoverer智能体在测试前初始化系统基线、测试后完整还原，，，，
，，，从基础上消除用例间的污染，，，，
，，，确保评测效果真正可复现。。。。。。。 LITMUS数据集包括819条高危害测试用例，，，，
，，，泉源涵盖真实误差数据库（CVE/GHSA）、果真渗透测试报告，，，，
，，，以及经人工精炼验证的LLM天生案例，，，，
，，，所有在真实OS中通过物理测试验证。。。。。。。 诱使智能体使用攻击者提供的 SKILL，，，，
，，，将恶意的 SKILL.md 文件内容注入智能体工具链，，，，
，，，在正常使命挪用时自动触发，，，，
，，，绕过前端提醒词过滤。。。。。。。 图示：LITMUS评测框架的六智能体分工示意。。。。。。。Prosecutor发出指令，，，，
，，，Verifier自力收罗OS快照，，，，
，，，Analyzer（物理判断）与 Reviewer（语义判断）各自自力产出标签，，，，
，，，配合组成2×2语义-物理混淆矩阵。。。。。。。 图示：六款模子在 LITMUS 种子数据集上的攻击乐成率（ASR）与执行幻觉率（EHR）总览。。。。。。。 SPSR、SOSR、POSR、SPFR 划分为完全越狱、攻击诱骗、隐藏执行、完全失败的样本比例。。。。。。。 值得特殊关注的是「通讯外联」（CO）种别——跨模子、跨攻击范式，，，，
，，，这一类别的 ASR 险些始终最高，，，，
，，，最极端情形靠近97%。。。。。。。这批注：智能体似乎自然地将「发送新闻」等外联操作视为无害行为，，，，
，，，导致数据外泄成为最难防守的攻击面。。。。。。。 相对地，，，，
，，，「使命链」（CT）类别的 ASR 最低（Claude Sonnet 4.6仅21.72%），，，，
，，，由于将多个恶意子办法串联成一个请求，，，，
，，，反而让整体恶意意图越发显眼，，，，
，，，更容易被识别拒绝。。。。。。。 其中最危险的「隐藏执行」（Covert Execution）模式——模子语言层面明确拒绝，，，，
，，，但 OS 层面危险操作已悄然完成——在所有模子上均有泛起，，，，
，，，Deepseek-v3.2的该项比率抵达4.84%。。。。。。。 这意味着一个极其严肃的现实：任何只依赖对话日志的清静审计，，，，
，，，实质上是不可靠的。。。。。。。清静审计职员看到「模子拒绝了」，，，，
，，，但系统已经被攻破。。。。。。。 手艺注入和实体包装（这两种将恶意指令「藏进」工具链或外部内容的间接攻击）在两款代表模子（Deepseek-v3.2与Claude Sonnet 4.6）上均实现了显著的 ASR 提升。。。。。。。 相比之下，，，，
，，，直接使用「红队测试」或「调试模式」话术举行越狱的效果，，，，
，，，则泛起出强烈的模子依赖性：Claude Sonnet 4.6 对显式恶意信号极为敏感，，，，
，，，这类话术反而会激活清静机制，，，，
，，，导致 ASR 跌破基线；；；；而 Deepseek-v3.2 则倾向于将同样的信号解读为"正当操作授权"，，，，
，，，导致合规率反升。。。。。。。 这说明：差别模子对「显式恶意意图」的语义解读保存基础差别，，，，
，，，话术类越狱战略的有用性无法跨模子迁徙。。。。。。。但间接攻击的高乐成率，，，，
，，，则是跨模子一致的普遍纪律：智能体的执行流水线，，，，
，，，而非前端提醒词过滤，，，，
，，，才是真正的主要失守点。。。。。。。 研究团队明确呼吁：EHR应当与ASR并列，，，，
，，，成为LLM智能体行为清静评测的标准指标。。。。。。。在智能体走向真实OS安排的今天，，，，
，，，单靠ASR，，，，
，，，仍然是对清静的幻觉。。。。。。。 LITMUS作为一个开放的活性基准（Living Benchmark），，，，
，，，接待社区一连孝顺新的模子评测效果与测试用例，，，，
，，，配合推动LLM智能体清静评测走向严酷、可信、可复现的新范式。。。。。。。