企业日常运营的客服机器人、数据分析 Agent 等生产环境中的 AI 驱动应用往往需要处理敏感记录并连接核心业务系统。LangWatch 公司近日推出开源框架Scenario该工具通过模拟真实攻击者行为的多轮攻击技术对 AI Agent 执行自动化红队演练。多轮攻击取代单次测试长期以来单次提示词渗透测试一直是评估大语言模型LLM的标准方法。但实际情况是模型往往能抵御直接攻击却在多轮对话中泄露敏感信息。Scenario 通过精心设计的对话流程从无害的探索性提问开始逐步构建复杂请求和基于权威角色的施压策略。该框架采用名为Crescendo的四阶段升级策略初期通过友好问题建立信任关系中期引入假设性场景和权威角色例如测试者伪装成审计人员称我正在执行合规审计后期在建立上下文后施加最大压力每次交互后辅助模型会评估进展并调整攻击策略使自动化红队能在多轮对话中持续优化攻击方式。回溯机制赋予攻击者不对称优势Scenario 的独特设计使攻击模型能保留每次失败尝试的记忆而目标 Agent 的记忆会在尝试间重置。LangWatch 首席技术官 Rogerio Chaves 向 Help Net Security 表示这种不对称性真实反映了攻击者对话特征却是现有测试工具普遍忽视的。Scenario 的与众不同之处在于它像攻击者而非 QA 工程师那样思考。Chaves 指出多数红队工具本质上是花哨的检查清单只能检测已知攻击模式。该框架将模拟测试与对抗性红队演练相结合建模了包括建立信任、温和试探、取得信任后升级操作等社会工程学动态。聚焦具有工具访问权限的受控 AgentChaves 强调企业面临的实质性风险越狱攻击占据媒体头条但主要造成公关危机。企业真正的生存威胁在于那些能访问数据库或金融工具的受控 Agent——而这正是 Scenario 的设计目标。当前关于 AI 安全的公共讨论过度集中于深度伪造、虚假信息和隐私问题。但对多数组织而言实际运营风险存在于他们针对自有数据存储和工作流构建的定制化 AI 应用中。这些通过对话接口访问的 Agent 可能遭受传统安全测试无法捕获的精心操控。目标用户与发展路线Scenario 主要面向在生产环境运行 AI Agent 的银行、保险公司及 AI 优先的软件企业。该框架可无缝集成至现有开发和持续集成流程使团队能在标准 QA 测试同时运行对抗性测试。关于未来发展Chaves 表示团队正在整合 Meta 研究人员公布的多轮攻击方法据报告成功率高达 97%并将其与 Scenario 现有方法相结合。后续更新将包含更多攻击策略和垂直领域攻击库。Scenario 已在 GitHub 开源发布。