llm-security llm-mas propagation-aware spatio-temporal-graph risk-estimation attack-remediation subgraph-diagnosis multi-agent-security
Abstract
LLM-based multi-agent systems (LLM-MAS) have become a promising paradigm for solving complex tasks through role specialization, tool use, memory, and collaborative reasoning. However, these interactions create new security risks that malicious instructions injected through messages, tools, or memories can propagate across agents and rounds, causing system-level compromise. Existing defenses largely rely on local filtering or graph-based anomaly detection, but they often fail to trace fine-grained propagation paths or remediate contaminated states without disrupting benign collaboration. We propose PropGuard, a propagation-aware framework for safeguarding LLM-MAS. PropGuard constructs a dual-view spatio-temporal graph that combines response-centric risk estimation with full-state evidence preservation. Guided by these risk priors, a GE-GRPO trained inspector sequentially explores the full-state graph to recover compact suspicious propagation subgraphs. PropGuard then verifies harmful propagation through subgraph-aware diagnosis and applies source-guided remediation to correct upstream contamination and replay affected downstream interactions. Experiments across four communication architectures and five attack settings demonstrate that PropGuard consistently lowers attack success while maintaining high task-level defense success, achieving a favorable effectiveness--efficiency trade-off.
한국어 요약
📋 한 줄 요약
**[멀티에이전트 보안]** 메시지·툴·메모리를 통해 전파되는 악성 지시를 추적·정화하는 전파 인식(propagation-aware) 방어 프레임워크 PropGuard를 제안했다.
🎯 핵심 기여도
- LLM 멀티에이전트 시스템(LLM-MAS)의 전파성 공격에 대한 전용 방어 프레임워크 PropGuard 제안
- 응답 중심 위험 추정과 전체 상태 증거 보존을 결합한 dual-view 시공간 그래프 설계
- GE-GRPO로 학습된 inspector가 의심 서브그래프를 순차적으로 탐색하는 메커니즘 구현
- 오염 상태를 정화하면서 정상 협업을 깨뜨리지 않는 source-guided 복구 정책 제안
💡 핵심 아이디어
LLM-MAS의 새로운 위협은 단일 노드 공격이 아니라 악성 지시가 에이전트와 라운드를 가로질러 전파되며 시스템 전체를 오염시키는 점이다. 기존 방어는 로컬 필터링이나 그래프 이상 탐지에 의존해 fine-grained 전파 경로를 추적하지 못하거나 정상 협업을 망친다. 응답 신호로 위험 prior를 잡고, 전체 상태 그래프에서 그 prior를 가이드로 의심 서브그래프만 골라내 진단하면, 정상 흐름을 보존한 채 오염원만 정확히 제거할 수 있다.
🔬 기술적 접근법
- Dual-view spatio-temporal graph: response-centric risk estimation + full-state evidence preservation
- Risk priors를 가이드로, GE-GRPO 학습된 inspector가 full-state graph를 순차 탐색
- 의심 전파 subgraph 복원 및 subgraph-aware diagnosis로 유해 전파 검증
- Source-guided remediation: 상류 오염 교정 + 영향 받은 하류 상호작용 replay
📊 주요 결과
- 4가지 통신 아키텍처 × 5가지 공격 설정에서 평가
- 공격 성공률(attack success)을 일관되게 낮춤
- 동시에 높은 task-level defense success 유지
- 효과성–효율성 trade-off에서 우수한 균형 달성
💭 의의 및 한계
LLM-MAS의 보안 문제를 "전파"라는 본질에 맞춰 그래프 추적·정화 관점에서 재구성한 점이 중요하다. inspector RL 학습의 안정성·일반화, 새로운 공격 유형(메모리 포이즈닝 변종, 협업 콜루전)에 대한 강건성, 실시간 운영 시 비용 등은 추가 연구가 필요하다.
🚀 실용적 활용
사내 멀티에이전트 워크플로(영업·고객지원·코딩 에이전트), AutoGen/CrewAI 등 오픈소스 MAS 프레임워크의 보안 레이어, 적대적 환경에서 동작하는 자율 에이전트 시스템의 트러스트 인프라로 적용 가능하다.