PropGuard: Safeguarding LLM-MAS via Propagation-Aware Exploration and Remediation

Bingyu Yan, Xiaoming Zhang, Jinyu Hou, Chaozhuo Li, Ziyi Zhou, Xiaozhe Zhang, Litian Zhang

arXiv:2605.16346 · 2026-05-19 공개 · arXiv · PDF

llm-security llm-mas propagation-aware spatio-temporal-graph risk-estimation attack-remediation subgraph-diagnosis multi-agent-security

Abstract

LLM-based multi-agent systems (LLM-MAS) have become a promising paradigm for solving complex tasks through role specialization, tool use, memory, and collaborative reasoning. However, these interactions create new security risks that malicious instructions injected through messages, tools, or memories can propagate across agents and rounds, causing system-level compromise. Existing defenses largely rely on local filtering or graph-based anomaly detection, but they often fail to trace fine-grained propagation paths or remediate contaminated states without disrupting benign collaboration. We propose PropGuard, a propagation-aware framework for safeguarding LLM-MAS. PropGuard constructs a dual-view spatio-temporal graph that combines response-centric risk estimation with full-state evidence preservation. Guided by these risk priors, a GE-GRPO trained inspector sequentially explores the full-state graph to recover compact suspicious propagation subgraphs. PropGuard then verifies harmful propagation through subgraph-aware diagnosis and applies source-guided remediation to correct upstream contamination and replay affected downstream interactions. Experiments across four communication architectures and five attack settings demonstrate that PropGuard consistently lowers attack success while maintaining high task-level defense success, achieving a favorable effectiveness--efficiency trade-off.

한국어 요약

📋 한 줄 요약

**[멀티에이전트 보안]** 메시지·툴·메모리를 통해 전파되는 악성 지시를 추적·정화하는 전파 인식(propagation-aware) 방어 프레임워크 PropGuard를 제안했다.

🎯 핵심 기여도

💡 핵심 아이디어

LLM-MAS의 새로운 위협은 단일 노드 공격이 아니라 악성 지시가 에이전트와 라운드를 가로질러 전파되며 시스템 전체를 오염시키는 점이다. 기존 방어는 로컬 필터링이나 그래프 이상 탐지에 의존해 fine-grained 전파 경로를 추적하지 못하거나 정상 협업을 망친다. 응답 신호로 위험 prior를 잡고, 전체 상태 그래프에서 그 prior를 가이드로 의심 서브그래프만 골라내 진단하면, 정상 흐름을 보존한 채 오염원만 정확히 제거할 수 있다.

🔬 기술적 접근법

📊 주요 결과

💭 의의 및 한계

LLM-MAS의 보안 문제를 "전파"라는 본질에 맞춰 그래프 추적·정화 관점에서 재구성한 점이 중요하다. inspector RL 학습의 안정성·일반화, 새로운 공격 유형(메모리 포이즈닝 변종, 협업 콜루전)에 대한 강건성, 실시간 운영 시 비용 등은 추가 연구가 필요하다.

🚀 실용적 활용

사내 멀티에이전트 워크플로(영업·고객지원·코딩 에이전트), AutoGen/CrewAI 등 오픈소스 MAS 프레임워크의 보안 레이어, 적대적 환경에서 동작하는 자율 에이전트 시스템의 트러스트 인프라로 적용 가능하다.