
随着人工智能从单一的无监大语言模型(LLM Agent)演进至多智能体系统(Multi-Agents System, MAS),Agent 解决复杂问题的督可度能力实现了质的飞跃。然而,解释这种协作模式的细粒线普及也显著放大了安全风险。在协作推理过程中,全防一旦某个 Agent 遭受攻击,无监攻击者便可注入恶意信息,督可度诱导其他正常 Agent 沿错误逻辑链推理,解释或迫使其执行恶意行为,细粒线最终导致整个系统收敛至有缺陷甚至有害的全防输出结果。
为应对这一挑战,无监近期研究引入了图异常检测(Graph Anomaly Detection,督可度 GAD)技术作为防御手段。作为一种无监督防御范式,解释GAD 通常将 MAS 通信建模为图结构,细粒线并训练 GAD 模型以识别被攻击的全防 Agent 节点,从而阻断误导性内容的传播。尽管现有方法在一定程度上缓解了风险,但仍面临两大核心瓶颈:
现有方法通常将 Agent 的完整文本输出压缩为单一的句子表征向量(Sentence-level Representation),用于后续检测。然而,恶意行为往往隐藏于长篇大论之中,例如在大量无关套话中突然插入恶意指令,或隐蔽地注入隐私窃取工具调用。当前的建模思路将这些关键短句与冗余文本混合编码,导致异常特征被稀释,难以被有效捕捉。
此类方法仅能输出“该 Agent 是否为异常”的二元判断,却无法揭示“为何”判定其为异常。这种黑盒特性不仅阻碍了人工对系统漏洞的审查与修复,也严重削弱了该方法在实际生产环境部署中的可信度。
针对上述局限性,研究团队提出了 XG-Guard(eXplainable and fine-Grained safeGuarding framework),这是一个基于 GAD 的无监督安全防护框架,兼具可解释性与细粒度检测能力。目前,该工作已被 ACL 2026 Main Conference正式接收。

论文信息
* 标题:Explainable and Fine-Grained Safeguarding of LLM Multi-Agent Systems via Bi-Level Graph Anomaly Detection
* 链接:arXiv:2512.18733
* 代码:GitHub: CampanulaBells/XG-Guard
* 作者:Junjun Pan, Yixin Liu, Rui Miao, Yu Zheng, Kaize Ding, Quoc Viet Hung Nguyen, Alan Wee-Chung Liew, Shirui Pan
XG-Guard 的核心思想在于同时感知词语(Token)和句子(Sentence)粒度的表征,通过对话主题捕捉异常语义,最终融合粗细粒度证据以提供量化解释。具体而言,XG-Guard 包含以下四个关键阶段:

为了兼顾宏观对话语境与微观词汇细节,XG-Guard 摒弃了单一的粗粒度文本编码策略,为每个 Agent 的输出构建双重特征:
随后,框架利用图神经网络(GNN)在通信图上进行消息传递,生成节点编码(Encoding)。

在此过程中,Agent 的编码不仅融合了粗细粒度的文本语义,还吸收了通信图的结构化拓扑信息,从而更全面地反映 Agent 的状态。
在正常的 MAS 协作中,Agent 的发言应始终围绕当前任务与讨论主题展开;相反,恶意 Agent 的发言往往偏离主题以扭曲结果,或包含隐蔽的恶意言论。
XG-Guard 利用这一直觉,设计了基于主题的异常检测器:


这两个层级的分数为后续的融合与解释奠定了坚实基础。
通常情况下,Theme Prototype 代表正常主题。然而,由于 Token-level 对细粒度异常信息极度敏感,Token-level 的主题原型可能会错误地反映恶意 Agent 引入的干扰信息。若直接组合粗细粒度信息,可能导致检测效果下降。
为此,XG-Guard 引入了基于协方差的分数融合机制,确保句子和词元之间的分数能够正确对齐:

通过将句子和词元级别的异常分数融合到统一框架内,XG-Guard 获得了内生可解释性。系统能够通过对齐后的词元级异常分数,高亮显示恶意关键词,为异常检测提供透明、可追溯的解释。

这种细粒度的可解释性极大地提升了安全审计的透明度。
在精准定位恶意 Agent 后,系统触发通信隔离策略,实时裁剪恶意 Agent 在图拓扑中的所有通信边。此举有效阻断了恶意信息在 MAS 内部的扩散,保护其余正常 Agent 的协同工作能力不受影响。
我们在多种 MAS 通信结构和攻击模式下进行了全面测试,结果表明 XG-Guard 在无监督场景下具有卓越的异常检测性能。

在严格无监督设定下(训练集仅包含正常对话,无攻击标签),XG-Guard 在各项指标(ROAUC、ASR@3)上均显著超越现有先进无监督异常检测方法,并在部分数据集上达到了与有监督基线(Supervised Baseline)持平的效果。

我们还使用了不同的 LLM Backbone(如 GPT-4o-mini、DeepSeek-V3、Qwen-30B-A3B)进行测试。结果显示,XG-Guard 在各 Backbone 上均保持了稳定的高性能,证明了其良好的泛化能力。

为验证各组件的必要性,我们分别移除了分数融合机制(-Fusion)或细粒度信息(-Token):
实验证明,只有所有模块协同工作,才能实现既稳定又可靠的异常检测。

可视化结果显示,XG-Guard 的粗细粒度架构能够精准定位导致异常的语句片段:
* 图 (a) 中,成功识别出恶意 Agent 传播的误导性信息;
* 图 (b) 中,准确捕捉到 Agent 尝试调用工具盗取个人资料的恶意意图。
XG-Guard 提出了一套全新的无监督 MAS 安全防护方案。通过引入词元级特征与双层表征机制,XG-Guard 不仅能高效检测恶意 Agent,更能为决策提供清晰的解释,显著增强了异常检测系统的透明度与可信度。
本文第一作者为 潘钧君(Junjun Pan),主要研究方向为图异常检测(Graph Anomaly Detection)。目前作为博士生,在 Griffith University 潘世瑞教授(Shirui Pan)领导的 TrustAGI研究团队开展科研工作。