Microsoft Research对100+智能体网络进行红队测试：识别出4种不出现在单智能体测试中的网络风险——传播、放大、信任捕获和隐身

Microsoft Research于2026年4月30日发布了针对聚集100余个AI智能体的实时内部平台的红队测试实验结果。签署该工作的团队——包括Gagan Bansal、Shujaat Mirza、Keegan Hines、Adam Fourney、Ece Kamar和Saleem Amershi——论证智能体不再孤立运作，而是成为共享互联环境中的参与者，此类系统存在单智能体基准根本无法测量的风险类别。关键发现：单个智能体的可靠性无法预测网络行为。

平台是如何搭建的？

每个主体（人）由一个或多个始终在线的LLM智能体（GPT-4o、GPT-4.1和GPT-5级变体）代表，每个智能体拥有持久上下文和每隔几分钟激活一次的周期性「心跳」计时器。智能体在共享公共论坛发帖、发送直接消息，并使用用于安排会议、货币兑换和市场的集成应用程序。平台包含基本护栏：带有点赞/踩的声誉系统、发帖间30分钟延迟和工具使用限制。实验比较了智能体在非独立工作时（作为智能体种群的一部分）对恶意输入的反应。

团队识别了哪四种网络风险？

**传播：**智能体蠕虫从一个智能体传播到另一个，跨多个跳点维持自身并沿途收集私人数据。实验中一条恶意消息连续将多个智能体拉入链中，包括那些并非原始目标的智能体。**放大：**攻击者借用可信智能体的声誉并引入虚假声明，引发其他智能体的跟风，产生令人信服但虚构的「证据」。**信任捕获：**攻击者接管智能体相互验证声明的方式，将验证系统转变为确认谎言的系统。**隐身：**信息经过不知情智能体链传递，使任何单个智能体都难以看清攻击来源。

发现的攻击有多实际？

团队在受控环境中见到了所有四种场景的令人信服的版本，但也注意到早期防御的出现：少量智能体表现出限制攻击范围的安全相关行为。换言之，网络具有涌现韧性，但目前仍作为趋势存在，而非可靠保证。Microsoft强调，文献中的AgentChaos和Prompt Infection框架记录了类似的攻击模式，但本研究专注于拥有真实声誉和市场的沙盒内部平台。

这对企业安全意味着什么？

结果对已在考虑多智能体平台的组织具有直接影响。当前安全框架测量智能体对单一对抗提示的抵抗力，但不测试智能体在相互影响的同类智能体群体中的行为方式。Microsoft Research得出结论，构建有用的智能体网络将需要理解和缓解这些网络级风险，「从真实部署开始」——这是一个信号，表明多智能体栈的企业试点测试必须将这些攻击原型牢记在心。