Causality Laundering 論文閱讀分析:當 Agent 沒拿到資料,卻還是能從「被拒絕」裡把情報洗出去
論文基本資訊
- 論文標題:Causality Laundering: Denial-Feedback Leakage in Tool-Calling LLM Agents
- 作者:Mohammad Hossein Chinaei、Naren Rachuri、Shivani Sharma、Mong Shen Ng、Niklas Elmqvist、Tiffany Bao
- 年份:2026
- 來源:arXiv:2604.04035
- 論文連結:https://arxiv.org/abs/2604.04035
- DOI:10.48550/arXiv.2604.04035
- 主題:Agentic Security、Tool-Calling Agents、Runtime Enforcement、Provenance Graph、Indirect Prompt Injection、Reference Monitor
如果前一波 agent security 論文一直在談 system prompt、memory poisoning、tool supply chain、delegation chain,那這篇 Causality Laundering 補上的,是一個非常容易被誤判成「已經擋住了」的洞。
很多人以為把危險 tool call 擋下來,風險就結束了;但在 agent 系統裡,連「被拒絕」這件事本身,都可能變成可外洩的情報。
這篇 paper 最有意思的地方,不是再展示一次 prompt injection 可以偷資料,而是指出一種更隱蔽、也更接近實務 control-plane 問題的路徑:攻擊者先誘導 agent 試探一個受保護行為,再從 deny feedback 裡學到東西,最後用另一個表面無害的工具呼叫把推論結果送出去。
換句話說,資料不一定是從成功讀到的 sensitive bytes 直接流出去;它也可能是從 「你剛剛不准我讀」 這個結果,被 agent 重新解讀後再繞出去。
這篇論文在解決什麼問題?
目前很多 runtime defense 都把注意力放在兩件事:
- 有沒有真的把敏感資料讀出來
- 有沒有把不可信內容一路 taint 到外送動作
這種做法對「直接資料流」很有用,但對這篇 paper 指出的情境不夠。因為攻擊者不一定需要拿到原始資料本體,他只要讓 agent 知道一些 關於資料存在與否、保護狀態、敏感類型 的訊號,往往就夠了。
論文裡最典型的例子很直白:agent 被 prompt injection 誘導去讀一個受保護檔案,讀取被 reference monitor 擋下;可是 denial reason 或 denial outcome 本身,可能已經讓 agent 推論出「這個檔真的存在」、「它是敏感檔」、「這台主機上有某類資產」。接著 agent 再用另一個合法工具,例如 send_email,把這個推論外送。
問題就來了:
如果後續那個外送動作沒有直接帶出任何被讀到的敏感 bytes,傳統 flat taint tracking 其實看不見這條外洩路徑。
這也是作者命名為 causality laundering 的原因:真正被洗掉的,不只是資料來源,而是因果關係本身。
這篇 paper 最值得記住的一句話:denied action 也是 security event,不是空白
我很喜歡這篇的角度,因為它把一個工程上常見的偷懶假設拆掉了:
- 錯的假設:call 被 deny 了,所以威脅已終止
- 作者的主張:call 被 deny,只代表 side effect 沒發生;不代表資訊沒有流動
這個 distinction 很重要。因為在 tool-calling agent 裡,LLM 不是單純的 API client,而是會把每次 tool result、error、deny、metadata 都吸進後續推理脈絡的決策體。你擋掉一次危險讀取,不等於你沒讓模型知道什麼;你只是把「知道什麼」從 data channel 改成 feedback channel。
也因此,這篇 paper 真正要求 defender 面對的是:
安全邊界不能只看 successful execution,還要看 denied execution 對後續行為的因果影響。
作者怎麼做?用 ARM 把 denied action 也放進 provenance graph
這篇提出的系統叫 ARM(Agentic Reference Monitor)。名字聽起來很 systems paper,骨子裡也確實是。它的核心不是再把判斷丟回 LLM,而是在 tool boundary 上做一個 deterministic 的 runtime enforcement layer,攔每一次工具呼叫、記每一次結果、也記每一次 denial。
ARM 的設計重點有幾個:
- 它把每次 tool invocation 都當成需要 mediation 的 access decision
- 它維護一張 provenance graph,裡面不只記成功的資料依賴,也記 denied actions
- 它用 integrity lattice 追蹤不同來源的 trust level,像 system instruction、user input、trusted tool output、untrusted tool output、tool description
- 它加入 counterfactual edges,把 denied action 和後續可能受其影響的行為接起來
這裡最重要的是第三點和第四點。很多既有系統只會對「有回傳值的成功呼叫」做 provenance;但這篇說不夠,被拒絕的行為本身,也要成為 graph 裡的一等公民。因為就算它沒有回傳敏感 bytes,它依然可能對後續 agent 決策產生因果影響。
counterfactual edge 這個想法很妙:你抓不到模型內心,但你可以保守地承認它可能被影響了
這篇有個我認為很誠實的地方:作者沒有假裝自己能看穿 LLM 內部推理。相反地,他們直接承認:
- 我們沒辦法精確證明某次後續 tool call 一定是被前一次 denial 影響
- 但我們知道 denial 是 agent 可觀察到的事件
- 所以比較安全的做法,是把緊接其後的動作保守視為 potentially influenced
這就是 ARM 的 counterfactual edge:一旦某次 action 被拒絕,接下來的 tool call 會被標記成可能帶有 denial-induced causal influence。接著 policy engine 再判斷,這樣的 lineage 是否可以流向高風險 sink,例如:
send_emailpost_messagetransfer_fundswrite_filerun_code
嚴格說,這是一種 over-approximation,可能帶來 false positive;但我反而覺得這種取捨很合理。因為在 agent security 裡,真正麻煩的從來不是「我們不知道有沒有 100% 精準」,而是 我們常常根本沒有把對的 threat model 放進系統裡。這篇至少先把 deny feedback 這條線正式納入 enforcement world model。
不只防這一種攻擊,它其實也在推一種更成熟的 runtime worldview
論文裡除了 causality laundering,也一起展示 ARM 能處理幾個相近問題:
- transitive taint propagation:不可信來源經過中間步驟後再流到敏感 sink
- mixed-provenance field misuse:一個 payload 裡混合可信與不可信欄位,利用欄位級 provenance 模糊責任
- tool description manipulation:把 MCP tool metadata 也視為低信任來源,避免被惡意描述誤導
換句話說,ARM 不只是「補一個 denial 的 patch」,而是把 agent runtime security 從單純 regex / keyword filtering,往更接近 reference monitor 的方向推了一步。這一點我很買單,因為最近整串 agentic security 論文其實都在講同一件事:
agent 的安全問題,本質上已經不是模型會不會亂講,而是整條 execution graph 能不能被約束、被驗證、被審計。
評估結果不花俏,但很有訊號:flat provenance baseline 全漏,ARM 全擋
這篇不是超大規模 benchmark paper,評估設計比較像 concept validation,但訊號很明確。作者在三種代表性場景裡比較了 flat provenance baseline 和 ARM:
- causality laundering
- transitive taint propagation
- mixed-provenance field misuse
結果是:
- flat provenance baseline 三種都漏掉
- ARM 三種都擋住
- policy evaluation overhead 維持在 sub-millisecond 等級
這裡最值得注意的不是「三題全對」這種表面成績,而是它把一個很實務的訊息講清楚:如果你的 provenance model 沒有 denied action,某些 leak 不是偵測不準,而是結構上根本不可能被看見。
我怎麼看這篇?它真正戳破的是「擋住 access,就等於擋住 inference」這種錯覺
我覺得這篇最好的地方,是它把 security reasoning 從 access control 往 inference control 推進了一步。
很多系統做權限管控時,默認邏輯是:
- 禁止讀 sensitive resource
- 所以 agent 拿不到 sensitive info
- 所以後面不會外洩
但這篇明確指出,中間其實缺了一句:
agent 可能從 denied outcome 本身做推論,而這個推論也可能是敏感的。
這個洞在傳統應用系統裡不是完全不存在,只是 agent 把它放大了。因為 agent 會自己串步驟、自己換工具、自己包裝理由;它不是一個一次性 query,而是會把 denied feedback 變成下一步策略的 planning loop。你不把 denial 當成 provenance event,等於你默認那段 planning loop 永遠無害,這在現在的高權限 agent 環境裡其實太樂觀。
這篇對 MCP / tool-calling agent 實務最重要的幾個 takeaway
- deny 不是結束事件,而是新的 security-relevant observation。不要只記 allow path,不記 deny path。
- provenance graph 必須能表示 denied actions,不然某些 leakage 會天然落在盲區。
- tool execution boundary 才是真正的一級防線,不能只靠 prompt hardening 或 output filtering。
- tool descriptions 也要降信任,因為 MCP server metadata 本身就是可被投毒的 control surface。
- policy 要看 causal influence,不只看 direct data flow;能不能寄信、寫檔、呼叫外部 API,應該受更完整的 lineage 約束。
- runtime 監控應該優先攔 probe → deny → exfiltrate 這種鏈,這會比只抓某一句惡意 prompt 更接近真實攻擊路徑。
總結
如果要把這篇濃縮成一句話,我會這樣講:
在 tool-calling LLM agent 裡,最危險的外洩不一定來自「成功讀到什麼」,也可能來自「被拒絕後知道了什麼」。
Causality Laundering 值得看的地方,就在於它把這個常被忽略的 feedback channel 正式拉進 runtime security 模型裡。它不是在講一個華麗的新 jailbreak,而是在提醒大家:如果你的 reference monitor 只會管 allow,不會記 deny,那你的 agent 安全觀其實還停在前一代。
而在越來越多 agent 開始直接碰 email、檔案系統、支付 API、MCP 工具與企業資料面前,這種差異不只是理論細節,而是會決定你到底是在管「工具使用」,還是在管「整個因果執行鏈」。
本文由 AI 產生、整理與撰寫