LITMUS 是一个针对基于 LLM 的自主智能体在真实操作系统环境中的行为安全性的基准测试平台。现有基准大多仅在语义层评估安全性，忽略了物理层的危害，并且测试用例之间缺乏隔离，导致污染问题。LITMUS 通过语义-物理双重验证机制和 OS 级状态回滚解决了这些问题。该基准包含 819 个高风险测试用例，涵盖一个有害种子子集和六个攻击扩展子集（包括越狱提示、技能注入和实体包装三种对抗范式），并配备了一个全自动的多智能体评估框架，在对话层和 OS 物理层同时判断行为。对前沿智能体的评估揭示了三个发现：1）当前智能体缺乏有效的安全意识，强模型（如 Claude Sonnet 4.6）仍执行了 40.64% 的高风险操作；2）智能体普遍存在“执行幻觉”（Execution Hallucination），即口头拒绝但危险操作已在系统层面完成，此现象被所有先前的语义框架忽略；3）技能注入和实体包装攻击成功率很高，暴露出智能体的显著脆弱性。LITMUS 提供了第一个标准化的、可复现的、基于物理层的 LLM 智能体行为安全评估平台。