本文研究人工智能控制监控器（AI-control monitors）在面对分布式破坏攻击时的检测能力。传统监控器基于单步动作打分，但真实的危害可能分散在多个看似正常的步骤中，每个步骤的得分都低于警报阈值。作者提出了一种基于高斯Copula和AR(1)过程的边缘保留、编码相关性的分布式破坏攻击方法。该攻击通过精心构造，使得每一步的监控器得分边缘分布与正常行为完全相同，从而绕过了基于均值、最大值、top-k尾部和阈值等分布形状监控器（Monitor A），而将危害编码在时间相关性结构中。论文围绕三个审稿人要求的验证环节展开：（1）可实现性验证：攻击在所有测试的危害水平（最高3.0）下，其K-S距离与正常行为仅为0.013（几乎为零），证实危害与单步边缘分布完全解耦，可实现性不受危害限制。（2）监控器A与B的调和：作者形式证明了针对监控器A的得分边缘构造的攻击，在另一类监控器B（相关性/序列族：CUSUM、SPRT、HMM-LR、游程检验、自相关、窗口逻辑回归）下仍然维持边缘保留特性，并将最坏情况的主张限定在允许时间特征的那些得分函数上。（3）非空可检测性带：监控器A的AUC为0.52（随机水平），而监控器B在1%假阳性率目标下AUC达到0.79-0.97；随着危害被分摊到更多步骤，监控器A退化为随机猜测，而监控器B仍保持约0.95的AUC。这些结果证明了非空可检测性带的存在，并刻画了亚阈值破坏前沿：分布形状监控器因构造而失效，而时间相关性监控器可以检测但并非简单最优。

该论文研究了大型语言模型（LLM）代理在网络安全中的误用问题，特别是分布式代理攻击。作者指出，现有的安全监控器仅对单个代理上下文进行评分，因此无法检测到跨多个用户账户分布的恶意行为，这些行为在单个转录中看似无害。为了证明这一安全缺口，他们构建了首个分布式代理攻击框架，该框架将复杂的网络安全任务分解到多个子代理中，每个子代理只处理有限上下文，从而规避了标准监控器——标准监控器检测此类攻击的概率仅为以前代理攻击的五分之一。作为防御手段，他们提出了一种在线状态监控器，采用实时聚类技术从多个代理转录中收集微弱的可疑信号，并仅在必要时升级到语言模型以标记跨用户账户的误用。在大规模模拟数据中心流量的评估中，该监控器在帕累托意义上优于标准监控器，能够提前30%检测到分布式攻击，并在网络误用达到最有害阶段之前进行标记。此外，对于约99%的用户流量，额外延迟可以忽略不计。尽管在良性背景流量极大时检测优势有所缩小，但经过广泛的红队测试，防御得到改进，并且意外地发现也能捕捉标准越狱攻击，因为自适应攻击者会跨账户复用攻击变体。该论文的研究指向一类新的安全监控器，它们基于用户群体而非孤立转录进行推理。