该论文研究了大型语言模型（LLM）代理在网络安全中的误用问题，特别是分布式代理攻击。作者指出，现有的安全监控器仅对单个代理上下文进行评分，因此无法检测到跨多个用户账户分布的恶意行为，这些行为在单个转录中看似无害。为了证明这一安全缺口，他们构建了首个分布式代理攻击框架，该框架将复杂的网络安全任务分解到多个子代理中，每个子代理只处理有限上下文，从而规避了标准监控器——标准监控器检测此类攻击的概率仅为以前代理攻击的五分之一。作为防御手段，他们提出了一种在线状态监控器，采用实时聚类技术从多个代理转录中收集微弱的可疑信号，并仅在必要时升级到语言模型以标记跨用户账户的误用。在大规模模拟数据中心流量的评估中，该监控器在帕累托意义上优于标准监控器，能够提前30%检测到分布式攻击，并在网络误用达到最有害阶段之前进行标记。此外，对于约99%的用户流量，额外延迟可以忽略不计。尽管在良性背景流量极大时检测优势有所缩小，但经过广泛的红队测试，防御得到改进，并且意外地发现也能捕捉标准越狱攻击，因为自适应攻击者会跨账户复用攻击变体。该论文的研究指向一类新的安全监控器，它们基于用户群体而非孤立转录进行推理。

本文针对大型推理模型（LRMs）的安全监控问题展开研究。LRMs通过链式思维（Chain of Thought, CoT）推理过程提供了新的安全监控机会，但CoT并不总是忠实于模型的最终输出，从而削弱了其作为监控工具的可靠性。为此，作者探索了LRMs的隐藏表征，以判断是否可以从提示和CoT表征中预测模型的未来行为。具体方法是在每个生成的token上评估一个探针（probe），从而构建出“探针轨迹”（probe trajectory），即概念概率在整个推理过程中的连续演化。实验发现，与单次静态预测相比，通过完整轨迹考察时，模型未来行为的可区分性更高。为了刻画这些时间动态，作者提取了信号处理特征，包括波动性、趋势和稳态行为，显著提升了未来模型状态的分离效果。此外，论文还提出了两个方法论见解：第一，基于模板的训练数据可以达到与动态生成模型响应近乎相同的性能，从而省去了昂贵的初始推理和标注步骤；第二，池化操作的选择至关重要：平均池化和最后一个token方法性能接近随机，而最大池化则能达到高达95%的AUROC，并产生稳定的探针轨迹。作者在安全和数学领域的四个数据集及四个推理模型上进行了验证，结果表明轨迹特征编码了任务特定的动态，有助于提升结果的可分离性。这些发现确立了探针轨迹作为监控LRM行为的互补框架。警告：本文包含可能有害的内容。