ACL 2026 | XG-Guard:首个无监督、可解释、细粒度的MAS安全防线

引言
随着人工智能从单一的无监大语言模型(LLM Agent)演进至多智能体系统(Multi-Agents System, MAS),Agent 解决复杂问题的督可度能力实现了质的飞跃。然而,解释这种协作模式的细粒线普及也显著放大了安全风险。在协作推理过程中,全防一旦某个 Agent 遭受攻击,无监攻击者便可注入恶意信息,督可度诱导其他正常 Agent 沿错误逻辑链推理,解释或迫使其执行恶意行为,细粒线最终导致整个系统收敛至有缺陷甚至有害的全防输出结果。
为应对这一挑战,无监近期研究引入了图异常检测(Graph Anomaly Detection,督可度 GAD)技术作为防御手段。作为一种无监督防御范式,解释GAD 通常将 MAS 通信建模为图结构,细粒线并训练 GAD 模型以识别被攻击的全防 Agent 节点,从而阻断误导性内容的传播。尽管现有方法在一定程度上缓解了风险,但仍面临两大核心瓶颈:
缺陷 1:粗粒度建模忽视细粒度关键信息
现有方法通常将 Agent 的完整文本输出压缩为单一的句子表征向量(Sentence-level Representation),用于后续检测。然而,恶意行为往往隐藏于长篇大论之中,例如在大量无关套话中突然插入恶意指令,或隐蔽地注入隐私窃取工具调用。当前的建模思路将这些关键短句与冗余文本混合编码,导致异常特征被稀释,难以被有效捕捉。
缺陷 2:缺乏可解释性
此类方法仅能输出“该 Agent 是否为异常”的二元判断,却无法揭示“为何”判定其为异常。这种黑盒特性不仅阻碍了人工对系统漏洞的审查与修复,也严重削弱了该方法在实际生产环境部署中的可信度。
针对上述局限性,研究团队提出了 XG-Guard(eXplainable and fine-Grained safeGuarding framework),这是一个基于 GAD 的无监督安全防护框架,兼具可解释性与细粒度检测能力。目前,该工作已被 ACL 2026 Main Conference正式接收。

论文信息
* 标题:Explainable and Fine-Grained Safeguarding of LLM Multi-Agent Systems via Bi-Level Graph Anomaly Detection
* 链接:arXiv:2512.18733
* 代码:GitHub: CampanulaBells/XG-Guard
* 作者:Junjun Pan, Yixin Liu, Rui Miao, Yu Zheng, Kaize Ding, Quoc Viet Hung Nguyen, Alan Wee-Chung Liew, Shirui Pan
核心贡献
- 问题建模创新:首次实现了具备可解释性的无监督 GAD 多智能体系统(MAS)防御框架。
- 方法设计突破:提出 XG-Guard,通过联合学习粗细粒度表征并结合对话主题进行异常检测,在无监督场景下兼顾了检测精度与决策透明度。
- 实验验证卓越:在多种 MAS 拓扑结构与不同攻击策略下的广泛实验表明,XG-Guard 在防御性能上持续领先,并能提供可靠、量化的决策解释。
方法解读
XG-Guard 的核心思想在于同时感知词语(Token)和句子(Sentence)粒度的表征,通过对话主题捕捉异常语义,最终融合粗细粒度证据以提供量化解释。具体而言,XG-Guard 包含以下四个关键阶段:

阶段一:双层智能体表征编码(Bi-Level Agent Encoder)
为了兼顾宏观对话语境与微观词汇细节,XG-Guard 摒弃了单一的粗粒度文本编码策略,为每个 Agent 的输出构建双重特征:
- 粗粒度特征 (Sentence-level):捕获发言的整体语义大意。
- 细粒度特征 (Token-level):捕获每个词语的细微语义变化。
随后,框架利用图神经网络(GNN)在通信图上进行消息传递,生成节点编码(Encoding)。

在此过程中,Agent 的编码不仅融合了粗细粒度的文本语义,还吸收了通信图的结构化拓扑信息,从而更全面地反映 Agent 的状态。
阶段二:基于对话主题的无监督异常检测 (Theme-based Anomaly Detector)
在正常的 MAS 协作中,Agent 的发言应始终围绕当前任务与讨论主题展开;相反,恶意 Agent 的发言往往偏离主题以扭曲结果,或包含隐蔽的恶意言论。
XG-Guard 利用这一直觉,设计了基于主题的异常检测器:
- 主题原型聚合:系统首先聚合当前对话的特征,生成对话主题原型(Theme Prototype):

- 异常分数计算:通过度量各 Agent 表征与主题原型的距离,分别计算句子级别和词元级别的异常分数:

这两个层级的分数为后续的融合与解释奠定了坚实基础。
阶段三:双层分数融合与异常解释机制
通常情况下,Theme Prototype 代表正常主题。然而,由于 Token-level 对细粒度异常信息极度敏感,Token-level 的主题原型可能会错误地反映恶意 Agent 引入的干扰信息。若直接组合粗细粒度信息,可能导致检测效果下降。
为此,XG-Guard 引入了基于协方差的分数融合机制,确保句子和词元之间的分数能够正确对齐:

通过将句子和词元级别的异常分数融合到统一框架内,XG-Guard 获得了内生可解释性。系统能够通过对齐后的词元级异常分数,高亮显示恶意关键词,为异常检测提供透明、可追溯的解释。

这种细粒度的可解释性极大地提升了安全审计的透明度。
阶段四:隔离恶意 Agents,阻断传播
在精准定位恶意 Agent 后,系统触发通信隔离策略,实时裁剪恶意 Agent 在图拓扑中的所有通信边。此举有效阻断了恶意信息在 MAS 内部的扩散,保护其余正常 Agent 的协同工作能力不受影响。
实验结果
我们在多种 MAS 通信结构和攻击模式下进行了全面测试,结果表明 XG-Guard 在无监督场景下具有卓越的异常检测性能。
1. 主实验

在严格无监督设定下(训练集仅包含正常对话,无攻击标签),XG-Guard 在各项指标(ROAUC、ASR@3)上均显著超越现有先进无监督异常检测方法,并在部分数据集上达到了与有监督基线(Supervised Baseline)持平的效果。

我们还使用了不同的 LLM Backbone(如 GPT-4o-mini、DeepSeek-V3、Qwen-30B-A3B)进行测试。结果显示,XG-Guard 在各 Backbone 上均保持了稳定的高性能,证明了其良好的泛化能力。
2. 消融实验

为验证各组件的必要性,我们分别移除了分数融合机制(-Fusion)或细粒度信息(-Token):
- 移除细粒度 (-Token):模型难以捕捉隐藏在少数词汇中的恶意信号,导致检测性能显著下降。
- 移除自适应混合 (-Fusion):模型难以区分正常话题偏移与真正的异常行为,有时甚至出现误判,导致 ROAUC 低于 50%。
实验证明,只有所有模块协同工作,才能实现既稳定又可靠的异常检测。
3. 可解释性分析

可视化结果显示,XG-Guard 的粗细粒度架构能够精准定位导致异常的语句片段:
* 图 (a) 中,成功识别出恶意 Agent 传播的误导性信息;
* 图 (b) 中,准确捕捉到 Agent 尝试调用工具盗取个人资料的恶意意图。
总结
XG-Guard 提出了一套全新的无监督 MAS 安全防护方案。通过引入词元级特征与双层表征机制,XG-Guard 不仅能高效检测恶意 Agent,更能为决策提供清晰的解释,显著增强了异常检测系统的透明度与可信度。
作者介绍
本文第一作者为 潘钧君(Junjun Pan),主要研究方向为图异常检测(Graph Anomaly Detection)。目前作为博士生,在 Griffith University 潘世瑞教授(Shirui Pan)领导的 TrustAGI研究团队开展科研工作。







