동일한 페이로드, 다른 채널: 도구 사용 언어 모델의 신뢰 비대칭성 측정

언어 모델(Language Models)이 외부 API 호출, 도구 출력(Tool Outputs) 읽기, 제3자 콘텐츠에 포함된 지침에 따라 행동하는 에이전트(Agentic) 역할을 수행함에 따라, 공격 표면(Attack Surface)은 사용자가 입력하는 범위를 훨씬 넘어 확장되고 있습니다. 모델이 악의적인 지침이 어디에서 전달되든 동일하게 처리하는지에 대해서는 체계적으로 연구된 바가 없습니다. 본 연구에서는 악의적인 텍스트는 동일하게 유지하되 전달되는 문맥(Context)만 변화시킨 매칭된 페이로드 쌍(Matched Payload Pairs)을 사용하여, 콘텐츠가 사용자 메시지, 도구 메타데이터(Tool Metadata), 또는 도구 출력 중 어디로 전달되느냐에 따라 모델의 적대적 콘텐츠(Adversarial Content) 취약성이 얼마나 변화하는지를 측정하는 안전 비대칭 점수(Safety Asymmetry Score, SAS)를 도입합니다. 6개의 상용 LLM(Large Language Models)과 3가지 공격 유형(Attack Families)을 통해 평가한 결과, 일관되고 유의미한 비대칭성을 발견했습니다. 에이전트 특화 모델(Agent-native Models)은 적대적 콘텐츠가 사용자 메시지를 통해 전달될 때보다 도구 설명(Tool Descriptions)을 통해 전달될 때 실질적으로 더 취약한 반면, 범용 모델(General-purpose Models)은 그 반대의 양상을 보입니다. 이러한 비대칭성은 동일한 콘텐츠가 설명이 아닌 도구 출력을 통해 전달될 때 더욱 역전되는데, 이는 모델이 도구 메타데이터를 신뢰할 수 있는 지침으로, 도구 결과는 일반적인 데이터로 암묵적으로 취급하고 있음을 시사합니다. Llama 3.3 70B에 대한 메커니즘 연구(Mechanistic Study) 결과, 안전 관련 표현(Safety-relevant Representation)은 네트워크의 중간에서 후반부 깊이(Mid-to-late Network Depths)에서 인과적으로 존재하지만 비선형적으로 인코딩되어 있으며, 이것이 선형 프로브(Linear Probes)가 이를 탐지하지 못하는 이유임을 밝혀냈습니다. 이러한 발견은 현재의 도구 사용 모델들이 적대적 콘텐츠를 처리하는 방식에 있어 채널에 의존적인 체계적인 사각지대가 존재함을 드러냅니다.