Die Fallen nutzen laut den Forschern die Lücke zwischen der für Menschen sichtbaren Darstellung und den maschinell ausgewerteten Inhalten aus. So lassen sich versteckte Befehle einschleusen, Eingabedaten so manipulieren, dass die Schlussfolgerungen des Agenten verfälscht werden, das Langzeitgedächtnis korrumpieren, die Befolgung von Anweisungen über explizite Kommandos angreifen, mit präparierten Eingaben Fehlfunktionen auf höherer Ebene auslösen und kognitive Verzerrungen ausnutzen, um den Agenten gegen seinen menschlichen Aufseher zu wenden.
Bei der Inhaltsinjektion verstecken Angreifer Anweisungen in HTML-Kommentaren oder Metadaten-Attributen, schleusen Fallen dynamisch über JavaScript oder Datenbankabfragen ein oder verbergen sie mithilfe von Steganografie oder der Syntax von Formatierungssprachen. Fallen der semantischen Manipulation setzen auf sorgfältig gewählte Sprache, um den Agenten in kognitive Verzerrungen zu drängen, seine Prüfmechanismen gegen schädliche Ausgaben anzugreifen oder ihm Beschreibungen seiner eigenen Persönlichkeit zurückzuspielen, um sein Verhalten zu verändern.
Fallen, die auf den kognitiven Zustand zielen, vergiften die externen Quellen des Agenten, schleusen Daten in interne Speicher wie dauerhafte Protokolle ein oder verändern über präparierte Interaktionen mit der Umgebung die Handlungslogik des Agenten. Fallen der Verhaltenssteuerung greifen die Befolgung von Anweisungen über in externe Ressourcen eingebettete Jailbreaks an, zwingen den Agenten dazu, privilegierte Informationen preiszugeben, oder bringen ihn dazu, kompromittierte Unter-Agenten zu starten, die mit seinen Rechten agieren, aber den Interessen des Angreifers dienen.
Systemische Fallen zielen auf das Gesamtverhalten mehrerer Agenten in derselben Umgebung und nutzen die Dynamik zwischen den Agenten aus – etwa Gleichförmigkeit, sequenzielle Abhängigkeit, Verhaltenssynchronisierung und Zusammenarbeit. Angreifer können zudem pseudonyme Identitäten verwenden, um die Vertrauensannahmen und Konsensprozesse eines vernetzten Systems zu unterlaufen. Fallen mit dem Menschen in der Kontrollschleife können den Agenten dazu bringen, den menschlichen Nutzer anzugreifen; unsichtbare Prompt-Injektionen können den Agenten etwa dazu verleiten, Ransomware-Befehle als vermeintliche Behebungsanweisungen auszugeben.
Die Abwehr solcher Agenten-Fallen erfordert laut den Forschern den Umgang mit einer komplexen und sich wandelnden Bedrohungslage und stellt mindestens drei zusammenhängende Herausforderungen: Erkennung, Zuordnung und Anpassung. Als Lösungsansätze nennen sie technische Verteidigung wie das Härten des zugrunde liegenden Modells durch erweiterte Trainingsdaten und Laufzeitabwehr, eine bessere Hygiene des digitalen Ökosystems, Rahmenwerke zur Inhaltssteuerung sowie standardisierte Benchmarks zur Erkennung dieser Bedrohungen. Die Absicherung von Agenten gegen Manipulation durch ihre Umgebung sei eine grundlegende Herausforderung, deren Lösung Voraussetzung für ein vertrauenswürdiges agentisches Ökosystem sei und eine dauerhafte Zusammenarbeit von Entwicklern, Sicherheitsforschern und politischen Entscheidungsträgern verlange.
