rexcoleman/cycle9-broadcast-contagion
GitHub: rexcoleman/cycle9-broadcast-contagion
将流行病学 ISS 模型适配到软件供应链网络,通过大规模 Monte Carlo 仿真揭示广播传染的相变临界点,为核心节点定向防御策略提供量化依据。
Stars: 0 | Forks: 0
# 攻击如何在 AI 代理之间传播?供应链传染中的相变
**针对核心节点的检测将遏制供应链传染攻击所需的临界覆盖率降低了一半:核心节点定向检测的 p_c = 0.19,而均匀检测的 p_c = 0.39。当 prompt 注入攻击在多智能体系统中像病毒一样传播时,监控被依赖最多的前 1% 的包几乎与监控所有 39% 的包一样有效。但是检测延迟抵消了一半的理论优势——静态渗透预测高估了其两倍的收益。**
[](LICENSE)
[](https://www.python.org/downloads/)
## 关键结果
| 发现 | 指标 | 证据 |
|---|---|---|
| 所有条件下均存在相变 | 遏制概率:从近零 → 近于一 | 45,900 次 Monte Carlo 运行 |
| 均匀检测的临界覆盖率 | p_c = 0.39 [95% CI: 0.38, 0.40] | BA 网络,N=5,000,源于核心节点的攻击 |
| 核心节点定向检测的临界覆盖率 | p_c = 0.19 [95% CI: 0.18, 0.20] | 相同条件下,降低了 2.04 倍 |
| 检测延迟削弱了优势 | 核心节点定向因子:2.04 倍(对比静态预测的 3 倍) | 时间依赖性检测 vs 接触依赖性抑制 |
| ISS 到供应链的适配并非简单套用 | 机制间的 \|Δp_c\| = 0.15 | 相变形状存在本质差异 |
所有结果均基于 Barabási-Albert 无标度网络中源于核心节点(按依赖项数量排名前 1% 的包)的攻击。
## 与先前工作的比较
| 先前的工作 | 年份 | 他们所做的工作 | 我们的不同之处 |
|---|---|---|---|
| Pastor-Satorras & Vespignani | 2001 | 证明了在具有同质恢复机制的无标度网络上,SIS 传染病阈值会趋近于零 | 我们加入了异构的时间依赖性检测,并表明它*恢复*了位于 p_c ~ 0.39 处的有限阈值 |
| Moreno, Nekovee & Pacheco | 2004 | 在无向图上研究了具有接触依赖性抑制的平均场 ISS 谣言传播 | 我们将抑制机制从接触依赖性调整为有向图上的时间依赖性——使 p_c 偏移了 0.15(降低了 28%) |
| Cohen, Havlin & ben-Avraham | 2003 | 基于熟人策略的定向免疫和静态渗透 | 我们测试了在带有检测延迟的动态广播下,静态定向优势是否依然成立——它并未完全成立(动态为 2.04 倍,而静态约为 4.3 倍) |
| Yang et al. | 2015 | 证明了与度相关的恢复机制能恢复较大的流行病阈值 | 我们根据真实的供应链检测率进行了参数化,并测量了恢复的阈值具体位置:p_c ~ 0.19-0.41 |
## 核心发现
我们将社会网络流行病学中的 ISS(信息传播与抑制)模型适配到了软件供应链传染中。核心洞察:供应链攻击的传播类似于广播传染(一个被攻陷的包会同时感染所有依赖项),而不像接触依赖的疾病传播。
实际意义:监控被依赖最多的前 1% 的包(核心节点定向检测)几乎与监控 39% 的所有包(均匀检测)一样有效。但是,当检测需要时间时,静态渗透(Cohen 等人,2003)预测的 3 倍理论优势会缩减至 2 倍——延迟影响极大。
## 快速入门
```
git clone https://github.com/rexcoleman/cycle9-broadcast-contagion.git
cd cycle9-broadcast-contagion
pip install -r requirements.txt
bash reproduce.sh # full reproduction
```
## 方法论
- **网络模型:** Barabási-Albert 无标度图(m=3,N=500-5,000)
- **传染模型:** 广播(一对多)结合异构的时间依赖性检测
- **实验条件:** 6 个主要条件(2 种检测策略 × 3 种网络规模)+ 3 个消融实验
- **模拟:** 共计 45,900 次 Monte Carlo 运行,每个条件 5 个随机种子
- **基线:** 同质 SIS 模型(Pastor-Satorras & Vespignani,2001),接触依赖性抑制
完整的方法论详见 [EXPERIMENTAL_DESIGN.md](EXPERIMENTAL_DESIGN.md)。所有结果详见 [FINDINGS.md](FINDINGS.md)。
## 图表
| | |
|---|---|
|  |  |
| *所有条件下的相变曲线* | *核心节点定向检测 vs 均匀检测* |
|  |  |
| *网络规模缩放效应* | *消融实验:检测机制对比* |
## 相关工作
- 博客文章:[攻击如何在 AI 代理之间传播?](https://rexcoleman.dev/posts/supply-chain-contagion-threshold/) — 本研究通俗易懂的总结
- [ai-supply-chain-scanner](https://github.com/rexcoleman/ai-supply-chain-scanner) — 针对 ML 供应链风险的基于规则的扫描器
- [controllability-bound](https://github.com/rexcoleman/controllability-bound) — 防御难度分解框架
## 引用
```
@software{coleman2026contagion,
title = {Broadcast Contagion Phase Transitions in Software Supply Chain Networks},
author = {Coleman, Rex},
year = {2026},
url = {https://github.com/rexcoleman/cycle9-broadcast-contagion},
license = {MIT}
}
```
## 许可证
MIT。详见 [LICENSE](LICENSE)。
标签:AI安全, BA无标度网络, Chat Copilot, MIT License, PyRIT, Python, SIS模型, WebSocket, 供应链 contagion, 供应链污染, 依赖分析, 包依赖, 图论, 复杂网络, 多智能体系统, 开源软件安全, 提示注入, 无后门, 流行病模型, 渗流理论, 特权检测, 目标检测, 相变, 网络安全, 蒙特卡洛模拟, 软件供应链, 软件生态, 防御机制, 隐私保护, 集群管理