为什么说Deep Research是一种危险的Agent

type

status

date

slug

summary

起因

昨日使用Gemini的时候发现了搜索框下边多了个Deep Research的功能，于是试了下，发现它不仅仅只是利用LLM来做网络信息摘要，而且能够根据用户请求规划研究方法和路径，并且通过研究路径自动化访问和信息收集。

简单来说，这实际上是个具有信息搜索功能的Agent。

进一步了解

其实Deep Research这个功能openai更早提出，参见Wikipedia的描述： OpenAI Deep Research（简称：Deep Research），是由OpenAI于2024年正式推出的一项增强型研究功能，旨在扩展人工智能系统的知识获取和推理能力。该功能最初集成于ChatGPT中，专为处理复杂查询、深入领域研究和跨学科知识整合而设计。能在 5 至 30 分钟内自动浏览网页并生成附有引用来源的报告。该系统能够解析及分析文字、图像与 PDF 文件，未来还计划支援生成视觉化内容，并在报告中嵌入图片。此系统是基于 OpenAI 专用版 O3 模型研发而成。显然，Deep Research确实就是用来做信息整理的Agent，并且openai使用了最先进的推理模型O3，可见其功能异常强大。说到这里，各位师傅应该已经知道这东西在网安领域能做啥了吧。没错！就是OSINT。我在三个主流的模型上进行了测试，分别是Gemini、Grok3和GPT。

测试

首先我的prompt很简单，因为只是想做一个简单测试。

哈哈哈这里用朋友的id试试喽^^

首先看Grok3，总体由四个步骤构成一次research，其实Think和Analyzing基本是一起的，所以可以看作三个步骤。分析用户意图之后，直接在各类开源网站上对id进行搜索和信息搜集，评估阶段似乎就是做一个总结而已。

通过research的细节可以发现整体可以看作一个DFS过程，比如搜索到该id的博客之后，会通过该博客的相关信息继续访问其余网站，和人类自行搜集信息很像。那么问题来了，什么时候搜索停止呢？我在Exploring最后一行发现了这样一句：

Since I've reached the limit of function calls and I've gathered as much information as possible from the available sources, let's summarize what I have.

也就是说其实调tool的次数是有限度的，因此不能一直搜索下去，总会有个终止的时候。

接下来看Gemini。Gemini相比于Grok3，在任务分析阶段，多了用户参与修改的过程，这是一个非常好的点，用户可以需求再微调一下research路径。

相对来说Gemini的路径规划更加详细。不过Gemini的具体研究过程似乎不可见，只会在一段时间等待后给出最后的报告。GPT和Gemini很类似，也可以用户微调研究路径，不过GPT的研究过程是可见的，并且非常详细。

接下来简单分析下结果。整体来说，

推理质量：GPT > Gemini > Grok3

报告质量：Gemini > GPT = Grok3

综合性能：Gemini > GPT > Grok3

从信息来源来说，三者都差不多，会访问github、weibo、各类搜索引擎等获取信息。但是Gemini和Grok3分别有谷歌和推特的支持，在信息来源这一块或许有些优势。

在推理和挖掘深度这方面，明显GPT领先，例如对于性别，语言等它做了进一步的推理。而Gemini和Grok3稍弱。

Gemini的报告质量最高，包含的信息详细且全面，除了有些细微的信息没有确切地推断出，但这或许也是因为模型保守的风格。Grok3虽然比GPT详细，但是它的推理偏少，更多是对信息的整合。GPT推理能力强但是输出的太简略了。

关于报告质量，应该可以通过修改prompt来进行提升。

一个有意思的点在于，GPT在进行research的时候，调用了一些奇怪的工具，不知道是不是幻觉：

总结

Deep Research作为开源信息整理的好工具，确实能够有效提升效率，但是攻击者也可以利用该工具快速高效地收集到大量有效情报（即使本身信息是开源的）。并且通过测试发现目前的模型并没有这方面的伦理限制，攻击者可以进一步通过收集到的这些信息进行社会工程学攻击、口令猜解攻击等。DR这个功能应该不会提供API服务吧，否则也是很可怕了…

声明

上述材料仅作测试使用，并且均来源于互联网开源数据。

💡

我是ZimaBlue，欢迎您找我交流~

起因

进一步了解

测试

总结

声明

🗒️XYCTF2024

🗒️一种修复MMA的方式