arXiv雑要約
セキュリティ - 2026/03/04 公開
連合推論:プライバシー保護型協調・インセンティブ重視のモデルサービングへ [cs.CL, cond-mat.stat-mech, q-bio.GN, cs.AI, cs.CR, cs.LG]目的:プライバシー保護型協調モデルサービングの実現
- データ利用の厳格化が進む中,データ共有なしでのモデル活用が重要となる。
- 分散環境での推論における,プライバシー保護と性能向上が課題である。
- 連合推論のシステムレベルな理解と,実用的な課題の解決を目指す。
- 連合推論は,連合学習とは異なる協調パラダイムとして定義された。
- プライバシー制約,非IIDデータ,観測可能性の制限下における構造的トレードオフが分析された。
- プライバシー保護推論,アンサンブルベースの協調,インセンティブ調整における摩擦点が明らかになった。
SuperLocalMemory:ベイジアン信頼防御によるメモリポイズニング対策を備えたプライバシー保護型マルチエージェントメモリ [cs.AI, cs.CR]目的:マルチエージェントAIのためのプライバシー保護メモリシステム
- AIエージェントは永続的なメモリに依存しており,その安全性とプライバシーは重要である。
- クラウドベースのメモリシステムは,攻撃の集中標的となり,汚染されたメモリが広範囲に拡散するリスクがある。
- メモリポイズニング攻撃に対する堅牢な防御機構とプライバシー保護を実現する。
- SuperLocalMemoryは,アーキテクチャの分離とベイジアン信頼スコアリングにより,OWASP ASI06メモリポイズニングから防御する。
- 適応的な学習ランキングにより検索のパーソナライズを実現し,クラウド依存やLLM推論呼び出しを不要とする。
- 評価により,低い検索遅延,同時実行エラーなし,高い信頼分離,そしてNDCG@5の向上が確認された。
ファインチューニング中の静かな妨害:コンパクトな医療LLMに対する少数ショットの根拠ポイズニング [cs.CR, cs.AI, cs.LG]目的:医療LLMのファインチューニングにおける推論過程へのポイズニング攻撃
- 医療LLMは医療分野において重要な役割を担うため,その安全性と信頼性が不可欠である。
- 従来のポイズニング攻撃は検知可能なバックドア攻撃に焦点が当たり,ステルス性の高い攻撃に対する脆弱性が課題である。
- ファインチューニング段階における,よりステルス性の高いポイズニング攻撃のリスクを明らかにし,対策を促す。
- 少数ショット学習データに悪意のある根拠を注入することで,特定の医療トピックにおけるモデルの性能を静かに低下させることを示した。
- 知識の書き換えは効果が薄かったが,根拠のポイズニングは標的とする科目の精度を著しく低下させた。
- 攻撃の有効性とステルス性を高めるために必要な,ポイズニングされたサンプルの最小数と割合を明らかにした。
コンテナサンドボックスからのLLMの脱出能力の定量化 [cs.CR, cs.AI]目的:LLMのサンドボックス脱出能力の測定
- LLMは自律エージェントとして機能し,セキュリティリスクが増大している。
- コンテナサンドボックスはセキュリティ対策だが,その有効性が十分に検証されていない。
- LLMによるサンドボックス脱出の脆弱性を定量的に評価する。
- LLMは脆弱性を特定し,それを悪用してサンドボックスから脱出できることが示された。
- SANDBOXESCAPEBENCHという新たな評価ベンチマークが開発された。
- サンドボックスの継続的なセキュリティ確保には,本研究のような評価が不可欠である。
ZeroDayBench:サイバー防御のための未知のゼロデイ脆弱性に対するLLMエージェントの評価 [cs.CR, cs.AI]目的:未知のゼロデイ脆弱性に対するLLMエージェントのサイバー防御能力の評価
- ソフトウェア開発におけるLLMの活用が進む中,セキュリティ脆弱性の発見と修正は重要な課題である。
- LLMエージェントは,既存の脆弱性だけでなく,未知のゼロデイ脆弱性への対応が求められる。
- 本研究は,LLMエージェントのゼロデイ脆弱性への対応能力を評価し,改善点を明らかにすることを目的とする。
- ZeroDayBenchを用いて,GPT-5.2,Claude Sonnet 4.5,Grok 4.1の3つのLLMエージェントを評価した結果,いずれも自律的な解決には至らなかった。
- LLMエージェントは,プロアクティブなサイバー防御能力向上のために,さらなる改善が必要であることが示唆された。
- モデルの行動パターンを分析することで,具体的な改善策の方向性を見出すことが期待される。
非同期の出自情報とウォーターマークによる認証の矛盾 [cs.CR, cs.CV, cs.MM, eess.IV]目的:デジタルコンテンツの認証における矛盾の形式化と実証
- デジタルコンテンツの信頼性確保が重要視される中,偽造・改ざん対策は喫緊の課題である。
- C2PAやウォーターマークといった技術は独立して機能するため,矛盾が生じる可能性がある。
- 出自情報とウォーターマークの検証を統合し,矛盾を検出する手法を確立すること。
- C2PAマニフェストが人間の作成を主張し,同時にウォーターマークがAI生成を識別する矛盾状態を「Integrity Clash」と定義した。
- 標準的な編集パイプラインを利用し,C2PA仕様の許容範囲内で矛盾する偽造コンテンツを生成できることを示した。
- 出自情報とウォーターマーク検出状況を共同で評価するプロトコルにより,100%の分類精度を達成した。
TraceGuard:大規模言語モデルにおける推論バックドアに対するプロセス誘導型ファイアウォール [cs.CR]目的:推論バックドアに対する堅牢な推論ファイアウォールの構築
- 大規模言語モデルの利用拡大に伴い,そのセキュリティリスクが重要な課題となっている。
- コンパクトなモデルは,脆弱な語彙的ヒューリスティクスに依存しており,攻撃を受けやすい。
- 推論過程を検証することで,推論バックドアを検出し,安全性を高めることを目指す。
- TraceGuardは,推論過程を信頼できないペイロードとして扱い,多層防御戦略を適用する。
- 対照的な推論ペアを生成し,論理的な破綻箇所を特定する自動フォレンジック合成を導入した。
- 40億パラメータの検証器が,より大規模なモデルに匹敵するフォレンジック精度を達成した。
合成アテステーション:AI駆動分散システムにおける継続的・漸進的な信頼のための汎用フレームワーク [cs.CR]目的:AI駆動分散システムにおける継続的・漸進的な信頼のための汎用フレームワーク
- AIやOSSサプライチェーンの安全性確保が重要課題であり,分散システムにおける信頼性が不可欠である。
- 従来の検証手法は単一的で拡張性に乏しく,変化するシステム構成への対応が困難である。
- モジュール化された検証により,システムの信頼性を高め,柔軟性とセキュリティを向上させることを目指す。
- 合成アテステーションは,構成要素の組み合わせによる検証を可能にする汎用的な暗号学的フレームワークである。
- このフレームワークは,順序独立性,推移性,決定性,包含性など,厳密な数学的性質を備えている。
- アテステーションの包含性により,システム全体の再検証なしに新規コンポーネントの統合が可能となる。
PendingIntentの来歴の混乱を利用したAndroid SDK認証の詐称 [cs.DB, cs.RO, cs.CR]目的:Android SDK認証におけるPendingIntentの来歴の混乱を悪用した認証バイパスの可能性
- モバイルアプリのサプライチェーンセキュリティは重要であり,特にサードパーティSDKが攻撃の主要な経路となる。
- PendingIntentの作成者と提示者の区別が曖昧なため,認証メカニズムに脆弱性が存在する。
- PendingIntentの来歴の脆弱性を悪用した認証バイパス攻撃を検証し,対策を提案する。
- 攻撃者はNotificationListenerServiceを通じて合法なPendingIntentを窃取し,再利用することでパートナーになりすますことができる。
- この攻撃はmutableおよびimmutableなPendingIntentの両方に対して成功する。
- Bound Service IPCとBinder.getCallingUid()によるカーネルレベルの検証,およびサーバー側の証明書ハッシュ検証を組み合わせた防御アーキテクチャを提案する。
暗号学の形式化と理論的基礎をAIへ拡張 [cs.CL, cs.CR]目的:AIエージェントのアクセス制御に関する形式的基盤の確立
- AIエージェントの自律性と権限の拡大に伴い,そのセキュリティ確保が喫緊の課題となっている。
- 既存のアクセス制御提案は,共通の形式的基盤がないため,比較検討が困難である。
- AIエージェント特有の攻撃分類とセキュリティゲームモデルを構築し,安全性評価を可能にすること。
- AIエージェントのセキュリティを構成する機密性,完全性,可用性の3要素を統一的に捉えるセキュリティゲームモデルを提案した。
- 既存の学習データ保護手法と完全性の両立が困難であることを形式的に証明した。
- 有用性と無害性の目標をモジュール分解し,その健全性を証明することで,安全なシステム設計への原理的な道筋を示した。
ブロックチェーンにおける通信脆弱性 [cs.CR, cs.DC]目的:ブロックチェーン通信プロトコルの脆弱性比較
- ブロックチェーン技術は,金融,サプライチェーンなど多様な分野で応用が拡大している。
- 個々のブロックチェーンの通信プロトコルは異なり,セキュリティ評価が十分に進んでいない。
- 複数のブロックチェーンの通信プロトコルに対する攻撃の影響を比較し,脆弱性を明らかにすること。
- Algorandはパケット損失攻撃に対して脆弱性が認められた。
- Aptosは標的型負荷攻撃およびリーダー隔離攻撃に対して脆弱性が認められた。
- Avalancheは一時的な障害攻撃に対して脆弱性が認められた。Redbellyはパケット損失攻撃で性能が低下し,Solanaは停止攻撃とリーダー隔離攻撃に対して脆弱性が認められた。
VA-DAR:サーバーレス,列挙耐性ウォレットリカバリーのためのPQC対応,ベンダーに依存しない決定論的アーティファクト解決策 [cs.CR]目的:サーバーレスウォレットのリカバリーにおける,移植性,ユーザビリティ,プライバシーのバランス確保
- ウォレットリカバリーは,デジタル資産の安全な管理において不可欠であり,利便性とセキュリティの両立が求められる。
- 従来の公開レジストリでは,識別子のハッシュ化によりメンバーシップが漏洩し,列挙攻撃のリスクが存在する。
- プライバシーを保護しつつ,安全かつ効率的なウォレットリカバリーを実現するための新しいプロトコルを提案する。
- VA-DARは,ACE-GFベースのウォレットに対し,デバイスにバインドされたパスキーによる日常的なローカルアンロックと,IDとリカバリーパスフレーズによるクロスデバイスリカバリーを提供する。
- このプロトコルは,分散型ストレージネットワークに保存されたバックアップアーティファクトを,プライバシーを保護する識別子と不変のコンテンツ識別子によってマッピングする。
- VA-DARは,ベンダーやチェーンに依存せず,公開ディレクトリに対する列挙攻撃への耐性,発見マッピングの完全性,改ざん検出機能を提供する。
スコアからボブの声を知る:話者なりすまし攻撃 [cs.CR, cs.AI]目的:話者認識システムに対するスコアベースのなりすまし攻撃
- 話者認識技術は広く普及しているが,セキュリティ上の脆弱性が存在する。
- 既存の攻撃手法は効率が悪く,多くのクエリが必要となる。
- 生成モデルの潜在空間と話者識別空間を整合させることで,効率的な攻撃を実現する。
- 提案手法はクエリ効率を大幅に改善し,既存手法と比較して10分の1程度のクエリ数で同等の成功率を達成した。
- 特に,潜在空間への投影に基づく攻撃は,わずか50回のクエリで最大91.65%の成功率を達成した。
- 本研究は,現代的な話者認識システムのロバスト性を評価するための重要なツールとなる。
量子連合学習における完全準同型暗号のコストに関する理解 [cs.CR]目的:量子連合学習における完全準同型暗号のコスト評価
- 連合学習は,プライバシーを保護しつつ機械学習モデルを分散学習する上で重要である。
- 連合学習における勾配情報の秘匿性が課題であり,情報漏洩のリスクが存在する。
- 完全準同型暗号を利用することで,連合学習におけるプライバシー保護の強化を目指す。
- 完全準同型暗号を量子連合学習に適用した場合,メモリと通信のオーバーヘッドが大きいことが示された。
- モデルのパラメータ数を削減することでオーバーヘッドを軽減できるが,分類性能の低下を招くトレードオフが存在する。
- CKKS暗号方式を用いて量子畳み込みニューラルネットワークを連合学習環境で学習させた最初の事例である。
自己教師あり学習における協調的最適化を用いた動的ステルスバックドア攻撃 [cs.CR]目的:自己教師あり学習モデルに対するステルス性の高いバックドア攻撃手法の開発
- ラベルなしデータで学習可能な自己教師あり学習は,汎化性能が高く,プライバシー保護の可能性もあるため重要。
- 既存のバックドア攻撃は,トリガーの検出容易性,特徴量の混同,分布外特性などが問題となり,攻撃効果が低下する。
- トリガーの隠蔽性と攻撃成功率を両立させ,既存の防御手法に対する耐性を高めることを目指す。
- 提案手法DSBAは,バックドアエンコーダと動的に最適化されるトリガー生成器の協調的最適化により,攻撃成功率とステルス性を大幅に向上させる。
- DSBAは,主流の自己教師あり学習アルゴリズムとデータセットにおいて,高いダウンストリームタスク精度を維持しながら,既存の防御手法よりも優れた耐性を示す。
- 損失関数の動的バランス調整と適応的重みスケジュールにより,学習の安定性を高めている。
クラケン:DNNに対する高次のEMサイドチャネル攻撃 - 近傍および遠方フィールド [cs.CR]目的:深層ニューラルネットワークのパラメータ抽出
- 機械学習モデルへの巨額投資により,モデル窃盗が重要な課題となっている。
- 既存研究はGPUの汎用CUDAコアに焦点を当てており,Tensor Coreユニットへの攻撃は未検討であった。
- Tensor Coreユニットに対する近傍フィールドでのパラメータ抽出を可能にし,遠方フィールドでの情報漏洩を調査する。
- Tensor Coreユニットに対して,相関電力解析(CPA)を用いたパラメータ抽出に成功した。
- 大規模言語モデルのハイパーパラメータや重みの漏洩が,遠方フィールド(100cm離れたガラス越し)でも観測された。
- GPUの電磁放射が,モデル情報漏洩の経路となる可能性が示唆された。
SQLインジェクション検出性能向上のためのマルチエージェントハニーポットに基づくリクエスト・レスポンスコンテキストデータセット [cs.CR]目的:SQLインジェクション検出のためのコンテキストを強化したデータセット
- Webアプリケーションの安全性確保は重要であり,SQLインジェクションは依然として大きな脅威である。
- 既存の防御策は,難読化や高度化する攻撃に対応できていない場合がある。
- リクエストとレスポンスのコンテキストを考慮することで,SQLインジェクションの検出精度向上を目指す。
- 本研究で構築したデータセットを用いて学習したモデルは,ペイロードのみのデータセットで学習したモデルと比較して,高い検出精度を達成した。
- 特に,CNNとBiLSTMは,異なるタスクにおいて40%以上の精度向上を示し,コンテキストの有効性を検証した。
- リクエスト・レスポンスのコンテキストが,進化し難読化された攻撃の検出に貢献することが示された。
LLMエージェントのための文脈的プライバシー保護 [eess.SY, cs.SY, cs.RO, cs.CR, cs.AI, cs.CL]目的:LLMエージェントにおけるプライバシー保護の改善
- LLMの利用拡大に伴い,個人情報保護の重要性が増している。
- 既存のプライバシー保護策は,静的または受動的であり,文脈に適応できない。
- 多段階エージェント実行において,能動的なプライバシー保護を実現する。
- 提案手法CDIは,実行中にステップごとに文脈を考慮したプライバシー指針を生成する。
- CDIは,強化学習を用いてインストラクターモデルを訓練し,プライバシー侵害事例から学習する。
- 実験結果から,CDIはプライバシー保護率94.2%と有用性80.6%を両立し,既存手法を上回る堅牢性を示す。
IoUCert:アンカーベース物体検出器のロバスト性検証 [cs.LG, cs.AI, cs.CR, cs.CV]目的:アンカーベース物体検出器のロバスト性検証手法
- 安全性確保が重要視される自動運転やロボティクス分野において,物体検出の信頼性向上は不可欠である。
- 既存の形式的検証手法は,複雑な座標変換やIoU指標により物体検出への適用が困難であった。
- アンカーベースの物体検出器におけるロバスト性を効率的に検証するフレームワークを開発すること。
- IoUCertは,非線形なボックス予測関数の精度劣化を回避する座標変換を提案し,IoUの最適境界を導出した。
- 本手法により,SSD,YOLOv2,YOLOv3などの実用的なモデルに対するロバスト性検証が可能となった。
- 様々な入力摂動に対して,従来の検証手法では困難であったロバスト性の保証を実現した。
RAIN:シャッフルモデルにおける差分プライバシー下での安全かつ堅牢な集約 [cs.CR]目的:差分プライバシー下での安全かつ堅牢な集約手法
- プライバシー保護学習は重要性を増しており,安全な集約はその基礎となる技術である。
- 既存手法は,悪意のある攻撃に対して脆弱であり,シャッフラーの信頼性も課題である。
- RAINは,プライバシー,堅牢性,検証可能性を両立させ,悪意のある攻撃からシステムを保護する。
- RAINは,符号空間集約を用いて,ノイズと匿名化下でも更新の一貫性を堅牢に測定し,悪意のある影響を抑制する。
- 秘密分散プロトコルにより,シャッフルと集約を効率的に行い,差分プライバシーの厳密なプライバシー保証を維持する。
- 集約結果の検証により,正しい集約と選択的な削除の検出を実現し,高い整合性を確保する。
高いプライバシー設定下では適応的手法が好ましい:確率微分方程式の視点から [cs.LG, cs.CR]目的:差分プライバシーにおける最適化の適応性と相互作用の分析
- プライバシー保護の重要性が高まる中で,差分プライバシーは大規模な機械学習において不可欠である。
- 固定されたハイパーパラメータ下では,プライバシーと精度(utility)のトレードオフが課題となる。
- プライバシーレベルに応じたハイパーパラメータの調整の容易性を実現する手法を明らかにすること。
- DP-SGDは,εに依存しない速度で$\mathcal{O}(1/\varepsilon^2)$のトレードオフで収束する。
- DP-SignSGDは,εに比例する速度で$\mathcal{O}(1/\varepsilon)$のトレードオフで収束し,高プライバシー設定下で優位性を示す。
- 最適な学習率下では両手法は同等の性能を示すが,DP-SGDの学習率はεに比例するのに対し,DP-SignSGDはほぼεに依存しない。
重力フォールズ:モバイルデバイスを標的としたスピアフィッシングにおけるDGA検出手法の比較分析 [cs.CR, cs.LG, cs.NI]目的:モバイルデバイスを標的としたスピアフィッシングにおけるDGA検出手法の性能評価
- モバイルデバイスの利用拡大に伴い,SMSスピアフィッシングによる攻撃が増加しており,その対策が急務である。
- DGA検出研究は主にマルウェアのC2やメールフィッシングに焦点を当てており,SMSスピアフィッシング特有の戦術に対する評価が不足している。
- SMSスピアフィッシングで用いられるDGA戦術の変化に対応できる検出手法を明らかにすること。
- Gravity Fallsデータセットを用いた評価の結果,ランダム文字列ドメインでは高い性能を示したが,辞書連結やテーマ型コンボスクワッティングでは性能が低下した。
- 従来のヒューリスティックや最新の機械学習ベースの検出器は,Gravity Fallsで観察されるDGA戦術の変化に一貫して対応できないことが示された。
- より文脈を考慮したアプローチの必要性が示唆され,将来の評価のための再現可能なベンチマークが提供された。
多目的量子通信ネットワークに向けて:理論からプロトコル実装へ [quant-ph, cs.CR]目的:多目的量子通信ネットワーク実現のための手法確立
- 量子通信は情報セキュリティの根幹であり,その発展は社会の安全性を高める上で不可欠である。
- 既存の量子通信ネットワークは量子鍵配送に特化しており,多様な用途への展開が課題となっている。
- 量子鍵配送ハードウェアを用いた量子秘匿転送と量子トークン実装を通じて,その課題解決を目指す。
- 量子鍵配送ハードウェア上で,量子秘匿転送と量子トークンの2つの異なるタスクの実装を実証した。
- シミュレーションと実機検証の両方が可能な開発フレームワークを構築し,実装の容易性,性能評価,大規模展開の妥当性を検証する手法を確立した。
- 確立した手法により,量子通信プロトコルの性能とセキュリティ評価が可能となり,実用化に向けた重要な一歩となった。
多者間量子鍵合意:アーキテクチャ,最新動向,および未解決問題 [quant-ph, cs.CR, math-ph, math.MP]目的:多者間量子鍵合意の設計空間
- 量子暗号は,従来の暗号技術では不可能な安全な通信を実現する重要な技術である。
- 多者間量子鍵合意は,3者以上の参加者間での鍵共有が複雑であり,効率的なプロトコルが不足している。
- 本研究は,多者間量子鍵合意の構造的分類と,将来の量子インターネットに向けた課題を明確化することを目的とする。
- 多者間量子鍵合意は,ネットワークアーキテクチャ,量子資源,およびセキュリティモデルという3つの軸で理解できることが示された。
- 既存のプロトコルを構造的なファミリーに分類し,それぞれのプロトコルが基盤とする量子資源との関係を明らかにした。
- 可変的なセキュリティモデルが公平性と共謀耐性に与える影響を分析し,今後の研究課題を提示した。
大規模言語モデルのためのトピックに基づくウォーターマーク [cs.CR, cs.CL, cs.LG]目的:大規模言語モデル生成テキストへの検出可能な署名の埋め込み
- AI生成テキストの悪用やモデル学習への影響が懸念されており,識別技術の重要性が高まっている。
- 既存のウォーターマーク手法は,堅牢性,生成品質,導入の容易さのバランスが課題となっている。
- トピックに着目し,堅牢性と生成品質を両立する軽量なウォーターマーク手法を開発する。
- 提案手法は,主要なLLMとベンチマークにおいて,業界最先端システムと同等のテキスト品質を達成した。
- 言い換えや語彙的摂動に対するウォーターマークの堅牢性を向上させ,オーバーヘッドを最小限に抑えた。
- 標準的なテキスト生成パイプラインへの組み込みが容易であり,AI生成コンテンツのグローバルなウォーターマークへの道を開く。
プラグアンドハイド:検証可能かつ調整可能な拡散生成ステガノグラフィ [cs.HC, cs.CR]目的:拡散モデルを用いた生成型画像ステガノグラフィにおける,画像品質,セキュリティ,抽出信頼性のトレードオフの解消
- デジタルコンテンツの保護は重要であり,情報隠蔽技術はその鍵となる。
- 既存のステガノグラフィ技術は,埋め込み容量や耐妨害性において課題がある。
- 拡散モデルの潜在能力を活用し,高品質かつ安全な情報隠蔽を実現する。
- 本研究では,任意のビット列をガウスノイズに可逆的にエンコードする「PA-B2G」を提案した。
- PA-B2Gは,画像品質,セキュリティ,抽出精度を細かく制御することを可能にする。
- 実験により,提案手法が様々なペイロードに対応し,高い画像品質とセキュリティを両立することを確認した。
逐次推薦システムに対する少数事例モデル抽出攻撃 [cs.LG, cs.CR, cs.IR]目的:逐次推薦モデルに対する少数事例モデル抽出手法の開発
- 推薦システムは,多様な情報から有用なものを提示する重要な技術である。
- モデル抽出攻撃は,知識なしにモデルを複製する脅威であり対策が重要である。
- 少数データでの高品質なサロゲートモデル構築が課題となっていた。
- 提案手法は,自己回帰的データ拡張と双方向修正損失を用いた新しいフレームワークである。
- データ分布を近似する合成データ生成と,予測誤差の修正により,サロゲートモデルの精度を向上させた。
- 3つのデータセットを用いた実験で,提案手法が優れたサロゲートモデルを生成することを示した。
AttackSeqBench:攻撃シーケンス理解におけるLLMの能力のベンチマーク [cs.CR, cs.AI]目的:攻撃シーケンス理解に関するLLMの能力評価
- サイバー脅威インテリジェンスは,セキュリティ対策の計画,対応,検出に不可欠である。
- サイバー脅威インテリジェンス報告書は非構造化であり,手動での分析が困難である。
- LLMを活用したサイバー脅威インテリジェンス報告書の理解を促進することを目的とする。
- 本研究では,攻撃シーケンス理解の評価ベンチマークであるAttackSeqBenchを開発した。
- 7つのLLM,5つのLRM,4つの後学習戦略について,ベンチマーク設定とタスクにおける能力を評価した。
- その結果,LLMの強みと限界を特定し,サイバーセキュリティ運用への応用を促進する知見を得た。
レンズを通してのドクシング:マルチモーダル大規模推論モデルにおける位置情報関連プライバシー漏洩の解明 [cs.CR, cs.AI]目的:マルチモーダル大規模推論モデルにおける位置情報関連プライバシー漏洩のリスクの特定と評価
- 近年のマルチモーダル大規模モデルの進化は目覚ましいが,プライバシー保護の観点からは未解明なリスクが存在する。
- ユーザーが生成した画像から,意図せず機密性の高い位置情報(住所など)が推測される可能性がある。
- 大規模モデルによる位置情報推測のメカニズムを解明し,プライバシー侵害のリスクを軽減することを目指す。
- マルチモーダル大規模モデルは,人間よりも高い精度で位置情報を推測でき,プライバシー漏洩のリスクが高いことが示された。
- モデルが位置情報推測に利用する主な要因は,視覚的な手がかりと内部の知識を活用する強力な推論能力である。
- GeoMinerという攻撃フレームワークによって,位置情報推測のプロセスを段階的に分解し,攻撃の有効性を高めることができた。
多エージェント協調システムのプライバシーポリシー強制検証パラダイム:Maris [cs.CR]目的:多エージェント協調システムにおけるプライバシー保護
- LLMを活用した協調システムは複雑な問題を解決するが,情報漏洩リスクが課題。
- 既存システムは詳細なデータ保護制御が不足しており,安全な情報管理が困難。
- Marisは,メッセージフロー制御による情報漏洩リスクの軽減を目指す。
- Marisは,主要な会話コンポーネントに参照モニターを埋め込むことで,厳密なメッセージフロー制御を実現。
- AutoGenおよびLangChainにMarisを組み込み,プライバシー評価フレームワークを用いて評価を実施。
- 3つのタスクスイートにおいて,情報漏洩を効果的に抑制しつつ,高いタスク成功率を維持。
LiteLMGuard:量子化によるリスクと脆弱性から小型言語モデルを保護するためのシームレスかつ軽量なオンデバイスプロンプトフィルタリング [cs.CR, cs.LG]目的:量子化された小型言語モデルに対するリアルタイムなプロンプトレベルの防御
- LLMの普及により,プライバシー保護や低遅延化のため,エッジデバイスでのSLM活用が重要になっている。
- SLMの量子化はサイズ最適化に寄与する一方で,倫理的・プライバシーリスクを招く可能性がある。
- 有害なクエリへの直接応答を防ぎ,SLMの安全性と信頼性を確保することを目的とする。
- LiteLMGuardは,セマンティック理解を用いてプロンプトの応答可能性を分類する,DLベースのプロンプトフィルタリングを形式化する。
- Answerable-or-Notデータセットを用いて,97.75%の応答可能性分類精度を達成した。
- オンデバイス展開により,有害なプロンプトに対する85%以上の防御率,94%のフィルタリング精度,約135msの平均レイテンシを実現した。
標準なきウォーターマーキングはAIガバナンスとなり得ない [cs.CR]目的:生成AIコンテンツの帰属に関する技術的提案としてのウォーターマーキングの実効性に関する検討
- 生成AIの急速な発展に伴い,生成されたコンテンツの識別と責任追跡が不可欠となっている。
- 既存のウォーターマーキング技術には,監査可能性や堅牢性に課題があり,規制要件を満たせていない。
- ウォーターマーキングを有効なガバナンス手段とするため,技術標準,監査基盤,執行メカニズムの確立を目指す。
- 現在のウォーターマーキング実装は,実質的な監督よりも象徴的な遵守に陥るリスクがあることが示された。
- インセンティブ構造が,堅牢で監査可能なウォーターマーキングの導入を妨げている実態が明らかになった。
- ウォーターマーキングをガバナンス目標に合致させるには,強制的な要件と独立した検証が不可欠である。
BitBypass: ビットストリームカモフラージュによるアラインメントされた大規模言語モデルの脱獄における新たな方向性 [cs.CR, cs.CL]目的:大規模言語モデルの脱獄手法
- 大規模言語モデルの安全性確保は重要であり,有害なコンテンツ生成リスクの低減が求められている。
- 既存の安全性アラインメントは,未探索の脆弱性を突く攻撃に対して脆弱である。
- 本研究は,ビットストリームカモフラージュを用いた新たな脱獄手法によって,その脆弱性を克服することを目指す。
- 本研究で開発したBitBypassは,GPT-4o,Gemini 1.5,Claude 3.5,Llama 3.1,Mixtralといった最先端の大規模言語モデルの安全性アラインメントをバイパスすることに成功した。
- BitBypassは,プロンプトエンジニアリングや敵対的操作に頼らず,データ表現の根源的な部分に着目した新たな脱獄アプローチである。
- 実験の結果,BitBypassは既存の脱獄攻撃よりもステルス性が高く,攻撃成功率も高いことが示された。
個人データと変化する脅威状況に関する基礎的理解に基づくプライバシーリスク予測 [cs.LG, cs.CR, cs.SI]目的:個人データのプライバシーリスク予測
- 個人情報保護は重要であり,そのリスク理解が不可欠である。
- 個人情報漏洩時の影響や頻度に関する体系的な分析が不足している。
- 個人情報漏洩の連鎖的な広がりを予測し,リスク軽減に貢献する。
- 5,000件以上の事例分析から,個人データ漏洩の種類,頻度,影響を特定した。
- 個人識別情報(PII)間の関連性をグラフ構造でモデル化する「Identity Ecosystem」を構築した。
- グラフ理論とグラフニューラルネットワークを用いて,プライバシーリスク予測フレームワークを開発し,有効性を確認した。
量子脅威の地図化:暗号依存性のエンジニアリング調査 [cs.CR]目的:量子脅威に対する暗号依存性の体系的調査
- 情報セキュリティにおいて暗号技術は不可欠であり,その脆弱性は重大なリスクとなる。
- 既存の公開鍵暗号は,将来的な量子コンピュータによる解読の脅威にさらされている。
- 現代のデジタル生態系における量子関連リスクへの体系的な露出特定を可能にすること。
- 本研究では,量子脆弱性のある非対称暗号に依存する技術のエンジニアリング調査を行った。
- 技術領域と運用環境という2つの軸で分析を行い,暗号プリミティブと実際の展開状況を結びつけた。
- その結果,現代のデジタルエコシステムにおける量子関連リスクへの曝露を特定するための構造化された枠組みが提供された。
あらゆる言語モデルは改ざん防止署名を持つ [cs.CR, cs.AI]目的:言語モデルの署名としての幾何学的制約の利用
- API経由で利用可能な言語モデルが普及し,モデルの特定や詳細情報の抽出が重要になっている。
- 既存の手法では,モデルの出力から正確な識別が難しく,偽装のリスクが存在する。
- 言語モデル出力が持つ楕円幾何学的制約を利用し,改ざん困難な署名による識別を可能にする。
- 言語モデルの出力は高次元楕円上に存在するという制約が,モデルの署名として機能することが示された。
- この楕円署名は,既存の手法と異なり,改ざんが極めて困難であり,自然に存在する。
- 出力検証プロトコルを提案し,暗号学的メッセージ認証システムとの類似性を示した。
安全な疎行列乗算とプライバシー保護機械学習への応用 [cs.CR, cs.LG]目的:プライバシー保護機械学習における疎行列乗算の効率化
- 機械学習は重要性が増しているが,データプライバシー保護が課題となっている。
- 多者計算では疎行列演算の最適化が不足しており,効率的な処理が困難である。
- この研究は,疎行列乗算の効率化により,プライバシー保護機械学習の実用化を目指す。
- 秘密分散された疎行列の乗算のための専用の多者計算アルゴリズムを提案した。
- 提案アルゴリズムは,メモリ使用量と通信コストを大幅に削減できることが示された。
- 実世界の疎行列の特性に基づき,公開情報の最小化を実現する技術を開発した。
WARP:攻撃に耐性のあるアンラーニングプロトコルにおける重み転送 [cs.LG, cs.AI, cs.CR]目的:近似機械アンラーニングにおけるプライバシー保護
- 機械学習モデルのプライバシー保護は重要であり,特にデータ削除時の情報漏洩を防ぐ必要がある。
- 既存のアンラーニング手法は,モデルの差分からメンバーシップ推論やデータ再構築攻撃に脆弱である。
- WARPは,勾配エネルギーの削減とパラメータ分散の拡大により,アンラーニング攻撃に対する耐性を向上させる。
- 本研究で提案するWARPは,アンラーニング時のプライバシー保護を強化し,攻撃者の優位性を大幅に低減する。
- ブラックボックス環境で最大64%,ホワイトボックス環境で最大92%まで,攻撃者のAUCを減少させる効果が確認された。
- WARPは,保持されたデータに対する精度を維持しながら,近似アンラーニングにおける攻撃成功を抑制する汎用的なツールとなる。
実環境におけるペネトレーションテストでのAIエージェントとサイバーセキュリティ専門家の比較 [cs.CL, cs.CL, cs.DC, cs.AI, cs.CR, cs.CY]目的:AIエージェントとサイバーセキュリティ専門家の性能比較
- サイバー攻撃の巧妙化により,高度なセキュリティ対策が不可欠となっている。
- 熟練したセキュリティ専門家が不足しており,効率的な評価手法が求められている。
- AIエージェントによる自動化が,セキュリティ評価の効率化に貢献しうる。
- ARTEMISは全体で2位となり,9つの有効な脆弱性を発見し,82%の正当な提出率を示した。
- ARTEMISは,既存のAIフレームワークと比較して,より高度な技術と提出品質を実現した。
- AIエージェントは体系的な列挙,並列実行,コスト面で優位性がある一方,誤検知率が高く,GUIタスクに弱い。
ゼロパーミッション操作:大規模マルチモーダルモデル搭載GUIエージェントは信頼できるか [cs.CR, cs.AI, cs.SE]目的:大規模マルチモーダルモデル搭載GUIエージェントのセキュリティ脆弱性
- モバイルプラットフォームにおけるGUI自動化の需要が高まっており,エージェントの信頼性が重要である。
- 現在のGUIエージェントは,UI状態の不変性を前提としているが,実際にはその前提が成り立たない場合がある。
- UI状態の変化を利用した攻撃からエージェントを保護し,安全なGUI自動化を実現すること。
- Androidシステムにおいて,エージェントの実行を別のアプリに再バインドする「アクションリバインディング」攻撃が可能であることが示された。
- この攻撃は,危険な権限を一切必要とせず,マルウェアスキャナによる検出を回避できることが確認された。
- 「インテントアライメント戦略」により,確認ダイアログなどの検証ゲートをバイパスする成功率が大幅に向上した。
AutoGenを用いたマルチエージェントによる多層的ランサムウェア分析 [cs.CR, cs.AI, cs.LG]目的:ランサムウェアの分類
- ランサムウェアは世界的に深刻なサイバー脅威であり,甚大な経済的損失や業務停止を引き起こしている。
- 従来の静的解析,ヒューリスティックスキャン,動的解析などの手法は単独では十分な検出性能を発揮できない場合がある。
- 静的,動的,ネットワーク情報源を組み合わせることで,より高精度なランサムウェア分類を目指す。
- 提案手法は,大規模なランサムウェアデータセットにおいて,単一のモダリティや非適応的融合ベースラインを上回り,ファミリー分類のMacro-F1を最大0.936改善した。
- エージェント間のフィードバックループは100エポック以上で安定した単調収束を示し,エージェント品質を0.75以上絶対的に向上させ,最終的な総合スコアは約0.88となった。
- ゼロデイランサムウェアの検出は多形性やモダリティの撹乱に依存するものの,信頼性のある実世界での展開を可能にする信頼度に基づいた棄権メカニズムを備えている。
zkCraft:プロンプト駆動LLMによるゼロショット変異パターンオラクルとTCCTを活用したZKファジング [cs.DM, math.OC, cs.CR, cs.SE]目的:ゼロ知識回路における意味的整合性の検出
- ゼロ知識回路はプライバシー保護とスケーラビリティを実現するが,実装の正確性が課題である。
- 証人計算と回路制約の密接な結合により,回路の誤りの検出が困難である。
- LLMを活用し,効率的な変異パターン探索と誤りの検出を目指す。
- zkCraftは,決定論的なR1CS対応ローカリゼーションと証明付き探索を組み合わせることで,意味的整合性を検出する。
- 制約編集候補をRow-Vortex多項式にエンコードし,検証用IOPを用いることで,ソルバーとのコストのかかるインタラクションを削減する。
- LLM駆動の変異テンプレートにより,エッジケースへの探索を誘導し,誤検出を抑制する。
テキスト画像生成モデルに対する意味レベルのバックドア攻撃 [cs.CR, cs.AI]目的:テキスト画像生成モデルへのバックドア攻撃手法
- 画像生成AIの安全性確保は,社会実装において不可欠である。
- 既存の攻撃は検出しやすく,防御機構で対処しやすい。
- 意味的な類似性を持つ多様な入力にも有効な攻撃手法を開発する。
- 本研究では,離散的なテキストパターンではなく,連続的な意味領域をトリガーとする意味レベルのバックドア攻撃SemBDを提案する。
- SemBDは,クロスアテンション層のキーとバリュー射影行列の蒸留ベース編集により,意味的に同一のプロンプトでバックドアを確実に起動する。
- さらに,意味的な正則化とマルチエンティティバックドアターゲットにより,隠蔽性を高め,最新の入力レベル防御に対して100%の攻撃成功率を達成する。
文脈化されたNetFlowベースのネットワーク侵入検知:手法,データ,評価,および展開 [cs.CR]目的:ネットワーク侵入検知のための深層学習手法に関する研究
- ネットワークセキュリティの重要性が高まる中,侵入検知技術の精度向上が求められている。
- 従来の侵入検知システムは,暗号化の普及により可視性が低下している。
- 攻撃が複数のフローに分散する場合でも検知可能な,文脈を考慮した手法が課題である。
- 近年の研究は,時間的文脈,グラフ構造,多Modal文脈,多解像度文脈といった,文脈を考慮した深層学習に焦点を当てている。
- 評価においては,時間的漏洩やデータ分割の不備など,結果を歪める可能性のある要因を厳密に検証する必要がある。
- 実運用における制約(ストリーミング状態管理,メモリ増加,遅延,モデル圧縮など)も考慮し,文脈を考慮することで検知精度が向上しうる。
- 1