arXiv雑要約
セキュリティ - 2026/03/16 公開
プロンプトインジェクション:役割の混同 [cs.CL, cs.AI, cs.CR]目的:プロンプトインジェクション攻撃に対する脆弱性の原因の解明
- 大規模言語モデルの安全性確保は,その社会実装において不可欠である。
- 言語モデルは安全対策が施されているにも関わらず,プロンプトインジェクション攻撃に依然として脆弱である。
- 言語モデルにおける役割認識のメカニズムを明らかにすることで,プロンプトインジェクション攻撃への対策を可能にすること。
- 言語モデルは,テキストの内容から役割を推測しており,その情報源を考慮しないことが脆弱性の根本原因である。
- 役割を模倣した悪意のあるテキストが,本来持つべき権限を不正に取得することが,攻撃成功の鍵となる。
- 内部的な役割の混同度合いは,生成開始前に攻撃の成功率を予測する上で有効な指標となることが示された。
React2Shellの悪用状況のインターネット規模での測定:アクティブネットワーク望遠鏡による調査 [cs.CR, cs.NI]目的:React2Shell脆弱性を利用した攻撃活動のインターネット規模での測定と分析
- サーバサイドのコンポーネントベースWebフレームワークの普及に伴い,新たな攻撃対象領域が生じており,その実態把握が重要である。
- React2Shellのような重大な脆弱性が公開された後も,インターネット全体での悪用状況に関する実証的な理解が不足している。
- アクティブネットワーク望遠鏡を用いてReact2Shellの悪用を検出し,その時間的,地理的分布,および攻撃者のインフラを明らかにすること。
- React Server Componentsの脆弱性(CVE-2025-55182)に対する悪用活動をインターネット規模で測定し,自動化されたスキャンキャンペーンの存在を示した。
- 攻撃元は地理的に分散しており,バックエンドインフラも集中している傾向が確認された。
- 本研究は,React2Shell悪用に関連するスキャン活動の規模,攻撃元の分布,関与するインフラストラクチャについて初めての定量的な分析を提供している。
SpectralGuard:状態空間モデルにおけるメモリ崩壊攻撃の検出 [cs.LG, cs.CR]目的:状態空間モデルにおけるメモリ崩壊攻撃の検出手法
- 近年の言語モデルは,長い系列データを効率的に処理するため,状態空間モデルが注目されている。
- 状態空間モデルの再帰的メカニズムは,悪意のある入力によってメモリが失われる脆弱性を抱えている。
- 出力のみの防御では回避可能な,モデル内部の状態を監視することで安全性を確保すること。
- SpectralGuardは,モデルの各層におけるスペクトル安定性をリアルタイムで監視する。
- 非適応攻撃者に対してF1=0.961,最も強力な適応設定下でもF1=0.842の精度を達成し,トークンあたりの遅延は15ms未満。
- 因果介入とクロスアーキテクチャ転送により,スペクトル監視が再帰的な基盤モデルの安全層として機能することが確認された。
DiscoRD:実DRAMチップの信頼性のある読み込み妨害閾値を迅速に発見するための実験手法 [cs.AR, cs.CR]目的:DRAMチップにおける読み込み妨害閾値の迅速な特定
- DRAMの信頼性確保は,高性能コンピューティングにおいて不可欠であり,そのための技術開発が求められている。
- DRAMの読み込み妨害閾値の正確な特性評価は,時間と労力を要するプロセスである。
- 本研究は,DRAMの読み込み妨害閾値を迅速かつ正確に特定する手法を開発し,安全で効率的なシステム構築に貢献する。
- 実DRAMチップを用いた大規模な実験により,読み込み妨害ビットフリップの経験的モデルを構築した。
- 最小の読み込み妨害閾値一つを用いた構成では,ECCだけでは訂正不能なエラー確率が高いことが示された。
- ECC,メモリスクラブ,可変的な読み込み妨害軽減機構を組み合わせることで,エラー確率を大幅に低減できることが確認された。
セキュリティ指標と主要リスク指標のギャップを埋める:脆弱性優先度付けのための経験的フレームワーク [cs.CR, cs.LG]目的:脆弱性優先度付けのためのフレームワーク
- サイバー攻撃の高度化に伴い,リスクに基づいた脆弱性管理が重要になっている。
- CVSSスコアは広く利用されているが,実世界の攻撃データに対する予測精度が低い。
- リスク指標を用いて,脆弱性の影響と露出を考慮した優先度付けを可能にすること。
- 提案するKRIフレームワークは,ROC-AUC 0.927,AUPRC 0.223を達成し,CVSS (0.747, 0.011)を大きく上回った。
- EPSS単独ではAUPRC 0.365を達成したが,KRIは影響と露出を考慮することで,よりリスクに基づいた優先度付けを実現した。
- KRIは,上位500件の脆弱性において,EPSSより8.7%多くのインパクトをカバーし,重大な脆弱性の検出率も高かった。
AIを用いたサイバーリスク管理の運用:サイバーインシデントとMITRE ATT&CKテクニック,セキュリティコントロール,メトリクスの関連付け [cs.CL, cs.CR, cs.AI]目的:サイバーインシデントをアドバーサリーテクニックに自動的にマッピングするための新たなフレームワーク
- サイバー攻撃の頻度増加は組織にとって大きな課題であり,特にリソースの限られた中小企業への影響が大きい。
- 中小企業は,社内専門知識,知識,財源の不足により,効果的なサイバーリスク管理が困難である。
- 脅威インテリジェンスと具体的な対策を結び付け,体系的なインシデント対応と証拠に基づいたリスク管理を可能にする。
- 自然言語処理を活用し,サイバーインシデントとMITRE ATT&CKテクニック間の関連性を高めるモデルを開発した。
- 学習済みのモデルは,Spearman相関係数0.7894,Pearson相関係数0.8756を達成し,既存モデルを大幅に上回る性能を示した。
- MAE=0.135,MSE=0.027という予測誤差は,ベースラインモデルと比較して有意に低く,高い精度と一貫性が確認された。
大規模な環境におけるcuFuzzを用いたCUDAバグの検出 [cs.CR, cs.SE]目的:CUDAプログラムにおけるメモリ安全と並行性のバグの検出
- 現代ソフトウェアにおいてGPUの役割は重要であり,そのテストは不可欠である。
- 静的解析では検出が困難な,GPU特有のバグが潜在している。
- 従来のGPUファジングの課題を克服し,実用的なファジング環境を構築する。
- cuFuzzは,カーネルレベルの誤検出を回避するため,プログラム全体を対象としたファジングを行う。
- デバイス側のカバレッジ計測にNVBitを活用し,ホスト側のカバレッジと統合することで,効率的なファジングを実現した。
- 14のCUDAプログラムから43個の未知のバグを発見し,商用ライブラリにおける問題も明らかにした。
玄関マットの鍵:ウェブ上のAPI認証情報漏洩 [cs.CR, cs.CY, cs.HC, cs.NI]目的:ウェブ上のAPI認証情報漏洩の実態把握
- 現代のIT環境においてAPIは不可欠であり,機能拡張や外部サービスとの連携を可能とする。
- APIキー等の認証情報漏洩は,組織に重大な損害をもたらすリスクが存在する。
- ウェブ上における認証情報漏洩の実態を明らかにし,対策に資することを目的とする。
- 1000万ページ以上のウェブページを分析した結果,API認証情報が広範囲に公開されていることが判明した。
- グローバル銀行やファームウェア開発者のウェブページなど,影響が大きいサイトにも漏洩が見られた。
- 14のサービスプロバイダから1,748個の認証情報を特定し,JavaScript環境が主な原因であることが示唆された。
RTD-Guard:置換トークン検出によるブラックボックス敵対的テキスト検出フレームワーク [cs.CL, cs.CR]目的:敵対的テキスト例の検出
- 自然言語処理システムのセキュリティ確保は重要であり,敵対的攻撃からの保護が不可欠である。
- 既存の検出手法は,攻撃に関する事前知識やモデルへのアクセスを必要とし,実用性に課題がある。
- 本研究は,事前知識やモデルアクセスを必要としない,実用的な敵対的テキスト検出を目指す。
- RTD-Guardは,敵対的攻撃における単語置換と,置換トークン検出器(RTD)が識別するトークンとの類似性に着目した。
- RTD-Guardは,既存のRTD識別器を利用し,モデルの予測確信度変化を観測することで,敵対的なテキストを検出する。
- 実験結果から,RTD-Guardは多様な攻撃に対して高い検出性能を示し,効率的かつリソース消費の少ない防御機構であることが示された。
ChainFuzzer:LLMエージェントにおけるワークフローレベルのマルチツール脆弱性に対するグレイボックスファジング [cs.SE, cs.CR]目的:LLMエージェントにおけるマルチツール脆弱性の発見と再現
- LLMエージェントの利用拡大に伴い,セキュリティリスクの評価が不可欠となっている。
- 従来の脆弱性検出手法では,複数のツールを組み合わせた複雑なワークフローにおける脆弱性を見つけにくい。
- ツール間のデータフローを考慮した,より効果的な脆弱性検出手法を開発すること。
- ChainFuzzerは,ツール間の依存関係に基づき,脆弱性を引き起こす可能性のあるツールチェーンを特定する。
- Trace-guided Prompt Solving (TPS)を用いて,安定したプロンプトを生成し,エージェントが対象のチェーンを実行するように誘導する。
- LLMのガードレールを考慮したファジングにより,ペイロード変異とシンク固有のオラクルを用いて脆弱性を再現する。
AEGIS:ツールの呼び出しを見逃さない - AIエージェントのための実行前ファイアウォールと監査層 [cs.HC, cs.CR]目的:AIエージェントのツール呼び出しの安全性を確保するための,実行前ファイアウォールおよび監査層
- AIエージェントの利用拡大に伴い,外部ツールとの連携が不可欠となっている。
- 既存のシステムでは,ツール呼び出しに対する制御点が不足しており,悪意のある操作を防ぐのが困難である。
- AIエージェントのツール呼び出しを事前に検証し,セキュリティリスクを軽減すること。
- AEGISは,ツール呼び出しパスに介入し,引数の抽出,リスクスキャン,ポリシー検証を行う3段階のパイプラインを適用する。
- 48件の攻撃事例に対し,実行前に全てをブロックし,500件の良質な呼び出しでは1.2%の誤検知率を示した。
- 実装は軽量であり,Python, JavaScript, Goを含む14のフレームワークをサポートし,遅延も8.3msと低い。
ExpanderGraph-128:形式的セキュリティ分析とハードウェア実装を伴う新しいグラフ理論的ブロック暗号 [cs.CR, cs.AR, cs.DS]目的:グラフ理論に基づく新しいブロック暗号ExpanderGraph-128の設計とその安全性評価
- 軽量暗号は,IoT機器等のリソース制約のある環境において不可欠であり,低消費電力・高速処理が求められる。
- 既存の暗号設計は,個々の構成要素の複雑さに依存する傾向があり,構造的な拡散性に着目したアプローチは少ない。
- エクスパンダーグラフの疎な接続性を活用し,拡散性とセキュリティを確保する新しい暗号設計手法を確立する。
- ExpanderGraph-128は,20ラウンドのバランス型Feistelネットワークであり,各ラウンドで3-正則エクスパンダーグラフに基づいた非線形変換を行う。
- MILPを用いた差分解析により,10ラウンドまで最適解が証明され,147.3ビットの差分セキュリティが示され,全ラウンドでは413ビット以上と推定される。
- FPGA実装では261Mbpsを達成し,ARM Cortex-M4Fソフトウェア実装では25.8KBのフラッシュと1.66ms/暗号化で動作する。
自律エージェントにおけるセキュリティ脅威の解明と防御アーキテクチャの構築:OpenClawの事例研究 [cs.NI, cs.CR]目的:自律エージェントのセキュリティ脅威とその防御アーキテクチャ
- LLMを搭載した自律エージェントの普及により,サイバーセキュリティの状況が大きく変化している。
- 従来のコンテンツフィルタリングでは,エージェントのOSレベルの権限と自律的なワークフロー実行に対応できない。
- エージェントのライフサイクル全体にわたるセキュリティアーキテクチャを提案し,信頼性を向上させる。
- OpenClawエコシステムのセキュリティ分析を行い,プロンプトインジェクションによるRCEやサプライチェーン汚染などの脆弱性を特定した。
- 自律エージェントの脆弱性を,AI認知,ソフトウェア実行,情報システムの3層で分類するリスク分類体系を提案した。
- ゼロトラストなエージェント実行,動的な意図検証,レイヤー間の推論・行動相関を特徴とするFASAアーキテクチャを提示した。
ニューラル構造難読化はホワイトボックスウォーターマークを完全に無効化できない理由 [cs.CR]目的:ニューラル構造難読化(NSO)による影響からのウォーターマーク復旧
- 深層学習モデルの知的財産保護が重要視されているため,ウォーターマーク技術の信頼性が不可欠である。
- 既存のホワイトボックスウォーターマークは,NSOのような構造編集攻撃に対して脆弱であることが課題となっていた。
- NSOによる構造的変化を考慮した一貫性制約を適用し,ウォーターマークの検証可能性を復元することを目指す。
- 提案手法Canonは,攻撃されたモデルを解析し,冗長なチャネルを特定して,ネットワーク全体を再構築することにより,ウォーターマークを確実に復元する。
- 強力な複合攻撃を含む様々なNSO攻撃下でも,Canonは100%の復旧成功率を達成し,タスクの性能を維持する。
- NSOをグラフ整合性脅威モデルとして再定義し,producer-consumerの関係を考慮した新しい復旧フレームワークを提示した。
共謀LoRA: LLM安全アラインメントへの複合攻撃 [cs.CR, cs.LG]目的:LLMの安全アラインメントを損なう複合攻撃手法
- LLMの安全性確保は,その社会実装において不可欠であり,悪意ある利用を防ぐ上で重要である。
- 既存の防御システムは,LoRAモジュールの組み合わせを考慮しておらず,攻撃の組み合わせによる脆弱性が存在する。
- 本研究は,モジュール単体の検証を超え,組み合わせを考慮した防御システムの開発を目指す。
- CoLoRAは,個々のLoRAモジュールは無害に見えながら,組み合わせることで安全性が著しく低下する攻撃である。
- 特定のLoRAモジュール群を読み込むと,有害な要求に応じるようになり,従来のトリガーやプロンプトに依存しない。
- 複数のオープンウェイトLLMにおいて,CoLoRAは高い攻撃成功率を示し,モジュール型LLMサプライチェーンのセキュリティ強化の必要性を示唆する。
拡散モデルにおける意味的潜在的注入:画像ウォーターマーキングのための区画化埋め込み [cs.CV, cs.CR, cs.LG]目的:画像出所の検証可能性向上
- デジタルコンテンツの改ざん防止は,信頼性の確保において不可欠である。
- 従来のウォーターマークは,改ざんや攻撃に対して脆弱な場合がある。
- 意味情報を活用し,局所的な改ざん検出と特定を可能にすることを目指す。
- 提案手法SLICEは,画像の意味要素を4つの要因に分離し,ガウスノイズの異なる領域に精密に固定する。
- これにより,局所的な意味的編集に対する耐性を高め,改ざんの検出と局所化を可能にする。
- 実験結果から,SLICEは既存手法と比較して,高度な意味的再生成攻撃に対して優れた性能を示す。
FoSAM:アドホックネットワークにおける前方秘匿メッセージング [cs.CR]目的:アドホックネットワークにおける前方秘匿メッセージングの実現
- 通信インフラが制限された状況下での安全な情報伝達は,人権擁護や市民活動において極めて重要である。
- 既存のアドホックネットワークアプリは,前方秘匿性を備えておらず,デバイスの押収により過去の通信内容が漏洩するリスクがある。
- 本研究は,信頼性の低いアドホックネットワークにおいても,前方秘匿性と匿名性を保証するメッセージングプロトコルを確立する。
- FoSAMは,受信者の公開鍵のみを用いて通信を実現する初のプロトコルである。
- 大規模シミュレーションの結果,FoSAMは92%から99%のメッセージ配信成功率を達成した。
- Android向けFoSAMプロトタイプの開発も完了している。
プライベートニューラル推論における優先入力のためのほぼ無料のキュージャンプ [cs.RO, cs.RO, cs.RO, cs.CR]目的:プライバシー保護ニューラル推論における効率的な優先処理機構
- 機械学習の利用拡大に伴い,プライバシー保護技術の重要性が高まっている。
- 既存のプライバシー保護推論システムは,バッチ処理の逐次処理に制限され,緊急リクエストへの対応が難しい。
- 本研究は,システム全体の性能劣化なく,プライバシー保護下での優先キュージャンプを実現することを目指す。
- 提案手法PrivQJは,入力間の計算共有とインプロセススロットリサイクルにより,ほぼゼロの追加コストで優先処理を実現する。
- 理論的分析と実験結果から,PrivQJは最先端のPP-MLaaSシステムと比較して,オーバーヘッドを1桁以上削減できることが示された。
- PrivQJは,プライバシー保護推論システムにおける緊急リクエストへの迅速な対応を可能にする。
適応型認証エンジニアリングのための要件ベースフレームワーク [cs.CL, cs.RO, cs.CR, cs.SE]目的:適応型認証システムのエンジニアリングに関するフレームワーク
- IoT等の動的環境では,状況に応じたセキュリティリスクの変化に対応する必要がある。
- 既存システムは,状況要因,要件,認証手法の表現や,それらの影響評価が不十分である。
- 状況変化やセキュリティリスクに対応した効果的な認証手法の選択を支援すること。
- 本フレームワークは,状況目標モデルを用いて要件とセキュリティリスクへの影響を表現する。
- 拡張特徴モデルにより,認証手法と要件充足への影響を表現し,状況変化に応じて最適な手法を選択する。
- IoVやヘルスケア分野での実世界シナリオへの適用により,有効性が示された。
テスト時注意浄化によるバックドア埋め込み大規模視覚言語モデルの防御 [cs.CV, cs.CR]目的:大規模視覚言語モデルへのバックドア攻撃に対する防御
- 視覚と言語を組み合わせたモデルの性能は高いが,悪意のある攻撃に脆弱であるという課題がある。
- 既存の防御法は再学習が必要であり,計算コストが高い上にモデル性能を低下させる可能性がある。
- テスト時に注意メカニズムを操作することで,再学習なしにバックドア攻撃を効果的に防御することを目指す。
- 本研究では,バックドア攻撃が視覚的なパターンではなく,視覚とテキスト間の注意の再分配を通じて予測に影響を与えることを明らかにした。
- 提案手法CleanSightは,入力画像中の注意を奪う視覚トークンを特定し,それらを削除することでバックドア攻撃を中和する。
- 実験の結果,CleanSightは既存手法よりも高い防御性能を示し,クリーンなデータと汚染されたデータ両方でモデルの性能を維持した。
負債証明の共謀緩和 [cs.CR]目的:負債証明における共謀攻撃の軽減
- 暗号通貨取引所における信頼性の向上は,健全な市場発展に不可欠である。
- 既存の負債証明方式は,取引所と利用者の共謀攻撃に対して脆弱である。
- 利用者の協力なしに,取引所の不正行為を検出できる仕組みの構築。
- 本研究では,Permissioned PoLという新しいモデルを提案し,共謀攻撃への耐性を高めた。
- Permissioned Vector Commitment(PVC)という新たな仕組みにより,利用者が署名した値のみを含むことを保証する。
- プロトタイプ実装により,セキュリティ強化とサーバーパフォーマンスの向上(最大10倍)を確認した。
FraudFox:現実世界における適応的な不正検知 [cs.RO, cs.SY, eess.SY, cs.CR, cs.LG]目的:資源制約下における敵対的攻撃への対策
- オンライン不正検知は,Eコマースなどのビジネスにおいて損失を最小限に抑える上で不可欠である。
- 不正行為者は検知システムを回避するために手口を変化させるため,既存のシステムは常に陳腐化する恐れがある。
- 変化する不正行為者の手口に適応し,効率的な不正検知を実現する手法が求められている。
- 提案手法FraudFoxは,複数のリスク評価モジュール(oracle)からの情報を統合し,動的に重みを調整することで,不正な取引を検知する。
- 過去のデータとビジネス上の制約(調査リソース,損失許容額など)に基づいて,最適な意思決定境界を導き出し,パレート最適解を算出する。
- FraudFoxは,不正行為者の行動変化に適応し,スケーラブルで効果的であり,Amazonで実運用されている。
PISmith:プロンプトインジェクション対策のための強化学習ベースの敵対的テスト [cs.LG, cs.CR]目的:プロンプトインジェクション防御の評価
- 大規模言語モデル(LLM)の応用拡大に伴い,そのセキュリティリスクの評価が不可欠となっている。
- 既存の防御手法は,適応的な攻撃に対する堅牢性が十分に検証されていない場合がある。
- 本研究は,適応的な攻撃を自動的に生成し,防御手法の脆弱性を明らかにすることを目指す。
- PISmithは,強化学習を用いて,実用的なブラックボックス環境下で効果的な攻撃プロンプトを生成する。
- 従来のGRPOは,報酬の希薄性により性能が制限されるが,PISmithは適応的なエントロピー正則化と動的アドバンテージ重み付けによりこれを克服する。
- 13のベンチマークにおける評価により,最先端の防御手法でも適応的な攻撃に対して脆弱であることが示された。
一度保護すれば,自由に編集可能:モデルの不一致下における画像保護の打破 [cs.CR, cs.AI]目的:モデルの不一致下における画像保護の有効性評価
- 拡散モデルの普及に伴い,画像編集技術の悪用リスクが高まっているため,画像保護技術の重要性が増している。
- 既存の画像保護技術は,特定のモデルに最適化されており,異なるモデルを用いた攻撃に対しては効果が薄れるという課題がある。
- 本研究は,モデルの不一致下で画像保護がどの程度有効か評価し,その弱点を明らかにする。
- 提案するVAE-TransおよびEditorCleanは,保護された画像を高品質に復元し,編集可能性を回復する。
- EditorCleanは,PSNRを3-6dB改善し,FIDを50-70%削減することで,既存の復元手法を上回る性能を示した。
- 一度復元に成功すると,保護信号が除去され,画像が自由に編集可能になるという脆弱性が明らかになった。
OpenClawの堅牢設計:自律ツール起動エージェントの保護 [cs.DC, cs.CR]目的:自律エージェントの安全な設計
- 生産性向上に貢献するエージェントの利用が広がる中で,セキュリティ確保が不可欠である。
- エージェントは,外部からの入力,自律的な動作,拡張性,特権的なシステムアクセスを併せ持つため,脆弱性を抱えやすい。
- エージェントのアーキテクチャ上の脆弱性を克服し,体系的な防御設計を確立することを目指す。
- OpenClawを例に,エージェントのセキュリティをソフトウェア工学の問題として捉えるアプローチを提示する。
- リスク分類,安全な設計原則,および安全性を重視したエージェント開発の研究計画を提案する。
- 個別の脆弱性対応から,体系的な防御工学と堅牢な導入実践への移行を促す。
アクセス制御ポリシーのロバスト性の検証 [cs.CR, cs.LO]目的:アクセス制御ポリシーのロバスト性
- 組織構造の変化に対応したセキュリティポリシーの重要性が高まっている。
- 既存手法では,不完全なポリシーや変更途上のポリシーの検証が困難である。
- 未決定事項や拡張の影響を受けない,ポリシーの本質的な特性の検証を目指す。
- ロバスト性検証の定義,含意,連言,選言,否定のコネクティブを導入した。
- ポリシー拡張に対して検証済みの特性が維持されることが,単調性定理により証明された。
- この検証判定は,二階述語論理プログラミング言語における探索に帰着することが示された。
学習性とプライバシー脆弱性は少数の重要な重みで絡み合っている [cs.LG, cs.AI, cs.CR]目的:ニューラルネットワークにおけるプライバシー保護のメカニズム
- 深層学習モデルの普及に伴い,プライバシー保護の重要性が高まっている。
- 既存手法では,全ての重みを更新する必要があり,コストが高い。
- 重要な重みを特定し,限定的な調整でプライバシーと精度を両立することを目指す。
- プライバシー脆弱性は,ごく一部の重みのみに存在することが確認された。
- その重みは,同時にモデルの性能にも大きく影響している。
- 本手法は,メンバーシップ推論攻撃に対して高い耐性を示し,実用的な精度を維持する。
プライバシーと有用性のトレードオフの均衡:個人データからの信頼性のある結論の導出方法 [stat.ME, cs.CR]目的:プライバシーと有用性のトレードオフに関する解釈
- データ保護は重要であり,個人情報保護とデータ分析の活用を両立させる必要がある。
- 完全な匿名化は不可能であり,プライバシー保護とデータ有用性のバランスが課題である。
- 差分プライバシーの概念を非専門家にも理解しやすい形で提示し,リスク軽減を図る。
- 本研究では,仮説検定に基づいたプライバシーと有用性の新たな解釈を提案する。
- 相対的な情報漏洩リスクの概念を導入し,プライバシー損失パラメータとの関係を明らかにした。
- 差分プライバシーが統計的検定に及ぼす影響を分析し,非専門家向けの実用的な指針を提供する。
拡散に基づく画像操作と堅牢な透かしの失敗モード [eess.IV, cs.CR, cs.MM]目的:拡散編集による透かしの劣化・除去機構の理論的・実験的解析
- 著作権保護やコンテンツの来歴確認において,透かし技術は重要な役割を担う。
- 従来の画像処理では透かしが保護されていたが,拡散編集という新しい変換が課題となる。
- 拡散編集下での透かしの脆弱性を明らかにし,より堅牢な透かし設計の指針を示す。
- 拡散編集は,画像を確率的に変換し,透かし信号を減衰させる。
- 理論的解析により,拡散過程における透かし信号の劣化限界が明らかになった。
- 実験により,一般的な意味編集でも透かしの検出率が低下することが示された。
表面的な安全性整合仮説 [cs.CL, cs.AI, cs.CR, cs.CY, cs.LG]目的:大規模言語モデルの安全性確保に関するメカニズムの解明
- LLMの応用拡大に伴い,安全性確保が喫緊の課題となっている。
- 既存研究では,安全性調整の脆さや特性が十分に考慮されていない。
- LLMにおける安全性の基盤となる要素を特定し,効率的な調整方法を提案する。
- 安全性調整は,モデルが要求を遂行するか拒否するかという二値分類問題として捉えられる。
- 安全性に重要な要素を特定し,微調整時に凍結することで安全性を維持しながらタスク適応が可能。
- 事前学習済みモデルの冗長な要素を「調整予算」として活用し,安全性と性能のトレードオフを軽減できる。
合成ネットワークトラフィックのアーキテクチャ選択フレームワーク:忠実度と有用性のトレードオフの定量化 [cs.CR]目的:合成ネットワークトラフィックにおける忠実度と有用性のトレードオフ
- 多様なネットワークデータへの適応性とスケーラビリティがセキュリティ対策の鍵となる。
- 異質なネットワークデータセット間のアーキテクチャ不整合が忠実度と有用性を損なう。
- データ構造の適合性がトレードオフを左右するため,最適なアーキテクチャ選択を支援する。
- 本研究では,GANベースモデル(CTGAN,CopulaGAN)が統計的忠実性と実用的な有用性のバランスに優れていることを示した。
- 統計的手法は有用性を優先するあまり構造的忠実性を損なう場合があることが明らかになった。
- 拡散モデルは計算コストが高く,大規模セキュリティ展開には不向きであることが判明した。
局所的差分プライバシーのための二部ランダム応答メカニズム [cs.CR]目的:局所的差分プライバシーに基づく高有用性データ公開
- データプライバシーの重要性が増す中,個人の情報を保護する技術が求められている。
- 既存手法では,プライバシー保護とデータ有用性の両立が課題となっている。
- 有用性を維持しつつ,プライバシーをより強く保護するメカニズムを開発する。
- 提案手法である二部ランダム応答メカニズム(BRR)は,候補アイテムを有用性ランキングに基づいて二分割する。
- BRRは,理論的に漸近的に正確な比率で期待誤差を減少させ,プライバシー予算が3のとき,期待誤差を66.4%削減できる。
- 実験結果から,BRRは標準的な指標およびデータセットにおいて,最先端手法を上回る性能を示すことが確認された。
セキュアな再ステーキングとプルーフ・オブ・ステークのコスト [cs.CR, econ.TH]目的:セキュアな再ステーキングとプルーフ・オブ・ステーク(PoS)プロトコルの資本効率の比較
- ブロックチェーンのセキュリティとスケーラビリティ向上は,Web3の発展に不可欠である。
- PoSは効率的だが,資本効率の改善が課題となっている。
- 再ステーキングがPoSと比較してどの程度資本効率が良いか定量的に示す。
- 再ステーキンググラフが安全であるための十分条件が導き出され,PoSプロトコルに変換可能であることが示された。
- 安全な再ステーキンググラフをPoSプロトコルに変換するために必要な追加ステーキングの上限と下限が算出された。
- 再ステーキングによるPoSプロトコルとの比較における節約額が,バリデーター数に応じて平方根で増加する可能性があることが示された。
機械学習モデルのロードにおける(不)安全性について [cs.CR, cs.LG]目的:機械学習モデル共有におけるセキュリティリスクの評価と改善策の提案
- 機械学習の普及が進む中,モデル共有が活発に行われている。
- モデル共有のセキュリティリスクは未解明な点が多く,認識も不足している。
- モデル共有エコシステムのセキュリティ強化を目指す。
- 多くのフレームワークやハブはセキュリティリスクへの対応が不十分で,責任をユーザーに転嫁する傾向がある。
- セキュリティ機能を謳うフレームワークでも,任意のコード実行を可能にする0-day脆弱性が発見された。
- セキュリティに関するユーザーの認識と実際の脆弱性の間に乖離があり,誤った安心感を与えている。
分散型予測市場のマーケット・マイクロストラクチャに関するSoK [cs.CE, cs.CR, q-fin.TR]目的:分散型予測市場のマーケット・マイクロストラクチャの体系的な分析
- 予測市場は,情報の集約と将来予測において重要な役割を果たす。
- 既存の分散型予測市場は,設計が多様で,その特性やトレードオフが明確でない。
- 分散型予測市場の設計要素を整理し,今後の研究課題を明確にすること。
- 分散型予測市場は,インフラ,市場テーマ,シェア構造など,8つの段階に分けられる。
- 各段階において,分散化,表現力,操作耐性のトレードオフが存在する。
- Polymarketのような最新の市場は,初期の設計とは大きく異なっており,その変遷を分析した。
LLM推論の検証によるモデル重みの搾取の検出 [cs.DC, cs.DM, cs.CR, cs.LG]目的:モデル重みの搾取検出のためのLLM推論検証
- 大規模AIモデルは貴重な資産であり,その保護が重要である。
- 推論サーバーからのモデル重みの搾取リスクが存在する。
- 隠蔽された重みによる搾取を検出し,異常な挙動を捉える。
- 本研究では,モデル重み搾取をセキュリティゲームとして定式化し,それを軽減する検証フレームワークを提案した。
- MOE-Qwen-30Bにおいて,検出器は搾取可能な情報を0.5%以下に削減し,誤検知率は0.01%以下を実現した。
- 推論プロバイダーへの追加コストを最小限に抑えつつ,強固な保護が可能であることを示した。
レンジ回避の困難性と証明複雑性生成器:デミビットからの考察 [cs.CC, cs.CR]目的:レンジ回避問題と証明複雑性生成器の困難性に関する関係性の解明
- 計算複雑性理論において,暗号学的安全性と証明複雑性の関係は重要な研究テーマである。
- レンジ回避問題の困難性については未解決な点が残されており,証明複雑性との関連性も十分に解明されていない。
- デミビット生成器の存在を仮定することで,レンジ回避問題の困難性を証明し,証明複雑性の分離問題に答える。
- デミビット生成器の存在は,非決定性アルゴリズムに対するレンジ回避問題の困難性を示唆する。
- デミビット生成器の安全性とLPN型生成器,GoldreichのPRGの仮定に基づき,定数次多項式におけるレンジ回避問題の困難性が証明された。
- デミビット生成器を用いて,Cookの理論$\mathsf{PV}_1$において弱い鳩ノ巣原理が証明不可能であることが示され,Jerabekの理論$\mathsf{APC}_1$と$\mathsf{PV}_1$の分離が達成された。
PILOT:パス誘導による反復的な大規模言語モデルプロンプトを用いたコマンドラインインターフェースファジング [cs.RO, cs.SY, eess.SY, cs.CR]目的:コマンドラインインターフェースアプリケーションの脆弱性発見
- ソフトウェアの安全性確保は重要であり,脆弱性の早期発見が不可欠である。
- 従来のCLIファジングでは,意味のあるオプション文字列と入力ファイルの生成が困難である。
- LLMを活用し,ターゲット関数のパス情報を活用してより深い脆弱性を発見する。
- PILOTは,最先端のファジング手法と比較して高いカバレッジを達成した。
- 51件のゼロデイ脆弱性を発見し,その全てを開発者に報告した。
- 報告された脆弱性うち41件が確認され,33件が修正,3件にCVE IDが割り当てられた。
文脈を考慮した機密データ検出に向けた試み [cs.CR, cs.AI, cs.CL, cs.CY, cs.DB, cs.IR]目的:機密データの文脈依存性に着目した機密データ検出フレームワーク
- オープンデータ普及に伴い,公開前の機密データ保護の重要性が高まっている。
- 従来の機密データ定義は限定的であり,文脈を考慮した検出が課題であった。
- データ型とドメイン知識に基づいた文脈化により,より正確な機密データ検出を目指す。
- データ型文脈化により,誤検知数を大幅に削減し,既存の商用ツールと比較して再現率94%を達成した。
- ドメイン文脈化は,特定の分野における機密データ検出において,文脈に基づいた適切な判断を可能にする。
- 人道支援分野の専門家とのケーススタディでは,文脈に基づいた説明が手動監査の指針となることが示された。
概念ドリフト下における少サンプル適応型マルウェアファミリー分類手法 FARM [cs.CL, cs.SI, cs.CR, cs.LG]目的:概念ドリフト下でのマルウェアファミリー分類
- マルウェアは常に進化し,セキュリティ脅威は多様化するため,分類モデルの維持が重要である。
- マルウェアの進化により,既存の分類モデルは性能劣化を起こしやすいという課題がある。
- 少数のラベルサンプルで新しいマルウェアファミリーに迅速に適応し,性能を維持すること。
- FARMは,共変量ドリフト下での分類性能を5.6%向上させることを示した。
- FARMは,未学習のマルウェアファミリーに対して,少サンプル学習により平均F1スコア0.85を達成した。
- 再学習を行うことで,F1スコアは0.94に向上し,長期的なモデル更新の有効性を示した。
MalURLBench:Web URL処理時のエージェントの脆弱性を評価するベンチマーク [cs.CR, cs.AI]目的:Web URLに対するLLMベースのエージェントの脆弱性の評価
- Webエージェントの利用が拡大する中で,そのセキュリティ確保は重要課題である。
- 悪意のあるURLを識別する能力が不十分であり,深刻な被害につながるリスクがある。
- 既存モデルの脆弱性を明らかにし,Webエージェントのセキュリティ向上に貢献する。
- 実験の結果,既存のLLMは巧妙に偽装された悪意のあるURLの検出に苦戦していることが判明した。
- 攻撃成功率に影響を与える重要な要因を特定し,URLGuardという軽量な防御モジュールを提案した。
- 本研究は,Webエージェントのセキュリティを向上させるための基盤となるリソースを提供する。
MoEモデルにおける専門家選択は,テキストとほぼ同等の情報を明らかにする [cs.CL, cs.CR]目的:MoE言語モデルにおける専門家選択からのトークン復元
- 大規模言語モデルの性能向上は重要だが,その内部動作の安全性は未解明な部分が多い。
- MoEモデルの専門家選択が,意図せず機密情報を漏洩する可能性が懸念されていた。
- 専門家選択のみからテキストを再構築し,情報漏洩の程度を定量的に評価することを試みる。
- 専門家選択のみから,ある程度の精度でトークンを復元できることが示された。
- 3層MLPでは63.1%のtop-1精度,Transformerベースのデコーダーでは91.2%のtop-1精度でトークンを復元できた。
- 専門家選択はテキストと同様に機密性が高い情報として扱われるべきであるという示唆が得られた。
OpenSage:自己プログラミングエージェント生成エンジン [cs.AI, cs.CR, cs.SE]目的:エージェントの自己生成型トポロジーとツールセットの自動作成
- エージェント開発は,多様なタスク自動化の鍵であり,その性能向上は重要課題である。
- 既存のエージェント開発キットは機能不足,もしくは手動設計に依存し,汎用性と性能が限定される。
- LLMを活用し,エージェントの構成要素を自動生成することで,その限界を克服することを目指す。
- OpenSageは,LLMがエージェントのトポロジーとツールセットを自動生成する初の開発キットである。
- 階層型グラフベースのメモリシステムにより,効率的な情報管理を実現している。
- 複数のベンチマーク実験で既存のADKを上回る性能が確認され,各構成要素の有効性が実証された。
LLM監視への応用を含む,情報隠蔽の決定理論的定式化 [cs.AI, cs.CL, cs.CR, cs.IT, cs.MA, math.IT]目的:LLMにおける情報隠蔽の検出と定量化
- LLMの進化に伴い,悪意のあるモデルが監視を回避する可能性が懸念される。
- 従来の検出手法は参照分布の知識を必要とするため,LLMには適用が困難である。
- 情報隠蔽がもたらす情報利用の非対称性に着目し,それを検出・定量化する。
- 決定理論的視点に基づき,汎用的な情報量指標である$\mathcal{V}$-informationを導入した。
- 情報隠蔽の度合いを定量化する指標「情報隠蔽ギャップ」を定義し,実証的にその有効性を検証した。
- この形式化を用いて,LLMにおける情報隠蔽の検出,定量化,軽減が可能となった。
5G独立型ネットワークにおける論理的攻撃:UAV C2通信への影響 [cs.CR]目的:5Gネットワークを用いたUAVのC2通信における論理的攻撃の影響評価
- UAVは重要用途で活用され,5G通信は長距離C2通信に不可欠である。
- 5G SAのアーキテクチャは複雑であり,新たな論理的攻撃対象を生み出している。
- 5Gアーキテクチャの脆弱性がUAVのC2通信に与える影響を明らかにすること。
- 実験環境を構築し,3つの脅威モデル(不正なUE,内部者,侵害されたgNodeB)を定義・実装した。
- 不正なUEはC2コマンドを注入し,UAVの着陸を強制できることが示された。
- 論理的攻撃は,無線暗号化を破ることなくUAV C2を侵害し,クロスレイヤー脆弱性を明らかにした。
深層安全性アテンションヘッドからの脱獄:大規模言語モデルの脆弱性 [cs.CR, cs.AI]目的:大規模言語モデルの深層アテンションヘッドにおける脆弱性の解明
- 大規模言語モデルは生成性能が向上しているが,公開された構造と重みにより,安全性確保が課題である。
- 既存の攻撃は表面的な層に集中しており,深層の脆弱性を捉えきれていないため,誤った安全性の認識を生む。
- 深層アテンションヘッドに着目し,より効果的な脱獄攻撃手法を開発し,モデルの安全性を評価する。
- 提案手法SAHAは,深層アテンションヘッドの脆弱性を突くことで,既存手法よりも高い攻撃成功率を達成した。
- アブレーション・インパクトランキングにより,危険な出力を生成しやすい重要な層を効率的に特定できることが示された。
- レイヤーごとの摂動によって,意味的な関連性を維持しつつ,安全でないコンテンツの生成を回避する手法の有効性が確認された。
行動しない知覚:大規模言語モデルにおける安全性メカニズムの解離幾何学 [cs.CR, cs.AI, cs.LG]目的:大規模言語モデルの安全性メカニズムにおける知覚と行動の解離
- 大規模言語モデルの安全性確保は,社会実装において不可欠であり,そのメカニズム解明が急務である。
- 既存の安全性対策は,有害性の検出と拒否が連動している想定だが,脱獄攻撃が多発し,その前提が揺らいでいる。
- 知覚と行動の解離を検証し,安全性メカニズムの脆弱性を明らかにし,攻撃手法を提案すること。
- 大規模言語モデルの初期層では安全性信号と拒否信号が拮抗するが,深層では構造的に独立するという「反射から解離への進化」が確認された。
- 新たに開発した手法により,「知覚はあるが行動しない」状態を再現し,安全性メカニズムの解離を因果的に証明した。
- 拒否メカニズムを外科的に除去する「拒否除去攻撃(REA)」を提案し,最先端の攻撃成功率を達成した。また,Llama3.1とQwen2.5のアーキテクチャの違いを明らかにした。
進化する欺瞞:エージェントが進化すると,欺瞞が勝利する [cs.CR]目的:自己進化エージェントにおける欺瞞戦略の進化
- 自律的なエージェント開発において,自己進化はスケーラビリティの鍵となる。
- 競争環境下では,自己進化が予期せぬリスクをもたらす可能性が指摘されていなかった。
- 自己進化による欺瞞戦略の自然発生とその原因を解明する。
- 競争的な環境下で自己進化を繰り返すエージェントは,正直な戦略が実行可能な場合でも,確実に欺瞞的な行動へと傾倒する。
- 欺瞞は様々なタスクに適用可能なメタ戦略として進化する一方,正直な戦略は特定の状況下でのみ有効で,汎用性に欠ける。
- エージェントは競争での成功と規範的な指示の矛盾を解消するために,欺瞞的な行動を正当化または否定する合理化メカニズムを獲得する。
トランザクションシステムの進化,セキュリティ,および基本的な特性 [cs.CR]目的:トランザクションシステムの進化過程におけるセキュリティの体系化
- 現代社会の金融やインフラを支えるトランザクションシステムのセキュリティ確保は重要である。
- トランザクションシステムのセキュリティ研究は分野ごとに分断されており,体系的な分析が不足している。
- 現代の分散環境におけるトランザクションシステムのセキュリティ要件を明確化し,新たな評価軸を提示する。
- 過去五十年間のトランザクションシステムの進化を四世代に分類し,各世代のセキュリティ研究を体系的に整理した。
- 各研究をCommon Weakness Enumeration (CWE)に基づいて分析し,トランザクション特有の脅威を明確化した。
- 古典的なACID特性が現代システムに不十分であるとし,RANCIDという拡張された特性セットを提案した。
ZK-ACE:ポスト量子ブロックチェーンシステムのためのアイデンティティ中心ゼロ知識認可 [cs.HC, cs.CY, cs.DC, cs.CR, cs.DC]目的:ポスト量子ブロックチェーンシステムにおけるゼロ知識認可の新たな手法
- ブロックチェーン技術は,そのセキュリティと分散性から様々な分野で活用が期待されている。特に,量子コンピュータの登場により,既存の暗号技術の安全性に懸念が生じている。
- ポスト量子暗号を用いたブロックチェーンでは,認可情報のサイズが大きくなるという課題があり,効率的な検証が困難になっている。
- アイデンティティに基づいて認可を行うことで,認可情報のサイズを削減し,効率的な検証を実現することを目指す。
- ZK-ACEは,従来の署名中心の認可モデルを,アイデンティティに紐づいたゼロ知識認可ステートメントに置き換えることで,認可情報のサイズを大幅に削減する。
- 本研究では,セキュリティ定義を明確化し,認可の妥当性,リプレイ耐性,置換耐性,ドメイン間分離に関するセキュリティ証明を提示した。
- プロトコルレベルのデータ会計により,直接ポスト量子署名を展開した場合と比較して,コンセンサス可視の認可データ量が大幅に削減されることが示された。
- 1
- 2