にしざわの部屋やな
西澤宏晃

arXiv雑要約

セキュリティ - 2026/03/20 公開

  • ランクに基づく均一性検定によるブラックボックスLLM APIの監査 [cs.CR, cs.AI, cs.CL]目的:LLM APIの挙動検証
    • LLM利用の拡大に伴い,API経由でのアクセスが一般的になっている。
    • API提供者は,モデルを密かに変更する可能性があり,性能低下や安全性への影響が懸念される。
    • API提供者によるモデルの隠れた変更を検出し,透明性を確保すること。
    • 提案手法は,ブラックボックスLLMとローカルモデルの挙動が等しいかを検証する。
    • クエリ効率が良く,検知困難なため,API提供者による応答操作への耐性がある。
    • 量子化,有害なファインチューニング,モデルの完全な置き換えなど,様々な脅威シナリオで高い検出力を示した。

    Link: https://arxiv.org/abs/2506.06975

  • 分散型連合学習モデルのための群衆知能侵入検知データセット [cs.CR]目的:IoT群衆知能におけるマルウェア検知のための分散型連合学習に関するデータセットと実験的研究
    • IoTデバイスの普及に伴い,セキュリティリスクが増大しており,その検知手法の確立が急務である。
    • 中央集権的な学習方法では,プライバシー侵害や通信コストの問題が生じやすい。
    • データ局在性を維持しつつ,分散環境でも効率的なマルウェア検知を実現する。
    • 提案データセットを用いて,分散型連合学習,中央集権型連合学習,従来の機械学習の性能を比較した。
    • 分散型連合学習は,データの局在性を維持しながら,中央集権型連合学習を上回る性能を示した。
    • 本データセットは,IoT群衆知能環境のセキュリティ研究の基盤を提供する。

    Link: https://arxiv.org/abs/2507.13313

  • QLCoder:セキュリティ脆弱性静的解析のためのクエリ合成器 [cs.HC, cs.CR, cs.PL, cs.SE]目的:セキュリティ脆弱性の静的解析クエリの自動合成
    • ソフトウェアの安全性確保は重要であり,脆弱性検出の自動化が求められている。
    • 静的解析クエリの作成には専門知識が必要であり,負担が大きい。
    • CVE情報から自動的に有効なセキュリティクエリを生成し,脆弱性検出を支援する。
    • QLCoderは,CVEメタデータからCodeQLクエリを自動合成するagenticフレームワークである。
    • LLMと実行フィードバックを活用し,構文・意味的に有効なクエリ生成を実現した。
    • 176件のCVEに対して評価した結果,53.4%で脆弱なバージョンのみを検知するクエリを生成できた。

    Link: https://arxiv.org/abs/2511.08462

  • iSeal:信頼性の高いLLM所有権検証のための暗号化フィンガープリンティング [cs.CR, cs.AI]目的:大規模言語モデルの所有権検証
    • LLM開発には巨額の費用がかかるため,知的財産の保護が不可欠である。
    • 既存手法は検証時の攻撃を考慮しておらず,攻撃者による回避が可能である。
    • 検証時に攻撃者がLLMを制御している状況でも信頼性の高い所有権検証を実現する。
    • iSealは,モデルと外部モジュールに特徴を注入し,エラー訂正機構と類似性ベースの検証戦略を用いる。
    • 理論的分析と実験結果により,検証時攻撃(共謀によるフィンガープリント消去,応答操作など)への耐性が示された。
    • 12のLLMに対し,10以上の攻撃に対して100%のフィンガープリント成功率を達成し,既存手法を上回る。

    Link: https://arxiv.org/abs/2511.08905

  • 適応型脱獄アーキテクチャAJAR:Red-teamingのための [cs.DB, cs.CR, cs.CL]目的:大規模言語モデルに対する多段階脱獄攻撃の実行と評価
    • LLMの安全評価は,コンテンツの監視から行動セキュリティへ移行しており,その重要性が増している。
    • 既存の脱獄フレームワークは,適応的な多段階攻撃とエージェント型実行環境の間のギャップを抱えている。
    • AJARは,現実的なエージェントの制約下での多段階脱獄攻撃評価のための基盤を提供することを目指す。
    • AJARは,Crescendo,ActorAttack,X-Teamingの3つの代表的な攻撃を統合し,共通のサービスインターフェースを提供することで,計画,プロンプト生成,最適化,評価,コンテキスト制御を可能にする。
    • HarmBenchの200の検証行動において,AJARはX-Teamingの攻撃成功率を65.0%から76.0%に向上させ,CrescendoをPyRITよりも効果的に再現した(91.0% vs. 87.5%)。
    • ツールアクセスは攻撃対象領域を均一に拡大するのではなく,ActorAttackの攻撃成功率を向上させる一方で,CrescendoとX-Teamingの成功率は低下させることを示した。

    Link: https://arxiv.org/abs/2601.10971

  • エージェント型商取引のための暗号通貨決済をサービス実行に結びつけるA402 [cs.RO, cs.RO, cs.DC, cs.CR]目的:エージェント型商取引における暗号通貨決済とサービス実行の安全な結合
    • AIエージェントの普及に伴い,自律的なサービス利用と決済が求められている。
    • 既存のx402標準では,サービス実行,決済,結果伝達の完全な原子性が保証されていない。
    • サービス実行と連携した,信頼性の高い決済アーキテクチャを開発し,その性能を向上させる。
    • A402は,サービス実行を決済チャネルに統合するAtomic Service Channels (ASC) を導入した。
    • TEEを用いたアダプター署名により,サービス実行と結果伝達が条件で決済が完了する。
    • BitcoinとEthereumでの評価で,x402と比較して性能とオンチェーンコストが大幅に改善された。

    Link: https://arxiv.org/abs/2603.01179

  • WebWeaver:LLMマルチエージェントシステムにおけるトポロジーの秘匿性を,巧妙な文脈ベース推論によって打破する [cs.CR, cs.AI]目的:LLMマルチエージェントシステムの通信トポロジー推論
    • LLMマルチエージェントシステムの有用性と安全性は,通信トポロジーに大きく依存する。
    • 既存の研究は,現実的でない前提に依存しており,防御を容易に回避されてしまう。
    • 単一のエージェントを侵害するだけでトポロジーを推論し,現実的な攻撃に対する対策を提案する。
    • WebWeaverは,単一のエージェントの侵害のみでLLMマルチエージェントシステムの完全なトポロジーを推論する攻撃フレームワークである。
    • WebWeaverは,エージェントIDではなく文脈のみに依存するため,既存手法よりもステルス性が高い。
    • 実験の結果,WebWeaverは既存の最先端手法を大幅に上回り,防御下で約60%高い推論精度を達成した。

    Link: https://arxiv.org/abs/2603.11132

  • 大規模言語モデルにおける脱獄攻撃の系統的スケーリング分析 [cs.LG, cs.CR]目的:大規模言語モデルの脱獄攻撃のスケーリングに関する理解
    • 言語モデルの安全性確保は重要であり,悪意ある利用を防ぐ上で不可欠である。
    • 脱獄攻撃に対する脆弱性が残存しており,攻撃の規模や種類に応じた対策が不十分である。
    • 攻撃者の努力と成功率の関係を明らかにし,効率的な防御策の構築に貢献する。
    • 脱獄攻撃を計算資源制約のある最適化問題と捉え,FLOPs(浮動小数点演算回数)を軸にスケーリング則を分析した。
    • プロンプトベースの手法は,最適化ベースの手法と比較して計算効率が高い傾向にあることが示された。
    • 誤情報の拡散を目的とした攻撃は,他の有害な目的の攻撃よりも容易に成功しやすいことが明らかになった。

    Link: https://arxiv.org/abs/2603.11149

  • IoTにおけるプライバシー保護機械学習:クロスパラダイム調査と将来展望 [cs.LG, cs.CR]目的:IoT環境におけるプライバシー保護機械学習メカニズムの包括的な分析
    • IoTの急速な普及により,生成される機密データの保護が不可欠となっている。
    • 分散環境下での従来の匿名化や集中保護戦略は,IoTの制約上不十分である。
    • IoT環境に適したプライバシー保護機械学習のパラダイムを特定し,課題を明確化する。
    • 本調査は,差分プライバシー,連合学習,準同型暗号など,多様なプライバシー保護技術を分類し,比較検討している。
    • 各パラダイムのプライバシー保証,計算・通信コスト,スケーラビリティ,脅威への耐性などを詳細に分析している。
    • 次世代モバイルアーキテクチャにおけるプライバシー,通信量,モデル収束,システム効率のトレードオフについても議論している。

    Link: https://arxiv.org/abs/2603.13570

  • DP-S4S:ユーザーレベル差分プライバシーを用いた,正確かつスケーラブルなSelect-Join-Aggregateクエリ処理 [cs.DB, cs.DB, cs.CR]目的:Select-Join-Aggregateクエリ処理の正確性とスケーラビリティ向上
    • 様々な分野で応用が期待される重要な問題であり,データ分析のプライバシー保護が不可欠である。
    • 既存手法は計算コストが高く,大規模データベースへの適用が困難である。
    • 集計単位のサンプリングとRDPの数学的基盤により,スケーラブルなSJA処理を実現する。
    • 提案手法DP-S4Sは,ユーザーサンプリングではなく集計単位をサンプリングすることで,既存手法よりも高い精度を実現する。
    • DP-S4Sは,スケーラブルなSJA処理を可能にし,大規模データセットにおいても高い結果の有用性を維持する。
    • スカラーおよびベクターSJAクエリの両方に適用可能であり,ユーザーレベル差分プライバシーを保証する。

    Link: https://arxiv.org/abs/2603.14994

  • 敵対的環境における強化学習とLLMを用いたネットワーク・デバイスレベルのサイバー欺瞞 [cs.CR, cs.ET]目的:敵対的環境におけるネットワークおよびデバイスレベルのサイバー欺瞞手法
    • サイバー攻撃は巧妙化の一途を辿っており,防御側は高度な対策を講じる必要に迫られている。
    • 従来のサイバー欺瞞は,人的コストやリソースの浪費が課題であった。
    • AIを活用することで,動的かつ費用対効果の高いサイバー欺瞞戦略の実現を目指す。
    • 本研究では,LLMと強化学習の融合によるサイバー欺瞞手法の最適学習に焦点を当てた。
    • 文献中のOTシステムに対するステルス攻撃に対して,提案手法の有効性を検証した。
    • クラウドサービス等の自動化技術を活用し,AIベースの欺瞞戦略の精度向上を目指した。

    Link: https://arxiv.org/abs/2603.17272

  • 1
  • 2