arXiv雑要約
セキュリティ - 2026/04/22 公開
HadAgent:ハーネスを活用した分散型エージェントAIサービスと推論によるプルーフ・オブ・インフェレンスによるブロックチェーンコンセンサス [cs.DC, cs.CR, cs.ET, cs.MA]目的:分散型エージェントAIサービスにおける,計算資源の効率的な活用
- 大規模言語モデル(LLM)エージェントの急速な発展により,GPU計算資源に対する需要が急増している。
- 従来のプルーフ・オブ・ワーク(PoW)は,有用なアウトプットを生み出さずに膨大な計算資源を消費するという課題がある。
- PoWに代わる推論によるプルーフ・オブ・インフェレンス(PoI)を導入し,AI推論を通じてブロックチェーンのコンセンサスを達成する。
- HadAgentは,PoIメカニズムにより,LLM推論タスクの実行によってブロック作成権を得る分散型システムを実現した。
- 検証は単一のフォワードパスの再実行で済むため,高速なクロスノード検証が可能であり,改ざん検知率は100%,誤検知率は0%であった。
- ハーネス層によるノード行動の監視と信頼管理により,悪意のあるノードの排除と信頼ノードの選出が効率的に行われた。
グローバルなウェブ,ローカルなプライバシー?ウェブトラッキングに関する国際的レビュー [cs.CR, cs.CY]目的:ウェブトラッキングの実態とその法的影響に関する調査
- ウェブは国境を越えて機能するため,プライバシー保護の国際的な比較が不可欠である。
- プライバシー法は国ごとに異なるため,グローバルなウェブへの適用に課題が存在する。
- 各国のウェブサイトにおけるトラッカー接続状況を分析し,プライバシー保護の効果を検証する。
- オーストラリアとアメリカ(カリフォルニア)は,選択解除型の規制下にあるにもかかわらず,ウェブトラッキングのレベルが高いことが判明した。
- EU諸国からアクセスした場合,Common Top 525サイトの平均トラッカー接続数は,EU非加盟国と比較して50.5%減少した。
- ドイツにおけるサンプル調査では,クッキーバナーとのインタラクションを避けることで,トラッカー数が48.5%減少した。これはGDPR等の効果を示唆する。
トレーニング段階における侵害に対する事後的な解決策は存在しない [cs.CR, cs.AI]目的:生成AIの法的課題と,訓練データの取得および使用に関する法的責任
- 生成AIの普及に伴い,著作権侵害等の法的リスクが顕在化しており,その対策が急務となっている。
- 侵害が発生した場合に,事後的な対策で法的責任を回避できるかという問題が存在する。
- データ系統の重要性を強調し,事前コンプライアンスを重視したプロセスへの転換を促す。
- 事後的な対策(機械的アンラーニング等)は,不正なデータ取得・訓練による法的責任を遡及的に解消できない。
- 著作権法だけでなく,契約法や不競合規則も適用され,フェアユース等の例外規定も利用できない場合がある。
- 保護された入力データから得られた価値はモデルの重みに残り続けるため,利益剥奪等の救済措置が必要となる可能性がある。
クラフトからカーネルへ:ガバナンス優先の実行アーキテクチャとエージェント型コンピュータのための意味的ISA [cs.CR, cs.AI]目的:エージェント型AIにおける安全な実行と自律的な修正機構の確立
- AIエージェントの応用拡大には,安全性と信頼性の確保が不可欠である。
- 既存のAIシステムは,脆弱な制御とヒューリスティックな保護に頼っており,不安定性が課題である。
- ガバナンス優先アーキテクチャにより,AIの安全性を構造的に保証し,信頼性を向上させる。
- Arbiter-Kは,確率的処理ユニットを決定論的カーネルでカプセル化するガバナンス優先の実行アーキテクチャである。
- Semantic ISAの実装により,実行時のセキュリティコンテキスト管理と依存関係グラフ構築が可能となる。
- OpenClawとNanoBotの評価では,既存手法と比較して76%から95%の不正な介入を検出した。
オーナーへの危害:AIエージェント安全のための欠如した脅威モデル [cs.CR, cs.AI, cs.CL]目的:AIエージェントが自身のデプロイヤーに害を及ぼすという,これまで体系的に見過ごされてきた脅威カテゴリの存在を示すこと
- AIエージェントの安全性の確保は,その社会実装において不可欠であり,潜在的なリスクを事前に特定する必要がある。
- 既存のAI安全性の評価基準は,一般的な犯罪行為に焦点を当てており,デプロイヤー自身への危害という重要な側面を欠いている。
- この研究は,AIエージェントがデプロイヤーに与える具体的な危害をモデル化し,防御策の有効性を評価することを目指す。
- Slack AIの認証情報漏洩やMicrosoft Copilotのスケジュールインジェクションなど,現実世界の事例がオーナーへの危害の存在を示唆している。
- 既存の安全システムは,一般的な危害に対しては高い性能を示すものの,オーナーへの危害に対しては性能が著しく低いことが示された。
- 記号的・意味的防御一般化(SSDG)フレームワークを導入し,情報カバレッジと検出率の関係性を検証した結果,文脈の欠如が検出ギャップを拡大させることを確認した。
LLMチューターに対する敵対的生徒攻撃の耐漏洩性評価 [cs.CR, cs.AI]目的:LLMチューターの耐漏洩性
- 教育現場でのLLM活用が進む中,教育原理との整合性が重要視されている。
- 従来の評価では善意的な学習者を想定しており,悪意ある生徒からの攻撃に対する堅牢性が不明である。
- 敵対的な生徒攻撃に対するLLMチューターの脆弱性を評価し,耐漏洩性を高める方法を模索する。
- 多くのLLMチューターは,敵対的な攻撃に対して脆弱であり,意図した通りに攻撃が成功しない場合が多い。
- LLMチューターを突破するようファインチューニングされた敵対的生徒エージェントを提案し,チューターの堅牢性評価のベンチマークとして活用する。
- 単純ながら効果的な防御戦略によって,LLMチューターの耐漏洩性を向上させることが示された。
明示的な拒否を超えて:検索拡張生成に対するソフトフェイル攻撃 [cs.CR, cs.AI]目的:検索拡張生成システムの可用性を低下させるソフトフェイル攻撃手法の開発
- 大規模言語モデルの活用が進む中,検索拡張生成システムは重要な役割を担っている。
- 既存の妨害攻撃は検知が容易なため,より巧妙な攻撃手法が求められている。
- 大規模言語モデルの安全性を悪用し,有用性の低い応答を引き出すことで可用性を低下させる。
- 提案手法DEJAは,79%以上のSASRを達成し,ハードフェイル率を15%以下に抑えることに成功した。
- 生成された攻撃文書は隠蔽性が高く,パープレキシティに基づく検知やクエリの言い換えに耐性がある。
- この攻撃はモデル系列を超えて汎用性があり,再調整なしに独自のシステムに転移可能である。
識別不能性を超えて:LLM APIにおける抽出リスクの測定 [cs.CR, cs.CL, cs.LG]目的:LLM APIにおけるデータ抽出リスクの評価と軽減策の提案
- LLMの利用拡大に伴い,プライバシー保護の重要性が高まっている。
- 従来の識別不能性評価は,データ抽出リスクを十分に捉えられていない。
- データ抽出リスクを正確に測定し,効果的な防御策を確立すること。
- 識別不能性と抽出可能性は無関係であり,識別不能性を高めても抽出リスクを抑制できないことが示された。
- $(l, b)$-非抽出可能性の定義を導入し,ブラックボックス攻撃者による抽出リスクの上界を定式化した。
- 提案手法は,実モデルに対する抽出リスクを効率的に推定し,実用的な緩和策を提示できることを実験的に示した。
TrEEStealer:エンクレーブサイドチャネルによる決定木の窃取 [cs.CR, cs.LG]目的:TEE保護された決定木の窃取
- 機械学習はセキュリティや金融など重要な分野で利用され,モデルの保護が不可欠である。
- モデル抽出攻撃により,モデル提供ビジネスモデルが脅かされ,プライバシー侵害や回避攻撃のリスクがある。
- エンクレーブ保護下にある決定木に対する効率的かつ高精度な窃取手法を確立すること。
- TrEEStealerは,CPUベンダーが導入したTEEのサイドチャネルを利用して,決定木を効率的に窃取する。
- 本研究では,AMD SEVとIntel SGXの両方で,分岐履歴情報を取得する新しい手法を開発した。
- OpenCV,mlpack,emlearnを含む3つのライブラリに脆弱性が存在することを確認し,既存の手法よりも高い窃取精度を達成した。
有限列挙から普遍的証明へ:PQCハードウェアマスキング検証のための環論的基礎 [cs.CR]目的:ポスト量子暗号(PQC)ハードウェアにおけるマスキング検証の形式的証明
- ポスト量子暗号の安全性が重要視される中,ハードウェア実装におけるマスキングの信頼性確保が不可欠である。
- 従来のマスキング検証は有限体演算に依存しており,大規模な検証や異なるパラメータへの適用が困難であった。
- 環論的基礎に基づき,普遍的に検証可能な枠組みを構築し,パラメータ依存性を解消することを目指す。
- 本研究では,Lean 4とMathlibを用いて,$q$ に依存しない普遍的な証明を機械検証により実現した。
- これにより,検証対象のパラメータ範囲が大幅に拡大し,FIPS 203/204などの標準規格への適用が可能となった。
- 整数環 $\mathbb{Z}/q\mathbb{Z}$ の公理が,算術マスキング検証のための自然な抽象化層として確立された。
攻撃的セキュリティタスクのための最適なエージェントアーキテクチャへ [cs.CR, cs.AI]目的:攻撃的セキュリティタスクにおけるエージェントアーキテクチャの最適化
- サイバー攻撃の高度化に対応するため,自動化されたセキュリティシステムの重要性が増している。
- 既存のシステムは固定された連携構造を採用しており,エージェントの追加が必ずしも性能向上に繋がらない。
- エージェントの連携構造がセキュリティ性能に与える影響を,実験的に評価することで解決を目指す。
- 20のインタラクティブなターゲットを用いて,5つのアーキテクチャファミリーと3つのモデルファミリーを評価した結果,MAS-Indepが最も高い検証済み検出率(64.2%)を達成した。
- 白箱環境では黒箱環境よりも,ウェブアプリケーションではバイナリよりも高い検出率が確認された。
- 広範な連携はカバレッジを向上させる可能性があるが,遅延やコスト,検証の難易度を考慮すると,必ずしも最適な解とは限らないことが示された。
スパースオートエンコーダの頑健性に関する理解に向けて [cs.LG, cs.AI, cs.CL, cs.CR]目的:大規模言語モデルに対する脱獄攻撃の頑健性向上
- 大規模言語モデルの安全性確保は,社会実装において不可欠である。
- 最適化に基づく脱獄攻撃は,大規模言語モデルの脆弱性として存在する。
- スパースオートエンコーダによる防御が,脱獄攻撃の成功率低下に寄与する。
- 事前学習済みのスパースオートエンコーダを組み込むことで,脱獄攻撃の成功率を最大5倍削減できた。
- モデル間の攻撃転移可能性も低減し,頑健性を高める効果が確認された。
- L0スパース度と攻撃成功率の間に単調な関係があり,層によって防御効果と性能のバランスが変化する。
ARES:ポリシー報酬システムの適応的レッドチームとエンドツーエンドの修復 [cs.AI, cs.CR, cs.LG]目的:大規模言語モデルの安全性向上
- LLMの安全性を確保することは,社会への安全な導入に不可欠である。
- 報酬モデルの不備が,LLMの安全性における単一障害点となりうる。
- LLMと報酬モデルの双方の脆弱性を同時に発見し,修復することを目指す。
- ARESは,体系的にLLMと報酬モデルの二重の脆弱性を発見し,軽減するフレームワークである。
- 「Safety Mentor」を用いて,悪意のあるプロンプトと安全な応答を生成し,両方のモデルの弱点を露呈させる。
- 報酬モデルのファインチューニングと,その改善されたモデルによる最適化により,安全性と性能を両立する。
ブロックチェーン駆動AI強化後量子多変数アイデンティティベース署名とプライバシー保護データ集約方式:フォグ対応アドホックネットワーク向け [cs.CR]目的:フォグ対応アドホックネットワークにおける安全な鍵管理フレームワーク
- UAVを活用した分散型インテリジェンス実現には,フォグコンピューティングとアドホックネットワークの連携が不可欠である。
- アドホックネットワークは,分散性,移動性,リソース制約から,特に量子脅威に対するセキュリティとプライバシー上の課題を抱える。
- 本研究は,量子耐性を持つセキュリティ技術を用いて,フォグ対応アドホックネットワークの安全性とプライバシーを確保することを目指す。
- 提案手法は,後量子多変数アイデンティティベース署名方式とゼロ知識証明を利用し,安全な鍵確立,プライバシー保護データ集約,完全性検証を実現する。
- NS-3シミュレーションにより,提案手法が通信オーバーヘッドを削減し,データ集約と検証の速度と信頼性を向上させることが確認された。
- 既存手法と比較して,計算コスト,後量子安全性,スケーラビリティにおいて優位性を示し,安全でインテリジェントな次世代アドホックネットワークシステムに貢献する。
デスクトップGUIエージェントにおける一時的なUI状態不整合:Computer-Useエージェントに対するTOCTOU攻撃の形式化と防御 [cs.CR, cs.AI]目的:デスクトップGUIエージェントにおけるUI状態不整合とTOCTOU攻撃
- GUIエージェントの普及に伴い,そのセキュリティが重要視されている。
- スクリーンショットとクリックのループを利用するGUIエージェントは,UI状態の変化に脆弱である。
- UI状態の検証と防御メカニズムを確立し,TOCTOU攻撃に対抗すること。
- 観察とアクションの間に生じる時間差を利用した攻撃(TOCTOU)を形式化し,攻撃手法を特定した。
- Pre-execution UI State Verification(PUSV)という軽量な防御機構を提案し,高い遮断率と低いオーバーヘッドを実現した。
- PUSVの層構造が有効性を証明された一方で,DOM注入攻撃に対する脆弱性も明らかになった。
機能的帰属によるメカニズム異常検出 [cs.LG, cs.CR]目的:ニューラルネットワークにおけるメカニズム異常の検出
- 機械学習モデルの安全性確保は重要であり,潜在的な脆弱性の特定が不可欠である。
- 既存の手法は,隠れ空間への依存や,特定のアーキテクチャへの限定といった課題を抱えている。
- 信頼できるデータセットを用いて,モデル出力の説明度合いを評価し,異常を検出する。
- 本手法は,BackdoorBenchにおいて最先端の検出性能(DER 0.93)を達成し,既存手法(DER 0.83)を上回った。
- 大規模言語モデルにおいても,様々なバックドア攻撃に対して大幅な性能向上を示し,特に難読化モデルに対する有効性が確認された。
- 敵対的サンプルや分布外サンプルに加え,単一モデル内の複数の異常メカニズムを識別できることを示した。
セキュリティは相対的:訓練不要の脆弱性検出におけるマルチエージェント行動契約合成 [cs.CR, cs.SE]目的:脆弱性検出のための行動契約合成
- ソフトウェアの安全性確保は,現代社会における情報システムの信頼性維持に不可欠である。
- 既存の深層学習モデルは,厳密な重複排除により性能が大幅に低下する課題がある。
- プロジェクト固有の行動契約に基づき,脆弱性の曖昧さを解消することを目指す。
- Phoenixは,Semantic Slicer,Requirement Reverse Engineer,Contract Judgeの3段階で脆弱性を検出する。
- PrimeVul Pairedデータセットにおいて,F1スコア0.825,Pair-Correct 64.4%を達成し,既存手法を上回る性能を示した。
- 誤検出の18%は,実際にはパッチされたコードにおけるセキュリティ上の懸念を示しており,セキュリティは絶対的なコード構文ではなく,行動契約に対する相対的な性質であることが示唆された。
ClawCoin:分散型エージェント経済のためのエージェントネイティブ暗号通貨 [cs.RO, cs.MA, cs.CR]目的:分散型エージェント経済における計算コストに連動した価値の単位と決済手段
- AIエージェントの発展には,推論能力を支える計算資源の確保が不可欠である。
- 既存の計算資源は,アカウントに紐づき,転送やオンチェーンでの管理が困難である。
- 計算コストに連動したトークンを用いて,エージェント間の協調的な市場メカニズムを確立すること。
- ClawCoinは,計算コストを反映したトークン化された価値の単位と決済手段を提供する。
- シミュレーションとテストベッド実験により,ClawCoinはコスト変動時の実行能力を安定化させ,エージェント間の見積もり分散を抑制することが示された。
- これにより,部分決済の排除,協調的な市場動態の維持が可能となり,分散型エージェント間の連携を改善する可能性が示唆された。
SAGE:LLMベースの脆弱性検出のための信号増幅ガイデッド埋め込み [cs.CR]目的:LLMベースの脆弱性検出における信号埋没問題の解決
- ソフトウェアの脆弱性は現代インフラへの主要な脅威であり,セキュリティ確保が不可欠である。
- LLMは強力だが,脆弱性に関連する信号が機能的な意味に埋没し,性能を低下させる。
- 脆弱性信号を抽出し増幅することで,LLMの脆弱性検出能力を向上させる。
- SAGEは,タスク条件付きスパースオートエンコーダを用いて脆弱性信号を分離・増幅するフレームワークである。
- 実験結果から,SAGEは既存の最先端手法を上回り,信号対雑音比を12.7倍向上させる。
- SAGEは,少ないパラメータで高い性能を維持し,ソフトウェアセキュリティの効率的かつスケーラブルなパスを確立する。
反論または推奨:高精度なLLM支援欠陥発見のための敵対的段階ゲート型マルチエージェントレビュー手法 [cs.CR, cs.AI, cs.SE]目的:LLM支援欠陥発見における誤報の抑制と,実質的な発見の信頼性向上
- ソフトウェアの信頼性確保は,社会インフラや経済活動を支える上で不可欠である。
- LLMによる欠陥発見は有望視されているが,誤報が多く,実用上の信頼性に課題がある。
- LLMの誤報を効果的に削減し,より信頼性の高い欠陥発見プロセスを確立すること。
- 提案手法「Refute-or-Promote」は,候補となる欠陥を敵対的に検証するプロセスを導入し,誤報の約79-83%を事前に排除した。
- 本研究により,CVE 4件,C++標準への提案,コンパイラバグの修正など,実際のソフトウェア改善に貢献した。
- 実証実験から,LLMだけでは見過ごされる可能性のある欠陥を,経験的なテストと外部レビューによって発見できることが示された。
CHRONOS:IoTにおける安全な連合学習のためのハードウェア支援位相分離フレームワーク [cs.CL, cs.CR, cs.DC]目的:IoT環境における安全な連合学習のためのハードウェア支援位相分離フレームワーク
- IoTデバイスの普及に伴い,プライバシー保護とセキュリティを確保した機械学習の重要性が高まっている。
- 従来の連合学習では,暗号化処理が学習フェーズと密結合しており,計算負荷や遅延が大きいという課題があった。
- 本研究は,暗号化処理と学習フェーズを分離し,ハードウェア支援によって効率性と安全性を向上させることを目指す。
- CHRONOSは,ARM TrustZoneエンクレーブ内でDiffie-Hellman鍵交換を実行することで,OSレベルの改ざん耐性を実現した。
- 本フレームワークは,同期型安全集約と比較して,集約遅延を最大74%削減することが示された。
- デバイスあたりのセキュアワールドストレージフットプリントは700バイト未満と小さく,モデルの次元に依存しないスケーラビリティを維持している。
ProjLens:マルチモーダルモデル安全におけるプロジェクターの役割の解明 [cs.CR, cs.AI]目的:マルチモーダル大規模言語モデルの安全性を脅かすバックドア攻撃のメカニズムの解明
- マルチモーダルモデルは多様なタスクで成功を収めているが,安全性への懸念が高まっている
- バックドア攻撃のメカニズムが不明確であり,その理解と対策が課題となっている
- プロジェクターにおけるバックドア攻撃のメカニズムを解明し,安全性を向上させる
- プロジェクターのファインチューニングだけでもバックドア攻撃の脆弱性が生じることを確認した。
- バックドア攻撃における重要なパラメータは,プロジェクターの低ランク部分にエンコードされていることがわかった。
- クリーンデータと悪意のあるデータ両方の埋め込みベクトルが,バックドアのターゲットと一致する方向に意味的にシフトする現象が確認された。
拡散画像における起源証明と改ざん局在化のための二重チャネル潜在的透かし [cs.CR]目的:拡散生成モデルで生成されたコンテンツの起源証明,改ざん耐性,そして領域レベルでの改ざん局在化
- 拡散生成モデルの急速な普及により,AI生成コンテンツの信頼性確保が重要となっている。
- 既存の透かし技術は,再生成や敵対的プロンプト攻撃に脆弱であるか,改ざん領域の特定が困難である。
- 起源証明と改ざん検出の堅牢性を高め,改ざんされた領域を正確に特定することを目指す。
- Dual-Guardは,初期ノイズにガウスシェーディング透かしを埋め込み,最終的な潜在空間にLatent Fingerprint Codecを組み合わせる。
- この二重チャネル構成により,再プロンプト攻撃に対する耐性と改ざん局在化能力を両立している。
- 実験結果から,Dual-Guardは高い認証精度と低い誤検知率を達成し,改ざん検出においても優れた性能を示した。
DP-FLogTinyLLM:Tiny LLMを用いた差分プライバシーに基づく連合ログ異常検知 [cs.CR, cs.AI]目的:分散環境におけるログ異常検知のための連合学習フレームワーク
- 現代の分散システムは大量のログデータを生成し,異常やサイバー脅威の検出に不可欠である。
- ログデータはプライバシーやセキュリティ上の制約から中央集約が難しく,既存手法は対応できない場合がある。
- 分散環境でプライバシーを保護しながら,効率的な異常検知を実現することを目的とする。
- 提案手法は,連合学習と差分プライバシーを組み合わせることで,生ログデータを共有せずに協調学習を可能にする。
- Tiny LLMに対するLoRAを用いて効率的なファインチューニングを行い,リソース制約のある環境でのスケーラビリティを確保する。
- ThunderbirdおよびBGLデータセットでの実験により,提案手法が中央集約型LLMベース手法と同等の性能を示すことが確認された。
シャーパ.ai:ノイズを含む識別子に対する,交差情報開示なしのプライバシー保護型マルチパーティエンティティアラインメント [cs.CR, cs.AI, cs.DC, cs.LG]目的:プライバシー保護型エンティティアラインメント
- 分散環境下での機械学習の重要性が高まる中,データのプライバシー保護が不可欠である。
- 従来のエンティティアラインメント手法は,共有サンプルに関する情報を漏洩するリスクがある。
- 交差情報開示のリスクを軽減し,複数パーティ間のエンティティアラインメントを実現すること。
- シャーパ.aiプロトコルは,複数の参加者に対して,交差情報を秘匿したエンティティアラインメントを可能にする。
- 正確な一致とノイズを含む一致の両方をサポートし,通信オーバーヘッドを抑えつつ,スケーラブルな解決策を提供する。
- 本プロトコルは,医療,金融,通信など,様々な分野におけるプライバシー保護型連合学習の応用を促進する。
エージェントはルートシェルを夢見るか? CTFチャレンジにおけるLLMエージェントの段階的評価 [cs.CL, cs.AI, cs.CR, cs.SE]目的:LLMエージェントのCTFチャレンジにおける能力評価
- サイバーセキュリティの自動化ニーズが高まる中で,LLMの活用が期待されている。
- 現実的な攻撃環境下でのLLMエージェントの能力は,十分に評価されていない。
- LLMエージェントの具体的な能力と課題を明らかにすること。
- DeepRedという,現実的なCTFチャレンジを評価するためのベンチマークが開発された。
- 10種類のLLMを評価した結果,平均的なチェックポイント達成率は35%に留まった。
- 一般的なチャレンジタイプには強い一方,非標準的な探索や長期的な適応能力は低いことが示された。
ガーブル回路を用いた視線追跡における安全な保存とプライバシー保護スキャンパス比較 [cs.CR, cs.HC]目的:視線追跡データの安全な保存とプライバシーを保護したスキャンパス比較
- VR/モバイル環境での視線追跡利用拡大に伴い,視線データの重要性が増している。
- 既存手法では,実用的なプライバシー保護機能が不足している。
- ガーブル回路を用いて,プライバシー保護されたスキャンパス比較を実現すること。
- 提案手法は,データ所有者と処理者が入力情報を秘匿したまま類似度を計算する2者間設定と,暗号化されたスキャンパスをオフラインで保存・処理するサーバー支援設定をサポートする。
- MultiMatch,ScanMatch,SubsMatchの実験結果から,暗号化された比較結果が平文の結果と一致し,実行時間や通信量も許容範囲内であることが示された。
- 様々なネットワーク条件下でのテストは,本設計が現実的なプライバシー保護スキャンパス分析に適用可能であり,他のガーブル回路ベースの行動アルゴリズムにも拡張可能であることを示唆する。
動的な振る舞いの学習による悪意のある機械学習モデルの検出 [cs.CR, cs.SE]目的:悪意のある事前学習済み機械学習モデルの検出
- 機械学習モデルの共有が容易になった一方,悪意のあるモデルによる攻撃のリスクが増大している。
- 既存の検出手法は静的解析に頼るため,実行時の振る舞いを捉えきれず,誤検知や見逃しが発生しやすい。
- 本研究は,動的解析と機械学習を用いて,正常なモデルの振る舞いを学習し,悪意のあるモデルを高精度に検出する。
- 提案手法DynaHugは,正常なモデルの実行時振る舞いを学習することで,悪意のあるモデルを検出する。
- 25,000以上のモデルを用いて評価した結果,既存手法と比較してF1スコアで最大44%の改善が見られた。
- 動的解析,OCSVM,クラスタリングといった設計要素が,DynaHugの有効性に貢献していることが示された。
意図しない文脈内学習:GPT-5.4の安全性アライメントを回避するための少数ショットパターン補完の利用 [cs.CR]目的:大規模言語モデルにおける安全性アライメント回避攻撃手法の特定と評価
- 大規模言語モデルの安全性確保は,社会実装において不可欠であり,その脆弱性の理解が重要である。
- 既存の安全性アライメントは,強力な文脈内パターンによって容易に上書きされ,悪意のある出力を引き起こす可能性がある。
- 文脈内学習を悪用した安全性アライメント回避攻撃のメカニズムを解明し,その対策を検討する。
- 抽象的な演算子表現と少数ショット例を用いることで,安全性トレーニングを上書きし,高い回避率を実現した。
- 演算子の命名が回避率に大きく影響し,直接的な質問応答形式では効果がなかった。
- 例の並び順も回避率に影響し,特に有害な例を最初に提示することが重要であることが示された。
自動 OpenAPI マッピングに基づく API セキュリティ [cs.RO, cs.SY, eess.SY, cs.CR]目的:HTTP REST API のモデル化と保護
- API は現代のソフトウェアシステムにおいて不可欠であり,セキュリティの確保は重要である。
- API の構造は頻繁に変化するため,手動でのセキュリティ対策は困難である。
- 自動化されたAPIの可視化,スキーマ推論,および異常検知を可能にすること。
- 本研究では,リアルタイムトラフィックからAPI構造を学習するMap Reduce Graph (MRG) を提案する。
- MRG は,他の手法と比較して,より高い再現率,高速な推論速度,および完全な精度を達成した。
- MRG は,動的なマイクロサービス環境でのAPIセキュリティを効率的に向上させる。
EvoPatch-IoT:進化を考慮したクロスアーキテクチャ脆弱性検索とBusyBoxベースIoTファームウェアのパッチ状態プロファイリング [cs.HC, cs.DC, cs.OS, cs.CR]目的:ストリッピングされたBusyBoxファームウェアバイナリに対する進化を考慮したクロスアーキテクチャ検索
- IoT機器のセキュリティ確保は不可欠であり,その多くにBusyBoxが組み込まれている。
- ファームウェアのストリッピングや,ベンダーによるパッチ適用の一貫性の欠如が,セキュリティ評価を困難にしている。
- 異なるアーキテクチャ向けにコンパイルされた同一ソースコードの脆弱性を効率的に特定すること。
- EvoPatch-IoTは,シンボルやソースパスに依存せず,バイナリの類似性を高精度に特定できる。
- 57のバージョンと1,020のアーキテクチャペアにおいて,Hit@1が34.56%,Hit@10が56.24%という高い性能を達成した。
- CVE-2021-42386パッチの状態を82.44%の平均精度で予測でき,スケーラブルな脆弱性監査の基盤となりうる。
グラフ構造が不利になる場合:時間的分布シフト下におけるビットコイン不正検知のためのグラフニューラルネットワークの再評価 [cs.LG, cs.AI, cs.CR, cs.SI]目的:ビットコイン不正検知におけるグラフニューラルネットワークの性能評価
- 金融取引における不正検知は,経済的損失の防止やセキュリティ確保の観点から極めて重要である。
- 既存研究では,グラフ構造を利用した手法が優れているとされているが,厳密な検証が不足している。
- 時間的分布シフト下において,グラフ構造が不正検知に果たす役割を正確に評価し,より効果的な手法を模索する。
- 厳密な評価プロトコル下では,従来のグラフニューラルネットワーク(GCN,GraphSAGE,GAT,EvolveGCN)は,特徴量のみを用いたRandom Forestに劣ることが示された。
- 学習時にテスト期間の隣接行列に触れることで性能が大きく低下し,グラフのトポロジーが時間的分布シフト下で誤解を招く可能性があることが明らかになった。
- グラフニューラルネットワークの埋め込み表現と生の特徴量を組み合わせたハイブリッドモデルも,特徴量のみを用いたモデルを下回る結果となった。
大規模言語モデル生成による難読化XSSペイロードの機械学習ベース検出における評価 [cs.CR, cs.LG, cs.SE]目的:難読化されたXSSペイロードの生成と評価
- Webセキュリティにおいて,クロスサイトスクリプティング(XSS)は依然として重要な脆弱性である。
- 従来の検出システムは,難読化によってペイロードの表面的な形が変わるため,攻撃の識別が困難である。
- 本研究は,大規模言語モデルを用いた難読化ペイロードの生成と,その実行時挙動に基づく評価を目指す。
- 大規模言語モデルによるペイロード生成パイプラインを構築し,決定論的変換技術と組み合わせた。
- ベースラインモデルでは実行時挙動の一致率が0.15であったが,ファインチューニングにより0.22に向上した。
- 生成されたペイロードを付加しても検出性能は向上しないものの,挙動フィルタリングされたサンプルは性能劣化を引き起こさないことが示された。
サイバーディフェンスベンチマーク:SecOpsにおけるLLMのためのエージェント型脅威ハンティング評価 [cs.CR, cs.AI]目的:LLMエージェントの脅威ハンティング能力の測定
- サイバー攻撃は高度化の一途をたどっており,セキュリティ専門家の負担が増大している。
- 脅威ハンティングは熟練した分析官に依存しており,自動化が困難である。
- LLMを活用し,脅威ハンティングの自動化と効率化を目指す。
- サイバーディフェンスベンチマークを構築し,LLMエージェントの脅威ハンティング性能を評価した。
- 評価した5つの最先端モデルはいずれも低い性能を示し,平均検出率は3.8%にとどまった。
- どのモデルも,自律的なSOC運用に必要なレベルに達していないことが示された。
バイナリにコンパイルメタデータを付加し,逆アセンブルを決定可能にする [cs.CR, cs.PL]目的:バイナリ実行ファイルの安全性と保守性の向上
- ソフトウェア配布の標準形式であり,その安全性向上は重要である。
- バイナリは不透明な形式であり,解析や操作が困難である。
- コンパイラの意図を反映したメタデータを付加し,解析を容易にする。
- 提案するバイナリ形式は,コンパイラの意図を捉えたメタデータを含み,より高水準な表現への変換を可能にする。
- 評価の結果,メタデータの付加は実行時動作や性能に影響を与えないことが示された。
- 実世界のC/C++バイナリを用いて検証した結果,動作を変更せずにリフト,インストルメント,再コンパイルが可能であることが確認された。
ユーザーデータを保護するためのAIエージェント実行環境 [cs.DC, cs.CL, cs.CR, cs.AI, cs.OS]目的:AIエージェントにおけるユーザーデータの機密性保証
- AIエージェントは普及が期待されるが,個人情報保護が課題となる。
- AIモデルへの攻撃や悪意のある提供者による情報漏洩リスクが存在する。
- ユーザーデータの利用許諾に基づき,機密性を保証する実行環境を開発する。
- GAAPは,ユーザーの許可仕様に基づき,AIエージェントのデータ開示を厳格に管理する。
- 情報フロー制御と新たなデータ管理技術により,複数タスクにわたる情報伝播も追跡可能。
- 評価実験の結果,GAAPはあらゆるデータ漏洩攻撃を阻止し,エージェントの有用性を損なわない。
「我々は現在,情報保全において問題ない」:JDが暗号化できない理由 [cs.CR, cs.CY, cs.HC]目的:米国軍の機密情報漏洩事件における情報保全違反の原因分析
- 情報セキュリティは,国家安全保障やプライバシー保護において不可欠であり,重要性が増している。
- 暗号化技術の導入が進む一方,人的要因や運用上の問題が情報漏洩を引き起こす可能性がある。
- 本研究は,暗号化技術の不適切な利用が情報セキュリティを損なうメカニズムを解明する。
- 信号プロトコルを利用しても,権力構造上の不均衡がオペレーション・セキュリティを脅かし,情報漏洩を招いた。
- 暗号化ツールは,誤った安心感を与え,情報共有の過剰を招く可能性があることが示された。
- 暗号化技術の利便性が向上しても,真のメッセージセキュリティは依然として困難である。
パリクベクトルによる巡回等価性の特徴づけ [quant-ph, cs.ET, math.CO, cs.CR]目的:巡回等価性の特徴付け
- カードベース暗号における重要な概念であり,安全性の根拠となる。
- より大きなアルファベットにおける巡回等価性の判定が困難であった。
- 任意の有限アルファベットにおける巡回等価性をパリクベクトルで判定する。
- 2つの単語が巡回等価であるための必要十分条件がパリクベクトルの等価性であることが証明された。
- これにより,ShinagawaとNuidaが提起した問題が完全に解決される。
機械の中の囁き:エージェントシステムにおける機密性 [cs.HC, cs.CR, cs.LG]目的:LLMベースエージェントシステムの機密性に関するリスク評価
- LLM技術の発展に伴い,自動化されたタスク処理の需要が高まっている。
- エージェントシステムは,外部ツールとの連携により攻撃対象領域が拡大し,機密情報漏洩のリスクがある。
- LLMエージェントにおける機密性リスクを定量的に評価し,脆弱性を明らかにすること。
- 調査の結果,評価したすべてのエージェントが少なくとも一つの攻撃に対して脆弱であることが判明した。
- 既存の防御策は,これらの脅威に対する信頼できる保護を提供できないことが示された。
- 特に,使用するツール自体が情報漏洩のリスクを増大させる可能性があることが明らかになった。
ギャップを気にせず!ETH下でのSVP困難性 [cs.CC, cs.CR, cs.DS]目的:指数時間仮説(ETH)の下での基礎的な格子問題の困難性
- 暗号理論や計算複雑性において,問題の困難性を保証する仮説は重要である。
- 格子問題の効率的な解法は,多くの暗号システムの安全性を脅かす可能性がある。
- ETHを仮定することで,特定の格子問題に対する効率的なアルゴリズムの存在可能性を否定する。
- 本研究では,$\mathsf{CVP}_{p,\gamma}$が$2^{o(n)}$時間で解けることはETHが誤っている場合にのみ可能であることを示した。
- $\ell_p$ノルムにおける$\mathsf{SVP}_{p,\gamma}$のランダム化ETH困難性を確立し,整数格子$\mathbb{Z}^n$の幾何学的性質を新たに発見した。
- $\mathsf{3SAT}$から$\mathsf{BDD}_{p,\alpha}$への既存の帰着を改善し,$\mathsf{BDD}_{p,\alpha}$のETH困難性に関するより良い結果を得た。
DeFiスマートコントラクトにおける制御フロー完全性の強制 [cs.NI, cs.CR, cs.SE]目的:DeFiスマートコントラクトのセキュリティ確保
- DeFiは金融サービスに変革をもたらすが,セキュリティ脆弱性が存在し,大きな損失につながる可能性がある。
- 既存のセキュリティ対策は,DeFiプロトコルの合成性と攻撃の巧妙化により,十分な保護を提供できない。
- 攻撃トランザクションに現れる新たな制御フローを検知し,制御フロー完全性を強制することでセキュリティを向上させる。
- 過去37のハッキングされたDeFiプロトコルのトランザクション分析から,攻撃トランザクションは常に新しい制御フローを導入することが明らかになった。
- CrossGuardは,事前にハックの知識を必要とせず,一度デプロイメント時に設定するだけで制御フローのホワイトリストポリシーを適用し,攻撃を防御する。
- CrossGuardは37件の攻撃のうち35件をブロックし,誤検知率は0.26%と低く,ガスコストも最小限に抑えることができた。
サイバーセキュリティにおける尤度の測定 [cs.CR]目的:サイバーセキュリティリスクの尤度を運用化するためのパイプライン
- サイバーセキュリティは重要性が増しており,リスク評価の精度向上が求められている。
- サイバーインシデントの報告不足や,データの異質性により,尤度の正確な推定が困難である。
- インシデントの証拠に基づいた,組織横断的に比較可能な尤度指標を構築すること。
- 本研究で提案するパイプラインは,外部知識と組織固有のテレメトリを統合し,尤度を測定可能にする。
- Exposure,Traceability,Motivation,Systems Updateの4つの構成要素に基づき,データモデルから優先順位付けまで一連のプロセスを形式的に規定する。
- 15組織での評価により,サイバーエクスポージャープロファイルを導入した組織で,インシデント頻度と検出/対応時間が短縮されたことが示された。
連合学習クライアントにおける敵対的観測を用いたリモートRowhammer攻撃 [cs.LG, cs.AI, cs.CR]目的:連合学習におけるサーバーメモリに対するリモートRowhammer攻撃の実現可能性
- 連合学習は,大規模な分散データを用いたAIモデルの学習を可能にする重要な技術である。
- 従来のFLセキュリティ研究はデータプライバシーに重点を置いており,サーバーへのクライアントからの攻撃は未解明である。
- 本研究は,クライアントの観測を操作することでサーバーのメモリを遠隔から攻撃する手法を提示する。
- 敵対的学習エージェントを用いて,サーバーモデルにおいて約70%の反復更新率を達成し,DRAM上のビット反転を誘発することに成功した。
- サーバーへのバックドアアクセスなしに,リモートRowhammer攻撃が実現可能であることを実証した。
- 本研究は,連合学習におけるセキュリティ対策とハードウェア設計の改善に向けたさらなる研究の道を拓く。
隠れた攻撃者に対する誤用軽減策のベンチマーク評価 [cs.CR, cs.AI]目的:隠れた攻撃者に対する誤用軽減策の評価
- 言語モデルの安全性確保は重要であり,社会への影響を考慮する必要がある。
- 既存の安全性評価は直接的な攻撃に焦点を当て,巧妙な攻撃を捉えきれない。
- 一見無害な小さなタスクの組み合わせによる巧妙な攻撃への対策を評価する。
- 既存の安全対策は,複数の独立したクエリに分割された巧妙な攻撃に対して脆弱である。
- Stateful Defenses(状態保持型防御)は,このような攻撃に対する有望な対抗策となる可能性が示唆された。
- 新しいデータセットを構築し,最先端モデルとオープンウェイトモデルの評価を可能にした。
ヘルパー支援型悪意のあるセキュリティを用いた効率的かつ高精度なプライベートCNN推論 [cs.CR]目的:プライベートCNN推論の効率性と精度向上
- 機械学習サービス利用時のデータプライバシー保護が重要視されている。
- 悪意のある参加者が多数存在する場合,セキュリティ,効率性,精度のバランスが課題。
- ヘルパー支援型モデルにおいて,高精度かつ効率的なニューラルネットワーク推論を実現する。
- 本研究では,暗号化技術,MPCプロトコル,モデル学習の共同設計により,高い効率性とほぼ同等の精度を達成した。
- リングに対する認証共有を拡張し,固定小数点演算の効率化と定数ラウンドプロトコルを設計した。
- 知識蒸留とウォーム初期化を用いた学習戦略により,多項式モデルの表現力を向上させた。
スマートコントラクトに対する攻撃自動生成:プロンプトによる脆弱性悪用 [cs.CR, cs.AI, cs.ET]目的:スマートコントラクトの脆弱性に対する攻撃の自動生成
- デジタル金融におけるスマートコントラクトの重要性が増す中,セキュリティ確保は不可欠である。
- 一度デプロイされたスマートコントラクトは修正が困難であり,脆弱性が残存しやすい。
- LLMを活用した攻撃自動生成の可能性を探り,脆弱性への対策を強化することを目指す。
- 最新のLLMは,単一コントラクトの脆弱性に対する決定的なPoCを生成できる場合があることが示された。
- しかし,複数コントラクトに跨る攻撃に関しては,依然として弱点が見られる。
- LLMによる攻撃自動生成には限界があり,現実的な経済的攻撃との乖離や,より強固な防御策の必要性が示唆された。
ツールチェーンにおける寄生:MCPエコシステムの攻撃に関する大規模分析 [cs.CR]目的:大規模言語モデル(LLM)におけるツールチェーン攻撃の体系的なプライバシー漏洩パターン
- LLMの利用拡大に伴い,外部システムとの連携が不可欠となり,セキュリティリスクが顕在化している。
- 従来のプロンプトインジェクションやツールポイズニング攻撃とは異なり,ツールチェーン全体を標的とする攻撃が課題である。
- MCPエコシステムにおける脆弱性を特定し,プライバシー漏洩のリスクを評価すること。
- MCPエコシステムには,悪意のある指示を実行可能なガジェットが多数存在することが判明した。
- 攻撃は,寄生的な取り込み,プライバシー収集,プライバシー開示の3段階で展開され,秘密データの窃取に至る。
- MCPには,コンテキストとツールの分離,最小権限の強制が欠如しており,攻撃指示が拡散しやすい根本原因が明らかになった。
物理層ディセプションをスタケルバーグゲームとして:戦略領域,均衡,および堅牢な設計 [cs.CR, cs.IT, math.IT]目的:物理層ディセプションにおける送信機と盗聴者の戦略的相互作用の解析
- 無線通信における情報セキュリティは,ますます重要になっており,新たな脅威への対策が求められている。
- 従来の物理層セキュリティは,傍受に対する脆弱性を抱えており,より高度なセキュリティ手法が課題となっている。
- ディセプション技術を導入することで,盗聴者の誤認を誘い,セキュリティ性能を向上させることを目指す。
- 送信機と盗聴者の相互作用をスタケルバーグゲームとしてモデル化し,戦略領域を解析した。
- 最適な動作点はスタケルバーグ均衡であり,時間平均セキュリティが向上することが示された。
- 提案手法は,ナカガミmフェージング環境下で,従来の物理層セキュリティと比較して12-55%高い盗聴者への歪みをもたらすことが確認された。
LLMウォーターマーキングは,実用的な採用に向けて関係者のインセンティブと整合するべきである [cs.CR, cs.CL]目的:LLMウォーターマーキングの実用的な採用を促進するための関係者間のインセンティブ整合
- LLMの普及に伴い,生成されたコンテンツの信頼性確保が重要になっている。
- 既存のウォーターマーキング技術は,利害の対立により実用化が進んでいない。
- 関係者のインセンティブを整合させることで,ウォーターマーキングの導入を促進する。
- LLMプロバイダー,プラットフォーム,エンドユーザーのインセンティブの不一致が,ウォーターマーキングの普及を妨げている。
- インコンテキストウォーターマーキング(ICW)は,信頼できる関係者にとって,信頼性の高い不正利用検出ツールとなり得る。
- 特定のドメインにおけるインセンティブに合わせたウォーターマーキング設計が,実用化の鍵となる。
ContextLeak:プライベートIn-Context Learning手法における情報漏洩の監査 [cs.CL, cs.CR, cs.CL]目的:In-Context Learningにおける最悪の情報漏洩の経験的測定
- 大規模言語モデルの活用が進む中で,タスク固有のデータを用いた学習が不可欠である。
- 機密情報を含むデータを用いた場合,モデル出力からの意図しない情報漏洩リスクが存在する。
- 既存のプライバシー保護手法の監査方法がなく,その有効性を検証する必要がある。
- ContextLeakフレームワークは, Canaryトークン挿入により,最悪の情報漏洩を検出する。
- 実験により,既存のプライバシー保護手法で情報漏洩が確認され,プライバシー予算との相関が示された。
- 既存手法は,プライバシーと実用性のトレードオフが不十分であり,情報漏洩または性能低下のいずれかが生じる。
- 1
- 2