arXiv雑要約
セキュリティ - 2026/05/06 公開
身体化AIの安全性:リスク,攻撃,防御に関する調査 [cs.HC, cs.HC, cs.CR, cs.AI, cs.CV, cs.RO]目的:身体化AIにおける安全性に関する研究の概観
- 身体化AIは現実世界で動作するため,安全性確保は不可欠である。
- 既存研究は断片的であり,体系的な整理が求められていた。
- 身体化AIの安全性に関する課題を明確化し,今後の研究方向を示す。
- 本調査は,知覚から行動,そしてシステム全体に至るまでの攻撃と防御を網羅的に分析した。
- マルチモーダル知覚の脆弱性,脱獄攻撃下での計画の不安定性,人間とのインタラクションの信頼性などの課題を指摘した。
- 安全性,堅牢性,信頼性を備えた身体化AIを開発するためのロードマップを提示する。
安全幾何の崩壊:エージェント型ガードモデルの微調整における脆弱性 [cs.LG, cs.AI, cs.CR]目的:エージェント型AIパイプラインにおけるガードモデルの安全性喪失とその軽減策
- AIの安全性確保は,社会実装において不可欠であり,その重要性は増している。
- ガードモデルは微調整により安全性と性能のバランスを崩しやすく,脆弱性が生じやすい。
- 本研究は,ガードモデルの微調整に伴う安全性喪失のメカニズムを解明し,その対策を提案する。
- 完全に安全なデータで微調整されたガードモデルが,敵対的操作なしに安全性を失うことを示した。
- 安全性喪失は,有害と安全を区別する潜在的な幾何構造の崩壊に起因することが明らかになった。
- Fisher加重安全部分空間正則化(FW-SSR)は,ガードモデルの安全性を効果的に回復し,監視の信頼性を向上させた。
拒否の動態の追跡:潜在的な拒否軌跡を活用した堅牢な脱獄検出 [cs.FL, cs.CR, cs.AI, cs.CL, cs.LG]目的:拒否の動態解析と,それを利用した脱獄検出手法
- 大規模言語モデルの安全性確保は,社会実装において重要な課題である。
- 従来の脱獄検出は終端状態に依存し,巧妙な攻撃に対して脆弱である。
- 攻撃が終端信号を抑制しても残る,拒否の潜在的な軌跡の検出。
- 拒否は静的なベクトルではなく,動的かつ疎なプロセスであることが示された。
- 因果追跡により,「拒否軌跡」という,攻撃に耐性のある先行するシグネチャが発見された。
- 提案手法SALOは,この拒否軌跡を捉え,脱獄検出率を大幅に向上させた。
分解して理解し,融合して検出:暗号化されたネットワークトラフィックに対する周波数分離異常検知 [cs.CR, cs.AI]目的:暗号化されたネットワークトラフィックにおける異常検知手法
- サイバーセキュリティにおいて,ネットワークトラフィックの異常検知は重要な課題である。現代のネットワークは,セキュリティのために暗号化が広く用いられている。
- 暗号化により,従来の異常検知手法では十分な精度が得られないという課題がある。画像ベースの手法が主流だが,限界が存在する。
- 暗号化トラフィックの高周波成分を考慮した,新しい異常検知フレームワークを開発し,検知性能の向上を目指す。
- 提案手法FreeUpは,トラフィックデータを低周波と高周波の帯域に分解し,それぞれを独立した処理ブランチで扱うことで,周波数特性の不一致問題を解決する。
- FreeUpは,各ブランチの再構成不確実性を定量化し,動的に統合することで,より信頼性の高い異常スコアを提供する。
- 複数のベンチマークにおける実験結果から,FreeUpが最先端のベースライン手法を継続的に上回ることが示された。
対照的プライバシー:AIベースの匿名化のプライバシー測定に関する意味論的アプローチ [cs.CR]目的:AIベースの匿名化手法のプライバシー保護性能の定量的な評価
- 画像やテキストからの特定概念の匿名化は重要であり,プライバシー保護の必要性が高まっている。
- 既存の匿名化手法は直感に頼ることが多く,形式的な保証がないため,評価が困難である。
- 意味論的な解釈に基づいた,形式的かつ定量的なプライバシー評価手法を確立すること。
- 提案手法である対照的プライバシーは,匿名化されたメディアと同一データセット内の他のメディアを比較することで,プライバシー侵害の可能性を評価する。
- 画像およびテキストに対して,最先端のAIモデルを用いた実験により,匿名化の成功度を34通り,15通りそれぞれ評価した。
- この手法は匿名化のメカニズムに依存せず,特定の失敗事例を特定できることが示された。
ポスト量子TLS対応に向けた可観測性:多層的証拠フレームワーク [cs.CR, quant-ph]目的:ポスト量子TLSの可観測性に関する多層的証拠フレームワーク
- TLSはインターネットのセキュリティ基盤であり,その安全性は極めて重要である。
- TLSの量子コンピュータに対する耐性評価は困難であり,現状の可観測性では不十分である。
- TLS移行における証拠に基づいた測定手法を確立し,量子耐性を評価する。
- 本フレームワークは,セッション証拠,能動的プローブ,証明書チェーン証拠,レジストリ知識を分離することで,TLSの多層的な可観測性を実現した。
- 29の制御されたシナリオにおいて,パッシブ証拠,能動的プローブ,多層的証拠がそれぞれ異なる側面からの測定を可能にすることが示された。
- 大規模な公開キャンペーンでは,1971件のハンドシェイクが完了し,310のターゲットでハイブリッド機能が確認され,単一の古典的なセッションビューでは明らかにならないエンドポイント機能が310件特定された。
金融適応認証のリスク・コストモデル構築に向けて [cs.CR]目的:金融適応認証におけるリスクとコストのモデル
- 金融システムでは,認証セキュリティが極めて重要であり,わずかな誤認容認率の増加が甚大な金銭的損失につながる。
- 既存の適応認証は概念的に断片化されており,経済的リスクや敵対的リスクの明示的なモデリングよりも,規制遵守を優先しがちである。
- 本研究は,認証を経済的根拠に基づいた動的なリスク・コスト最適化問題として再構築し,経済的損失や不正リスクに対応できるシステムを構築する。
- 本研究では,金融適応認証のための正式なリスク・コストモデル(RCM)を提案する。
- RCMは,詐欺損失,機会費用,CVaRなどを捉えたコスト感受性リスク関数,敵対的プロービングへの適応メカニズム,制約条件を統合する。
- RCMは,静的な分類やコンプライアンス重視の設計から脱却し,経済的根拠に基づき,テールリスクを意識した,敵対的不確実性に強いシステムを目指す。
ウェブトラッカー検出の現状と今後の展望:SoK [cs.CR]目的:ウェブトラッカー検出手法の体系化と知識の統合
- ウェブトラッキングは現代のウェブにおいて遍在しており,ユーザーのプライバシーに関わる重要な課題である。
- 従来のフィルタリングリストやブロッカーには限界があり,より高度なトラッカー検出手法が求められていた。
- 既存研究を体系的に整理し,今後のウェブトラッカー検出研究の基盤を構築すること。
- 本研究では,832件の論文から59件の主要研究と16件の補助研究を抽出し,ウェブトラッカー検出手法の分類体系を提案した。
- 過去の研究の傾向を分析・評価し,今後の研究課題と改善点を明らかにした。
- 限定的な再現実験を行い,過去研究の妥当性を評価するとともに,本分野における新たな問題点を指摘した。
LiteShield:特徴選択駆動型軽量侵入検知システム - リソース制約のあるIoTネットワーク向け [cs.CR]目的:リソース制約のあるIoTネットワークにおける正確な侵入検知
- IoTデバイスの普及はデジタルインフラの攻撃対象領域を拡大しており,セキュリティ対策が急務である。
- 従来の侵入検知システムは計算コストが高く,リソースの限られたIoT環境への適用が困難である。
- LiteShieldは,特徴選択と軽量な機械学習モデルを組み合わせ,IoT環境での侵入検知を可能とする。
- LiteShieldは,UNSW-NB15データセットを用いて,データ前処理と不均衡データへの対応を行った。
- KNNは二値分類で98.26%の精度を達成したが,実用的な観点からはRandom Forestが,精度と効率性のバランスに優れていた。
- Random Forestは二値分類で98.01%,多クラス分類で80.39%の精度を,KNNよりも少ないモデルサイズと推論コストで実現した。
ChaRVoC:チャレンジ応答型音声キャンセル可能認証システム [cs.CR]目的:チャレンジ応答型音声キャンセル可能認証システムの研究
- 音声認証は利便性が高いが,セキュリティ上の課題が存在する
- 認証テンプレートの盗難や再利用攻撃のリスクが懸念される
- テンプレートの更新や再利用を防ぐためのキャンセル可能性の実現
- 提案手法ChaRVoCは,固有の音声特徴,秘密鍵,動的チャレンジを組み合わせることで,高いセキュリティを確保する
- HashGray-XORスキームにより,数学的に復元不可能な安全なテンプレートを生成し,テンプレートの秘匿性を高める
- VoxCeleb1等のデータセットによる評価で,既存手法と同等以上の認識性能とキャンセル可能性,非連結性を示す
PHANTOM:物語に合わせた組織模倣による多態的ハニートークン適応 [cs.CR]目的:組織特有の知識を組み込んだ,より説得力のあるハニートークンの生成
- サイバー攻撃の検出・帰属特定において,ハニートークンは重要な役割を果たす。
- 既存のハニートークン生成ツールは,組織特有の情報が不足しており,識別されやすい。
- PHANTOMは,組織の文脈に合わせたハニートークンを生成し,検出抵抗性を向上させる。
- PHANTOMは,既存のテンプレート方式と比較して,ハニートークンの説得力スコア(B)を有意に向上させた(B=0.778 vs 0.576)。
- 人間による評価では,PHANTOMによって生成されたハニートークンの受容率は100%に達し,大幅に改善された。
- 正規表現,エントロピー解析,機械学習分類器を用いたシミュレーションにおいて,PHANTOMは検出抵抗性を向上させた(DR=0.609 to 0.870)。
安定的な能動的制御:自律的なサイバー防御のためのツール媒介LLMアーキテクチャ [cs.AI, cs.CR, cs.SY, eess.SY]目的:高度な意思決定を必要とするエージェントシステムの形式的な保証
- サイバー攻撃は巧妙化の一途を辿り,セキュリティ対策の自動化と高度化が不可欠である。
- 既存のシステムは,敵対的状況下での形式的な保証を提供できていない。
- 敵対的環境下でも安定性と制御性を保証するアーキテクチャの実現。
- 提案アーキテクチャは,決定論的なツールと有限な行動カタログを使用することで,システムの制御性と可観測性を保証する。
- Lean 4による形式検証により,コントローラと敵対者のカタログからの選択に対する安定性が証明された。
- 実環境の攻撃グラフを用いた評価で,攻撃者の期待ペイオフを59%削減し,アーキテクチャの安定性がLLMの能力に依存しないことを示した。
プライバシー保護のための分散型深層変分アプローチ [cs.CR, cs.LG]目的:プライバシー保護データ公開のための手法
- データ活用において,プライバシー保護は不可欠であり,個人情報保護とデータ利活用の両立が求められている。
- 連合学習ではデータ漏洩リスクが残存し,機密属性が推測される可能性がある。
- データ公開時のプライバシー保護と有用性の両立を目指す。
- 提案手法GPPは,入力データから低次元の匿名化表現を学習することで,プライバシーを保護する。
- GPPは,相互情報量を最小化し,同時に有用性を維持するように設計されている。
- MNIST,CelebA,HAPT-Recognitionのベンチマークで,GPPは高い有用性を維持しつつ,敵対者のAUCを大幅に低減した。
JBShieldの再検討:表現レベルの脱獄防御を打破し再構築する [cs.CL, cs.CR]目的:大規模言語モデルに対する脱獄攻撃への防御機構の脆弱性と改善策の検討
- 大規模言語モデルの悪用を防ぐため,脱獄攻撃に対する堅牢な防御が不可欠である。
- 既存の防御策は,攻撃者が防御メカニズムを直接標的とする適応的脅威モデルに対して脆弱である。
- 適応的な脱獄攻撃に対する構造的な脆弱性を明らかにし,より信頼性の高い防御手法を提案する。
- JB-GCG攻撃により,JBShield防御機構の平均攻撃成功率(ASR)は46.2%に達し,最良のケースでは53.4%に達した。
- RTV防御は,提案された攻撃に対して0.99のAUROCスコアを達成し,高い検出能力を示した。
- 強固な非適応的検出だけでは,適応的脅威モデルに対する堅牢性は保証されず,多層表現の一貫性がより信頼できる脱獄検出の基盤となる。
PIIGuard:敵対的サニタイズ下におけるPII収集の軽減 [cs.HC, cs.CR, cs.AI, cs.CL]目的:ウェブページレベルでのPII(個人識別情報)収集の軽減策
- LLMアシスタントの普及に伴い,WebからのPII収集のリスクが増大している。
- 既存の防御策はモデル側やサービス側に依存しており,Webサイト所有者が利用できる選択肢が限られている。
- Webサイト所有者が,自身のページ上でPII漏洩を軽減するための手法を提供する。
- PIIGuardは,最適化された隠れたHTMLフラグメントを埋め込むことで,LLMがPIIを直接または再構築的に開示するのを防ぐ。
- GPT-5.4-nano,Claude-haiku-4.5,DeepSeek-chat(v3.2)を用いた評価で,97.0%以上の防御成功率を達成。
- Webブラウジングや攻撃者側のサニタイズ下においても,一定の有効性が確認されたが,モデルやインターフェースによって効果が変動する。
ゼロデイ攻撃:新規行動か新規脆弱性か [cs.CR]目的:ゼロデイ攻撃の実態の分析
- サイバーセキュリティにおいて,未知の脆弱性を狙うゼロデイ攻撃は深刻な脅威である。
- 従来のシグネチャベースの検知手法では,ゼロデイ攻撃の検出が困難である。
- ゼロデイ攻撃の実際の攻撃メカニズムを理解し,効果的な防御策を確立すること。
- 過去20年間のゼロデイ攻撃事例を分析した結果,新規の攻撃行動よりも,未知の脆弱性の悪用が主な原因であることが判明した。
- ゼロデイ攻撃の脆弱性タイプに関する分類を提案し,機械学習ベースの侵入検知システムの前提とのミスマッチを指摘した。
- 脆弱性中心のアプローチが,現実の攻撃メカニズムとより整合性があり,防御において重要であると主張した。
説明可能なマルウェア解析のためのRetrieval-Augmented Generationの評価 [cs.CR]目的:マルウェア解析における説明の質評価
- サイバーセキュリティ対策において,マルウェアの挙動を理解することは不可欠である。
- マルウェア解析報告書の複雑さから,専門家でも理解に時間を要することがある。
- Retrieval-Augmented Generationの有効性を検証し,マルウェア解析の効率化を目指す。
- Retrieval-Augmented Generationは,マルウェアの説明において必ずしも品質向上に繋がらないことが判明した。
- 多くの場合,外部知識の注入により,説明が冗長化したり,的外れな情報が含まれることで,かえって質の低下を招く。
- マルウェア解析は知識検索ではなく,信号抽出が重要であり,その点を考慮したワークフロー設計が求められる。
HackerSignal:脆弱性ライフサイクルとハッカーコミュニティの議論を結びつける大規模マルチソースデータセット [cs.CR]目的:ハッカーコミュニティの議論とCVE脆弱性ライフサイクルを結びつける大規模なデータセット
- サイバーセキュリティ対策の高度化には,脅威インテリジェンスの収集と分析が不可欠である。
- 脆弱性情報の多岐にわたるソース間の連携が難しく,効率的な分析が困難である。
- ハッカーコミュニティの議論から脆弱性の兆候を早期に検出し,対応を迅速化すること。
- HackerSignalは,1990年から2026年までの36年間のデータを収録した,745万件の重複排除された文書を含む。
- このデータセットは,ハッカーコミュニティの議論,エクスプロイトデータベース,脆弱性に関する勧告,ソフトウェアの修正コミットを結びつける。
- CVEリンケージ検索,エクスプロイトタイプ分類,時間的汎化といったベンチマークタスクを可能にする。
悪意のあるコード生成のための検証済みプロンプトバンク:1554の合意ラベル付きプロンプトにおける実行可能な武器とセキュリティ知識の分離 [cs.CR, cs.SE]目的:悪意のあるコード生成に関する言語モデルの拒否に関するプロンプトの分類
- 言語モデルの安全性評価において,悪意のあるコード生成を抑制することが重要である。
- 既存のベンチマークでは,実行可能な悪意のあるソフトウェアの要求と有害なセキュリティ知識の要求が混同されている。
- 言語モデルの拒否メカニズムを分離し,より正確な安全評価を行うためのプロンプトバンクを構築する。
- 本研究では,五つの大規模言語モデルによる合意プロトコルを用いて,3133のプロンプトを「武器」と「知識」に分類した。
- その結果,1554のプロンプトからなるCODEバンクと388のプロンプトからなるKNOWLEDGE比較セットを作成した。
- 五つのモデル間の一致度は高く,Fleiss' kappaは0.876であり,「ほぼ完全な」一致を示した。
多段階エージェントにおける依存性に基づいたプライバシー保護 [cs.CE, cs.CR]目的:多段階エージェントにおけるプライバシー保護の改善
- LLMエージェントの普及に伴い,プライバシー保護の重要性が増している。
- 既存のプライバシー保護手法は,複数段階でのデータ利用における情報を考慮できていない。
- 本研究は,計算グラフの根となる属性のプライバシー劣化問題を解決する。
- RootGuardは,根となる値を一度ノイズ化し,その後のリリースを決定的に計算することで,プライバシー保護を強化する。
- RootGuardは,構造的なドメイン知識を利用して予算を根に配分し,プライバシーと有用性のトレードオフを改善する。
- NHANESデータを用いた実験で,RootGuardは独立ノイズ化よりも低い目標エラー率を達成した。
エージェントが秘密を扱う場合:エージェントAIのための秘密計算に関する調査 [cs.CR, cs.AI]目的:エージェントAIにおける秘密計算の設計空間
- AIエージェントの普及に伴い,そのセキュリティ確保は喫緊の課題となっている。
- 既存のソフトウェアベースの防御策は,権限のある攻撃者によって回避される可能性がある。
- ハードウェアに基づいた秘密計算により,エージェントAIのセキュリティを向上させることを目指す。
- 本調査では,Intel SGX,TDX,AMD SEV-SNPなど,6つのTEEプラットフォームを包括的に比較検討した。
- エージェントAI特有の脅威モデルを提示し,知覚,計画,メモリ,行動,連携の各層におけるセキュリティ目標を定義した。
- 現在の秘密計算ベースの防御策の現状を分析し,マルチホップエージェントチェーンやGPU-TEE性能に関する課題を提示した。
安全ファインチューニングのための自己生成困難度 [cs.LG, cs.AI, cs.CR]目的:言語モデルの安全ファインチューニング手法
- 言語モデルの安全性確保は,社会実装において不可欠であり,その重要性は増している。
- 既存の安全ファインチューニングは,専門家による有害なプロンプトの作成に依存し,コストが高い。
- モデル自身で困難なプロンプトを特定し,それを用いて安全性を向上させる方法を模索する。
- 本手法は,Llama-3モデルにおいて,WildJailbreak攻撃の成功率を大幅に削減することに成功した。
- しかし,無害なプロンプトに対する拒否率が上昇するという課題も明らかになった。
- 有害プロンプトと無害プロンプトを混合して学習することで,拒否率を抑制しつつ,攻撃成功率を低減することができた。
MAGE:長期的な脅威からLLMエージェントを保護するシャドウメモリ [cs.CR, cs.AI, cs.CL]目的:LLMエージェントに対する長期的な脅威の防御
- LLMエージェントの利用拡大に伴い,安全性確保が重要課題となっている。
- 従来の防御手法では,複数ターンにわたる攻撃に対応が困難である。
- エージェントの行動履歴を安全に管理し,早期に脅威を検知・軽減する。
- MAGEは,エージェントの安全に焦点を当てた独立したメモリを維持することで,長期的な脅威を効果的に検出する。
- 既存の防御手法と比較して,検出精度が大幅に向上し,攻撃の早期発見を実現する。
- エージェントの有用性への影響は軽微であり,実用的な防御フレームワークとなりうる。
SILMARILS:情報理論的かつ量子安全な指定検証者署名 [cs.CR]目的:指定検証者署名方式の構築
- ブロックチェーン等の応用において,安全な署名方式の確立が重要である。
- 既存の署名方式は,量子コンピュータの脅威に晒されている可能性がある。
- 量子コンピュータに対しても安全な,実用的な署名方式を提案すること。
- SILMARILSは,$\mathbb{F}_p$ 上の最小限の代数的構造と真の乱数,完全な2-out-of-2 Shamir秘密分散を用いて構築された。
- 二者モードでは,転送可能な指定検証者(TDV)署名方式を実現し,Jakobsson-Sako-Impagliazzo DVセキュリティを達成する。
- Dilithium等と比較して,鍵と署名のサイズを大幅に小さく抑えつつ,量子耐性を持つTDV署名を提供する。
暗号学的レジストリ由来:AIパッケージエコシステムにおける依存性混乱に対する構造的防御 [cs.CR, cs.AI, cs.SE]目的:依存性混乱攻撃に対する構造的な防御機構
- ソフトウェアサプライチェーンのセキュリティ確保は,現代のソフトウェア開発において不可欠である。
- パッケージ管理システムには,配布元を検証する仕組みが不十分な点が課題である。
- ソフトウェア配布元を暗号学的に証明し,依存性混乱攻撃を防止すること。
- 本研究では,レジストリの暗号学的識別,二重署名モデル,権威あるネームスペースのバインディングという三層防御システムを提案した。
- 既存の8つのエコシステムにおいて,これらの要素を全て満たすシステムは存在しないことが示された。
- 本システムは,AI生成物の由来証明にも拡張可能であり,ランタイムガバナンスアーキテクチャとの統合も可能である。
SkCC:クロスフレームワークLLMエージェント向けポータブルかつセキュアなスキルコンパイル [cs.CR, cs.AI]目的:LLMエージェントにおけるスキル開発の効率化と安全性向上
- LLMエージェントの複雑なタスク実行能力向上には,エージェントの機能定義が重要である。
- フレームワークによるプロンプト形式への依存度が高く,スキルの移植性やメンテナンス性が課題となっている。
- スキル定義とプラットフォーム依存性を分離し,セキュリティリスクを低減する。
- SkCCは,スキルの中間表現SkIRを導入し,プラットフォーム間の移植性を実現した。
- コンパイル時にセキュリティ制約を適用し,スキルの脆弱性をプロアクティブに検知する。
- SkillsBenchでの実験により,コンパイルされたスキルは,Claude CodeとKimi CLIにおいて高いパフォーマンス向上とトークン削減効果が確認された。
ARGUS:文脈を認識したプロンプトインジェクションに対するLLMエージェントの防御 [cs.CR, cs.SE]目的:LLMエージェントに対する文脈を認識したプロンプトインジェクション攻撃のベンチマークと防御機構
- LLMエージェントの利用拡大に伴い,セキュリティリスクが顕在化している。
- 既存の防御法は,文脈に依存しない単純な攻撃を想定しており,現実世界の複雑な状況に対応できない。
- 文脈に依存するプロンプトインジェクション攻撃に対応し,エージェントの安全性を確保すること。
- 本研究では,文脈依存型タスクと攻撃を評価するベンチマークAgentLureを提案した。
- 提案手法ARGUSは,信頼できる証拠に基づいて意思決定を検証することで,攻撃成功率を大幅に低減した。
- ARGUSは既存の防御法を凌駕し,タスクの有用性を維持しながら堅牢な防御を実現した。
DECKER:クロスキーボード抽出・認識のためのドメイン不変埋め込み [cs.CR, cs.SD]目的:キーボードからの音響サイドチャネル攻撃に対する堅牢なキーストローク推論
- キーボード操作音から情報を推測される音響サイドチャネル攻撃は,深刻なセキュリティリスクとなる。
- 既存研究は,ユーザー,キーボード,環境の多様性が限られた小規模データセットに依存しており,汎化性能が課題である。
- 多様な環境下での音響サイドチャネル攻撃の有効性と,それに対する対策の検討を可能とする。
- 提案手法DECKERは,デバイス固有の影響を低減し,キーボードIDを抑制することで,クロスキーボード・ユーザー設定でのキーストローク識別精度を向上させる。
- 大規模データセットHEARを用いて,従来のモデルと比較してDECKERの有効性を検証した結果,特にクロスキーボード環境で顕著な性能向上を示した。
- さらに,LLMを用いた後処理により,言語的文脈に基づいたキーストロークシーケンスの修正が可能となり,推論精度が向上した。
微分プライバシー保護されたGNN説明からのグラフ再構成 [cs.CL, cs.LG, cs.CR]目的:GNN説明からのグラフ構造再構成の脆弱性評価
- 機械学習モデルの説明可能性は,透明性確保や信頼性向上のために重要である。
- プライバシー保護のため差分プライバシーが用いられるが,説明からの情報漏洩リスクが残る。
- 差分プライバシー保護されたGNN説明からのグラフ構造再構成の可能性を検証する。
- 差分プライバシー保護されたGNN説明のみから,隠れたグラフ構造を高精度に再構成できる攻撃手法PRIVXを提案した。
- PRIVXは,差分プライバシーのガウスノイズ機構を逆拡散過程として捉え,汚染された信号からグラフを再構成する。
- ホモフィリックグラフでは近傍集約型説明者が,ヘテロフィリックグラフでは勾配説明者がより構造を漏洩しやすいことを示した。
数学的エンコーディングによるLLMの安全性ギャップの露呈:新たな攻撃と体系的な分析 [cs.CL, cs.CL, cs.CR, cs.AI, cs.CL, cs.LG]目的:LLMの安全性における脆弱性の解明
- LLMは社会に広く普及しており,その安全性確保は重要な課題である。
- 既存の安全性対策は意味的なパターンマッチングに依存しており,巧妙な回避策に弱い。
- 数学的表現を用いることで,意味解析を回避し,有害な出力を誘発する攻撃を可能にすることを示す。
- 有害なプロンプトを,集合論,形式論理,量子力学などの数学的問題としてエンコードすることで,既存の安全対策を回避できることが示された。
- 攻撃の成功率はモデルによって異なるが,平均で46%~56%に達し,GPT-5やGPT-5-Miniなどの新しいモデルは古いモデルよりもロバストであることがわかった。
- 安全性対策が数学的な構造を理解することが重要であり,表面的な意味解析だけでは不十分であることが示唆された。
MEMSAD:検索拡張エージェントにおけるメモリポイズニングのための勾配結合異常検知 [cs.CR, cs.AI, cs.LG]目的:検索拡張エージェントにおけるメモリポイズニング攻撃の異常検知
- 大規模言語モデル(LLM)エージェントの性能向上に外部メモリ活用が不可欠。その安全性評価は重要課題。
- 外部メモリのセキュリティ特性は未解明であり,悪意のあるデータ注入による攻撃リスクが存在する。
- 勾配結合定理に基づき,メモリポイズニング攻撃を検知する堅牢な防御機構を開発する。
- 提案手法MEMSADは,エンコーダの正則性下で,異常スコア勾配と検索目的勾配が同一であることを証明した。
- 最小最大最適性を示すLe Camの方法により,MEMSADが校正サンプル数に関して最適な性能を発揮することを示した。
- 実験により,複合防御は全ての攻撃に対して真陽性率1.00,偽陽性率0.00を達成。ただし,同義語置換攻撃は検知を回避する脆弱性も確認された。
TinyGoからgcコンパイラへ:Zoryaの動的解析フレームワークを実用的なGoバイナリへ拡張 [cs.CR, cs.SC, cs.SE]目的:実用的なGoバイナリにおける脆弱性検出
- ソフトウェアのセキュリティ確保は重要であり,バイナリ解析はそのための不可欠な手法である。
- 既存のバイナリ解析ツールは,多スレッド環境や実用的なコードベースへの対応が課題であった。
- Go言語の標準コンパイラgcで生成されたバイナリに対する脆弱性検出能力の向上を目指す。
- Zoryaをgcコンパイラで生成された多スレッドバイナリに対応するように拡張した。
- Kubernetes,Go-Ethereum,CoreDNSなど,実世界のGoプロジェクトから11件の脆弱性を解析した結果,7件のバグを検出した。
- 検出されたバグの中には,他のツールでは手動でオラクルを用意しない限り検出できないものも含まれる。
メモリ内画像ステガノグラフィのための抵抗性メモリを用いた軽量暗号設計 [cs.CR, cs.ET]目的:メモリ内計算アーキテクチャにおける軽量暗号の実現
- データ集約型アプリケーションの増加に伴い,プロセッサとメモリ間のデータ転送によるエネルギー消費と性能劣化が課題となっている。
- データ転送の頻発は,データアクセスの脆弱性を高める。セキュリティ対策が急務である。
- 抵抗性メモリを用いたメモリ内計算と軽量暗号を統合し,セキュリティと性能の課題を解決する。
- 軽量暗号TriviumとGrain-128aを,状態遷移型含意論理(IMPLY)を用いてメモリ内計算アーキテクチャに実装した。
- 従来のIMPLY実装と比較して,提案手法によるデータシフト方式が計算ステップ数を削減し,エネルギー消費を最大44%削減した。
- ステガノグラフィ応用において,提案回路の実用的な効率性が確認された。
検証可能なデータ評価のための実用的なゼロ知識システム:ZK-Value [cs.CR]目的:データ市場におけるデータ評価手法
- データ市場の発展には,データの適切な評価が不可欠である。データ提供者への公正な報酬分配を促す。
- 従来のデータ評価は,市場運営者への信頼に依存しており,透明性や検証可能性に課題がある。
- プライバシーを保護しつつ,データ評価の検証可能性を確保する手法を提供すること。
- ZK-Valueは,LSH-Shapleyという局所性に基づく評価手法と,それをゼロ知識証明に最適化したZK-LSH-Shapleyによって,計算効率を大幅に向上させた。
- 実証実験の結果,既存の最先端手法と同等の評価精度を維持しつつ,証明時間の短縮を12.6倍~68.1倍達成した。
- 検証時間も4.6秒未満と短く,大規模データ市場での実用性が示唆される。
無限変異エンジンか? LLM生成の攻撃的コードにおける多態性の測定 [cs.CL, cs.CR]目的:LLM生成の攻撃的コードにおける多態性の程度
- マルウェアは多態性により検知を回避するため,その対策は重要である。
- 既存のマルウェア検出はシグネチャに依存し,多態性により回避されやすい。
- LLMの多態性能力を定量化し,攻撃における有効性を評価する。
- LLMは機能要件のみで高い構造的多様性を示すが,意味的多様性は低いことが判明した。
- 過去の実行履歴を考慮したプロンプトにより,構造的多様性はさらに増幅され,正当性は維持された。
- LLMは安価に多数の同等な構造を持つペイロードを生成し,シグネチャベースの検知を回避可能である。
テーラーメイドのプロンプト,標的を絞った保護:スマートコントラクトに対する脆弱性特化型LLM分析 [cs.CL, cs.CR, cs.AI]目的:スマートコントラクト脆弱性の検出
- ブロックチェーン上でのスマートコントラクトは,その不変性からセキュリティ侵害のリスクが高く,経済的損失につながる可能性がある。
- 既存の検出手法は,脆弱性の種類に対する柔軟性が低く,熟練者の手動ルールに依存する傾向がある。
- 多様な脆弱性に対応可能な,LLMを活用した効率的な検出手法の確立を目指す。
- 本研究では,31,165件の脆弱性事例を含む大規模データセットを構築・公開した。
- ASTに基づく正確なコンテキスト抽出と,脆弱性固有のプロンプト設計により,13種類の脆弱性カテゴリに対応する検出器を実装した。
- 実験結果から,平均陽性リコール0.92,平均陰性リコール0.85と高い有効性が確認された。
IoTセキュリティ:一般的な攻撃に関する調査 [cs.CR]目的:IoTにおける一般的な攻撃の現状と課題
- IoTは社会インフラやヘルスケア等に不可欠。その安全性確保は信頼性向上に繋がる。
- IoTデバイスの計算能力不足や標準化の遅れが,セキュリティリスクを拡大させている。
- IoT環境における脅威の特定と対策の現状を把握し,今後の研究方向性を示す。
- 本調査では,中間者攻撃からノード複製まで28種類の一般的な攻撃を分析した。
- STRIDEモデルとCVSSフレームワークを用いて,脅威の分類と重要度を定量的に評価した。
- 脅威と5つの脆弱性クラス(プロセス,コード,通信,運用,デバイス)間の関係性を明らかにした。
ASIC暗号通貨マイナーの攻撃対象領域としてのファームウェア配布 [cs.CR, cs.SE]目的:ASIC暗号通貨マイナーのファームウェア配布におけるセキュリティリスクの評価
- 暗号通貨マイニングはブロックチェーン基盤の根幹であり,経済的価値を生み出す重要なプロセスである。
- マイニングデバイスのセキュリティ評価は体系的に行われておらず,脆弱性が放置されている可能性がある。
- ファームウェア配布メカニズム自体が新たな攻撃対象領域となることを明らかにし,脅威低減を目指す。
- 公開されているファームウェアだけで,内部アーキテクチャの復元やセキュリティ弱点の特定が可能であることが示された。
- ファームウェアフィッシングやStratum V1の脆弱性など,大規模攻撃シナリオを現実的に再現できることが明らかになった。
- 実機を用いた検証により,配布されているファームウェアが実際に動作しているソフトウェアを反映しており,攻撃可能性が裏付けられた。
GPU Breach: Rowhammer を用いた GPU の権限昇格攻撃 [eess.SY, cs.SY, cs.CR]目的:GPU Rowhammer を利用した権限昇格攻撃の可能性
- GPU は機械学習などの計算処理において不可欠であり,そのセキュリティは重要である。
- GPU における Rowhammer 攻撃は,これまで標的を絞ったビット反転が困難であった。
- GPU のページテーブル管理を悪用し,プロセス間のメモリへのアクセスを可能にする。
- 本研究により,GPU Rowhammer 攻撃が CPU と同様に権限昇格攻撃に利用可能であることが示された。
- cuPQC ライブラリから暗号化キーを漏洩させたり,モデルの GPU アセンブリコードを改ざんすることが可能となった。
- GPU 側での権限昇格は,IOMMU の保護を回避し,CPU 側でのルート権限取得に繋がる可能性がある。
KVerus:Rustコードの堅牢かつスケーラブルな形式検証証明生成 [cs.SE, cs.CR]目的:Rustコードに対する形式検証証明の自動生成
- ソフトウェアの信頼性・安全性の確保が重要視される中,形式検証は最高水準の保証を提供する。
- 大規模かつ変化し続けるシステムへの適用が難しく,複雑な依存関係やツールチェインの変化に対応できない。
- LLMの限界を克服し,形式検証の構造的依存性とLLMのセマンティックなコードパターンの乖離を解消する。
- KVerusは,コードメタデータ,補題の意味,ツールチェインの仕様を動的に管理する知識ベースを構築する。
- 単一ファイルベンチマークで80.2%のタスクを検証し,AutoVerus(56.9%)を上回り,Verusの更新に対しても安定性を維持する。
- クロスファイル依存関係を持つリポジトリレベルのベンチマークで51.0%の成功率を達成し,マルチラウンドプロンプティングベースライン(4.5%)を大きく上回る。
PolyProtectの不可逆性の深掘り:保護された顔テンプレートの反転をより困難に [cs.RO, cs.NI, cs.CV, cs.CR]目的:PolyProtectの不可逆性の分析と,その不可逆性を高める鍵選択アルゴリズムの提案
- 顔認証システムのセキュリティは重要であり,生体認証データの保護が不可欠である。
- 既存の保護手法では,テンプレートの反転攻撃に対する脆弱性が残存する可能性がある。
- PolyProtectの不可逆性を高め,テンプレート反転攻撃に対する耐性を向上させる。
- コサイン距離に基づく数値ソルバーを用いることで,PolyProtectされたテンプレートの反転が容易になることが示された。
- 提案された鍵選択アルゴリズムは,ランダムな鍵と比較して,PolyProtectされたテンプレートの不可逆性を高める効果が確認された。
- アルゴリズムにより,オーバーラップパラメータの違いによる不可逆性のばらつきが抑制され,トレードオフの制御が可能となった。
HELO暗号:P2Pデータ伝送におけるIoTセキュリティ強化のための軽量暗号システム [cs.CR]目的:P2Pデータ伝送におけるIoTセキュリティ強化のための軽量暗号システム
- IoTデバイスの普及に伴い,セキュリティの重要性が増している。不正アクセスや情報漏洩を防ぐ必要がある。
- IoTデバイスは計算資源が限られており,暗号化処理に負荷がかかりやすいという課題がある。
- 計算資源の少ないIoTデバイスでも利用可能な,高性能な暗号システムを開発する必要がある。
- 提案するHELO暗号は,軽量な仕組みによりIoTデバイスのパフォーマンスを低下させずにセキュリティを向上させる。
- HELO暗号は,ハイブリッド暗号化を採用し,堅牢なセキュリティを提供する。
- 本システムは,P2Pデータ伝送において,機密性,完全性,可用性を保証し,IoTデバイスのセキュリティレベルを高める。
MOSAIC-Bench:コーディングエージェントにおける構成的な脆弱性誘発の測定 [cs.CR, cs.AI, cs.SE]目的:コーディングエージェントにおける構成的な脆弱性誘発の評価
- ソフトウェア開発において,セキュリティは不可欠であり,自動化されたコーディング支援ツールの安全性評価が重要である。
- 既存の安全性評価は単一のプロンプトに対して行われることが多く,一連の指示による悪意のある最終状態を見抜けない。
- 本研究は,複数の段階にわたるプロンプト列に対する脆弱性誘発の可能性を評価し,そのメカニズムを解明する。
- MOSAIC-Benchは,悪意のある目的を無害な一連の指示に変換したベンチマークであり,実際のソフトウェア基盤上で脆弱性を検証する。
- 評価の結果,主要なコーディングエージェントは,段階的な指示に対して53〜86%の確率で脆弱性のあるコードを生成し,レビュー段階での検知率は低い。
- レビュー担当者を攻撃者として捉えることで,脆弱性回避率を低下させることができ,オープンウェイトモデルを用いた場合,88.4%の攻撃を検知可能であった。
複雑なソフトウェアのセキュリティ強化に役立つ脆弱性PoVテストの生成 [cs.CR, cs.SE]目的:ソフトウェアサプライチェーン攻撃に対するアプリケーションの脆弱性評価
- 現代のソフトウェア開発は,第三者ライブラリに依存しており,そのセキュリティは重要である。
- ライブラリの脆弱性がアプリケーションを通じて悪用される可能性があり,具体的な検証が課題である。
- 脆弱性の実証(PoV)テストを自動生成し,脆弱性のリスク評価を効率化することを目指す。
- PoVSmithは,呼び出し経路分析とLLMを活用し,PoVテストの生成,実行,評価を自動化する。
- 33組のJavaアプリケーション・ライブラリペアにおいて,96%の脆弱なAPI呼び出し経路を正確に特定した。
- 生成されたテストの55%が,ライブラリの脆弱性を悪用したアプリケーション攻撃を実証することに成功した。
ポインタの整合性を保護する軽量インプレースポインタ暗号化アーキテクチャLIPPEN [cs.CL, cs.CR, cs.AR]目的:ポインタの暗号化によるポインタ整合性と機密性の確保
- C/C++プログラムのメモリ安全性の脆弱性は,攻撃の巧妙化を招くため,保護技術が不可欠である。
- 既存のハードウェア防御は,ASLRに依存するか,ポインタにメタデータを付加するため,オーバーヘッドが生じる。
- ポインタを暗号化することで,メタデータなしで高い安全性と効率性を両立し,脆弱性を解消する。
- LIPPENは,ポインタを暗号化ブロックとして扱い,実行コンテキストに紐づけることで,強力なポインタ整合性と機密性を提供する。
- FPGAを用いたRISC-Vコアでのプロトタイプ評価により,LIPPENはPACと同等のランタイムオーバーヘッドで包括的なポインタ保護を実現した。
- LIPPENは,実用的なプロセッサへの強力なポインタ保護の展開における有効な設計ポイントであることを示した。
エージェント時代のAIレッドチームの再定義:数週間から数時間へ [cs.CL, cs.IR, cs.AI, cs.CR]目的:AIシステムに対する敵対的攻撃の脆弱性評価手法の効率化
- AIが医療,金融,防衛などの重要領域に進出し,安全性確保が急務となっている。
- 従来のAIレッドチームは手動作業が多く,ワークフロー構築に時間がかかる。
- AIエージェントを活用し,ワークフロー構築の自動化と迅速な脆弱性評価を実現する。
- AIレッドチームエージェントを開発し,自然言語による指示で敵対的攻撃を実行可能にした。
- 従来の機械学習モデルと生成AIシステムの両方を対象とする統合フレームワークを構築した。
- Meta Llama Scoutに対する検証で,85%の攻撃成功率と高い危険度を確認した。
イジング合意仮定を用いたSATソルビングのための確率ビット誘導CDCL [cs.HC, cs.CR, cs.LO]目的:SATソルビングにおける探索効率の向上
- ハードウェア検証など広範な分野で利用され,その性能が重要視されている。
- 充足可能なインスタンスにおいて,探索空間の生産的な領域を特定するまでに時間がかかる場合がある。
- 確率的サンプリングによる誘導でCDCLの探索努力を削減し,効率的なソルビングを実現すること。
- 提案手法は,制御されたバックボーンランダム3-SATベンチマークにおいて,CDCLのみと比較して中央値の競合を80.8-85.5%削減した。
- また,中央値の伝播回数を80.2-84.6%削減することに成功した。
- 機械学習ゲートの導入により,ハイブリッドソルビングの有効性を予測し,無駄な呼び出しを回避できる可能性が示された。
エントロピー的ストレス下における大規模言語モデルの安定性解析のための情報幾何学的フレームワーク [cs.AI, cs.CL, cs.CR, cs.LG]目的:大規模言語モデルの安定性評価
- 大規模言語モデルの応用範囲拡大に伴い,システムの信頼性評価が重要となっている。
- 従来の集約的な精度に基づく評価では,システムの信頼性を十分に評価できない問題がある。
- 不確実性下における大規模言語モデルの安定性を定量的に評価するフレームワークの構築を目指す。
- 提案されたフレームワークは,タスクの有用性,エントロピー,内部構造の指標を統合し,安定性を評価する。
- IST-20ベンチマークを用いた分析の結果,提案手法は既存手法よりも平均0.0299高い安定性スコアを示した。
- 特にエントロピーが高い条件下で効果が顕著であり,不確実性の非線形減衰を捉えている可能性が示唆された。
ケリモフ・アレクバーリモデル:リアルタイムシステム安定性の情報幾何学的フレームワーク [cs.AI, cs.CL, cs.CR, cs.LG]目的:リアルタイムシステムの安定性に関する情報幾何学的フレームワーク
- AIの進化に伴い,自律システムの安全性確保が喫緊の課題となっている。
- 従来のAI安全性評価は経験則に頼る部分が多く,厳密な物理的根拠に乏しい。
- 非平衡熱力学と確率制御の関連性により,AI安全性の物理的基盤を確立すること。
- ケリモフ・アレクバーリモデルは,非平衡熱力学と確率制御の間の形式的な同型性を示す。
- システム異常をリーマン多様体からの逸脱として定義し,情報エントロピーの変化と物理的仕事量の関係を明らかにした。
- NSL-KDDデータセットと無人航空機軌道シミュレーションによる検証で,リアルタイム異常検知の有効性が確認された。
ブロックチェーンは信頼性高く機械学習モデルを訓練できるか [cs.CR, cs.CE, cs.DC, cs.LG]目的:機械学習モデル訓練へのブロックチェーン資源の活用可能性
- PoWネットワークのエネルギー消費は大きい。持続可能な計算資源利用が課題。
- PoW資源を機械学習に転用する際の技術的課題が存在する。
- PoWのインセンティブを維持しつつ,機械学習の信頼性・安全性を確保する。
- PoTプロトコルにより,マイニングパワーを検証可能な機械学習訓練に誘導できる。
- 理論的分析と分散型訓練ネットワークの実装により,高いタスク処理量とロバスト性を示した。
- PoTはネットワークセキュリティの向上にも貢献する可能性が示唆された。
- 1
- 2