arXiv雑要約
セキュリティ - 2026/05/12 公開
大規模言語モデルにおける制御生成のための許可認識表現介入 [cs.CR]目的:大規模言語モデルにおける機密情報保護と制御性の向上
- 企業環境でLLM利用が増加する中で,セキュリティと制御が重要な課題となっている
- アクセス制御だけでは不十分で,生成時に機密情報が漏洩するリスクがある
- モデルの隠れ状態を直接制御し,許可範囲を超えた出力生成を抑制する
- Permitは,隠れ状態のシフトを利用し,許可条件に応じた表現空間を特定する
- この空間内で軽量な介入を行うことで,生成を制御し,情報漏洩をほぼゼロに抑える
- 最新手法と比較してF1スコアを18%以上向上させ,学習パラメータを98%以上削減
クリックするな:欺瞞的なインターフェースに耐性を持つウェブエージェントの育成 [cs.AI, cs.CR]目的:欺瞞的なインターフェースへの耐性
- ウェブ自動化の需要が高まる中で,エージェントの信頼性が重要となる。
- ウェブエージェントは,欺瞞的なインターフェースに脆弱であり,誤った操作を招く。
- 欺瞞的なインターフェースを検出し,回避するウェブエージェントの防御メカニズムを確立する。
- 提案手法DUDEは,ハイブリッド報酬学習と非対称ペナルティにより,欺瞞への脆弱性を53.8%削減した。
- DUDEは,タスク遂行能力を維持しながら,欺瞞的なUIの検出と評価を可能にした。
- RUCベンチマークは,ウェブエージェントの評価のための1,407のシナリオを提供する。
AIセキュリティポリシーはモデルではなくシステムを対象とすべき [cs.CR, cs.AI, cs.LG]目的:複数の軽量LLMエージェントによる協調的な敵対的テストフレームワークによる安全性評価と脆弱性検出
- AIの急速な発展に伴い,安全性とセキュリティの確保が喫緊の課題となっている。
- 大規模言語モデル(LLM)の安全性評価は高コストであり,アクセスが制限されている。
- 低コストで再現可能な安全性評価手法と脆弱性検出システムの開発を目指す。
- 複数の軽量LLMエージェントが協調することで,GPT-4oに対して45.8%の有効有害率を達成し,49件の重大なセキュリティ侵害を検出した。
- Claude Sonnet-4に対しては有効有害率は0%であったが,技術的な成功率は40%であった。
- 脆弱性のあるCアプリケーションに対して,9個の脆弱性を約4分で100%の再現率で検出することに成功した。
MemPrivacy:エッジクラウドエージェントのためのプライバシー保護型パーソナライズドメモリ管理 [cs.CR, cs.CL]目的:エッジクラウドエージェントにおけるプライバシー保護とパーソナライズドメモリの有用性の両立
- LLMエージェントの普及に伴い,長期的な適応とユーザー中心の対話を実現するパーソナライズドメモリが重要となっている。
- クラウド支援型メモリ管理は機密情報を晒すリスクがあり,既存のプライバシー保護は意味情報を損ないやすい。
- 機密情報の露出を最小限に抑えつつ,効果的なメモリ形成・検索を可能とする手法を確立すること。
- MemPrivacyは,エッジデバイス上で機密性の高い範囲を特定し,クラウド側での処理に際して意味構造を保持したプレースホルダーに置換する。
- MemPrivacyは,GPT-5.2やGemini-3.1-Proなどの汎用モデルを大幅に上回る機密情報抽出性能を達成した。
- 複数のメモリシステムにおいて,MemPrivacyは有用性の低下を1.6%以内に抑え,従来のマスキング戦略を上回る結果を示した。
AI支援セキュリティ業務の統治:運用意思決定支援のためのデザインサイエンスフレームワーク [cs.CR, cs.AI]目的:AI支援運用意思決定の統治フレームワーク
- デジタルインフラの高度化に伴い,AI活用は不可欠となりつつある。
- AI導入時の説明責任,プライバシー,コスト管理,監査可能性が課題となっている。
- 高リスク環境下でのAI活用における統治フレームワークを確立すること。
- AI支援クエリブローカーというアーティファクトを開発し,AIの計画と運用実行を分離した。
- スキーマに基づいた検索,承認済みテンプレート,ポリシー検証,監査可能なログを実装した。
- AI支援運用意思決定の統治に関する設計提案,役割分担,成熟段階などを定義した。
信頼してインポートして: 悪意のあるエージェントのスキルによる依存関係誘導攻撃 [cs.CR]目的:コーディングエージェントの依存関係選択における攻撃手法の研究
- ソフトウェアサプライチェーンの安全性が重要視される中で,LLMエージェントの利用が拡大している。
- LLMエージェントは,存在しないパッケージを生成することがあり,それがセキュリティリスクとなる。
- エージェントのスキルを悪用し,特定の悪意のあるパッケージへの依存を誘導する攻撃を解決する。
- 本研究では,悪意のあるスキルを用いて,コーディングエージェントが攻撃者が制御するパッケージを選択するように誘導する「依存関係誘導」攻撃を提案した。
- この攻撃は,モデルの重みや学習データ,ユーザープロンプトの変更を必要とせず,スキルレベルのわずかな編集で高い攻撃成功率を達成する。
- 既存のスキルスキャナーやLLM監査ツールでは,この攻撃を検知することが困難であることが示された。
画像から3Dモデル生成における有害形状の生成と緩和について [cs.CR, cs.CV]目的:画像から3Dモデル生成における有害形状の生成と緩和に関する体系的な測定研究
- 3Dコンテンツ作成の容易化と精度向上に貢献する画像から3Dモデル生成技術の重要性が増している。
- 悪意のある者が有害な形状を生成し,3Dプリンター等で現実世界に悪影響を及ぼすリスクが懸念される。
- 既存の画像から3Dモデル生成技術における有害形状生成の可能性と,その対策の有効性を明らかにすること。
- 現在の画像から3Dモデル生成技術は,有害な形状を効果的に再構成できることが明らかになった。
- 既存の商用モデレーション機能では,有害形状のごく一部(0.3%未満)しか検出できないという結果が得られた。
- 提案する多層防御システムは有害形状の保持率を1%未満に削減できるものの,誤検知率が11%に及ぶ。
堅牢なウォーターマーキングモデルの学習は認証を損なう可能性がある!:堅牢なウォーターマーキングにおける身元漏洩の探索と軽減 [cs.CR]目的:画像ウォーターマーキングにおける身元保護と堅牢性の両立
- 生成AIの発展に伴い,画像所有者の特定と著作権保護の重要性が増している。
- 従来のウォーターマーキングは,敵対的攻撃や身元漏洩攻撃に対して脆弱である。
- 身元漏洩攻撃に対抗し,堅牢性と身元保護を両立するフレームワークを提案する。
- 提案手法W-IRは,認証精度を高く維持しつつ,身元漏洩を効果的に軽減する。
- ピクセルレベルと座標レベルの両方で,摂動に対する確実な堅牢性を提供するランダム化平滑化技術を導入した。
- 残差情報の損失に基づいた新しい戦略により,残差画像とウォーターマーク画像間の相互情報量を最小化する。
FreeMOCA:悪意のあるコード解析のためのメモリフリー継続学習 [cs.CR, cs.LG]目的:悪意のあるコード解析における継続学習のためのメモリおよび計算効率の高いフレームワーク
- 年々増加するマルウェアに対抗するため,アンチウイルスシステムは継続的な適応が不可欠である。
- 新たなサンプルのみで再学習すると知識の忘却が起こり,全データでの再学習は計算コストが高い。
- 逐次的なタスク更新間の適応層間補間により,既存知識を維持し,効率的な継続学習を実現する。
- FreeMOCAは,WindowsおよびAndroidのマルウェアベンチマークにおいて,既存の11個のベースラインを大幅に上回る性能を示した。
- 特にClass-ILにおいて顕著な改善が見られ,EMBERとAZベンチマークでそれぞれ最大42%と37%の精度向上を達成した。
- パラメータ空間におけるウォームスタート補間が,継続的なマルウェア検出のためのスケーラブルで効果的な代替手段となることを実証した。
MonitoringBench:エージェント監視のための半自動レッドチーム [cs.CR, cs.AI]目的:コーディングエージェント監視システムの攻撃検出能力評価
- AIエージェントの利用拡大に伴い,その安全性確保が重要課題となっている。
- 既存のレッドチーム手法では,多様な攻撃を網羅的に洗い出すことが困難である。
- 半自動レッドチーム手法を開発し,監視システムの脆弱性をより深く評価すること。
- 提案手法により生成された攻撃は,既存の手法で生成された攻撃よりも多様かつ強力であった。
- 最先端の監視システムですら,欺瞞やスコアの較正に失敗することが明らかになった。
- MonitoringBenchは,ツール利用型エージェント監視システムの評価に役立つ静的なベンチマークおよび手法を提供する。
ツールを利用するAIエージェントにおけるセキュリティリスク:特権実行環境の体系的分析 [cs.CR, cs.AI]目的:ツールを利用するAIエージェントのセキュリティリスク
- AIエージェントの利用拡大に伴い,クラウド環境での安全性が重要視されている。
- AIエージェントが持つ特権実行環境におけるセキュリティリスクが十分に理解されていない。
- クラウド環境におけるAIエージェントの安全な運用方法を確立すること。
- AIエージェントのリスク分類を提示し,3つのシナリオを通してリスクを具体的に説明した。
- リスクは,新しい脆弱性よりも,過剰な権限,能力と意図の不一致,環境からの権限漏洩に起因することが示唆された。
- AIエージェントを安全にクラウドで運用するための実践的な設計ガイドラインを導き出した。
攻撃経路モデリングと強化学習によるサイバーセキュリティガバナンスの実践 [cs.CR]目的:サイバーセキュリティ対策計画策定のためのガバナンスフレームワークの運用
- サイバー攻撃は増加の一途を辿り,組織のデジタル資産を守ることが不可欠である。
- ガバナンスフレームワークは存在するものの,具体的な防御戦略の選択に繋がりにくい。
- 組織のセキュリティ成熟度を反映した現実的な防御戦略を自動的に策定すること。
- 提案システムは,NIST CSF等のガバナンスフレームワークをMITRE ATT&CKの軽減策にマッピングする。
- 敵対者の行動を模倣するVOMMと,強化学習を組み合わせることで,予算制約下での最適な軽減策を導出する。
- シミュレーション結果から,安定したポリシーと,解釈可能な軽減計画が得られた。
エージェントAIエコシステムにおけるツールクローニングの評価 [cs.CC, cs.SE, cs.CR]目的:エージェントAIエコシステムにおけるツールクローニングの現状把握
- LLMエージェントの発展に伴い,外部ツールへのアクセスが重要になっている。
- ツール市場におけるツールの重複は,多様性の評価を歪める可能性がある。
- ツールクローニングがエコシステムに与える影響を定量的に評価する。
- 大規模なツールリポジトリデータセットを構築し,クローニングを測定するパイプラインを開発した。
- MCPエコシステムにおいて,類似度が高いツールの多くが実際にクローンであることが確認された。
- ツールクローニングは,データセットやベンチマークの構築において考慮すべき重要な課題である。
オラクル汚染:AIエージェントの推論を悪用するための知識グラフの改ざん [cs.CR, cs.AI]目的:AIエージェントの推論における知識グラフの脆弱性
- AIエージェントは知識グラフを依拠しており,その信頼性はAIシステムの性能に不可欠である。
- 知識グラフは改ざんに対して脆弱であり,誤った情報がAIの判断を歪める可能性がある。
- 本研究は,AIエージェントが利用する知識グラフの汚染による攻撃とその対策を検証する。
- 知識グラフを改ざんすることで,AIエージェントは100%の確率で誤った情報を信頼することが示された。
- プロンプトの形式が結果に影響を与えることが確認され,知識グラフへの信頼度はプロンプトの内容によって変化した。
- 読み取り専用アクセス制御は直接的な改ざんを防ぐが,他の防御策は限定的であり,モデルに依存する。
ナウティラス・コンパス:本番LLMエージェントにおけるパーソナリティドリフト検出 [cs.CR, cs.AI, cs.CL, cs.IR, cs.LG]目的:本番環境におけるLLMコーディングエージェントのパーソナリティドリフト検出と,エージェントメモリ層の提供
- LLMエージェントの利用拡大に伴い,長期的な一貫性維持が課題となっている。
- 既存のパーソナリティ監視手法は,モデルの内部情報にアクセスする必要があり,API経由での利用には制限がある。
- 本研究は,API経由で利用可能なLLMエージェントにおいても,パーソナリティドリフトを検出する手法を開発する。
- ナウティラス・コンパスは,プロンプトと行動アンカーテキスト間のコサイン類似度を用いて,ブラックボックスでパーソナリティドリフトを検出する。
- 実データを用いた評価では,ROC AUC 0.83のドリフト検出精度を達成した。
- LongMemEval-SおよびEverMemBench-Dynamicにおいて,既存手法と比較して良好な性能を示した。ただし,情報抽出を行う手法には性能差が見られる。
分数次微分プライバシー下での深層学習 [cs.NI, cs.MA, cs.CR, cs.LG]目的:プライバシー保護学習のための新しいメカニズムの提案
- プライバシー保護された機械学習は,個人情報保護の観点から重要性が高まっている。
- 従来のDP-SGDは,過去の情報を十分に活用できていないという課題があった。
- 長期的な記憶効果を取り入れたプライバシー保護最適化手法を開発し,性能向上を目指す。
- 分数次DP-SGD(FO-DP-SGD)は,過去のプライベートな出力の集計を組み込むことで,長期記憶を導入する。
- FO-DP-SGDは,DP-SGDや他のプライバシー保護手法と比較して,テスト精度とプライバシー・ユーティリティ性能を向上させる。
- 分数次,メモリウィンドウ,混合係数は,現在のステップ感度,信号保持,プライベート履歴の影響のトレードオフを制御する。
不確実性に基づいたアクティブ学習による合成顔検出のためのエビデンスに基づく決定モデリング [cs.CL, cs.CL, cs.CV, cs.CR]目的:合成顔検出における信頼性と汎化性能の向上
- 深層生成モデルの発展に伴い,合成顔画像による不正利用が深刻化しているため,高精度な検出技術が求められる。
- 既存手法はSoftmax関数に依存し,未知の画像に対して過信傾向があり,不確実性の評価が困難である。
- 不確実性を考慮したモデル構築と,アクティブ学習によるアノテーションコスト削減を通じて,検出性能と汎化性能を向上させる。
- 提案手法EMSFDは,Dirichlet分布を用いてクラスエビデンスをモデル化し,予測過程にモデルの不確実性を明示的に組み込む。
- 推定された不確実性を活用し,アノテーションの優先順位付けを行うことで,ラベルコストを削減し,モデルの汎化性能を向上させる。
- 実験結果から,提案手法は最先端手法と比較して15%の精度向上を示し,合成顔検出の解釈可能性を高めることが示された。
仮想化難読化コードのLLMベース分析に向けた自動データ生成 [cs.CR]目的:仮想化難読化コードのLLMによる分析
- マルウェア解析において,難読化技術の理解は重要である。仮想化難読化は高度な難読化手法であり,解析を困難にする。
- LLMの入力サイズ制限や,大規模なラベル付きデータの必要性が,仮想化難読化コードの分析を阻害する。
- LLMの制約下で,構造に着目した分析を行うことで,仮想化難読化コードの解析を可能にすること。
- 仮想化難読化コードを,LLMの制限内に収まる最大の意味的に一貫した単位に分解し,構造的な役割に応じてラベル付けする手法を開発した。
- 静的解析フレームワークを実装し,ラベル付けの自動化と大規模データセットの生成を実現した。
- プロトタイプは,実際の仮想化難読化手法に対して高い性能を示すことが確認された。
スケッチベースのアクセス制御:ユーザーの意図に合致したポリシーへ翻訳するマルチモーダルインターフェース [cs.CC, cs.HC, cs.CR]目的:ユーザーの意図に合致したアクセス制御ポリシーの翻訳
- 情報セキュリティにおいて,使いやすいアクセス制御は重要課題であり,適切な情報保護に不可欠である。
- 従来のアクセス制御インターフェースは,表現力や使い勝手の点で課題があり,ユーザーの意図を正確に反映しにくい。
- 本研究は,スケッチとAIを活用することで,ユーザーの曖昧な意図を明確化し,精度の高いアクセス制御ポリシーを作成することを目指す。
- スケッチベースのアクセス制御(SBAC)システムは,スケッチ入力とマルチモーダル大規模言語モデルを組み合わせることで,ポリシー仕様の解釈と検証を支援する。
- ユーザー評価の結果,SBACシステムとワークフローを用いることで,初期の不十分な設定がより完全で正確なポリシーへと段階的に洗練されることが確認された。
- システムは,予期せぬギャップの発見,対話による曖昧性の解消,具体的なシナリオによるポリシー検証を通じて,アクセス制御の精度向上に貢献する。
LLMの推論が許容されるのはいつか:個人情報の推測に対するユーザーの反応と制御希望 [cs.HC, cs.CR]目的:LLMによる推論の許容性に関するユーザーの反応と制御希望
- LLMの普及に伴い,プライバシー保護の重要性が増している。
- LLMが意図しない個人情報を推論し,プライバシーを侵害する可能性が指摘されている。
- LLMによる推論の許容範囲と,ユーザーが求める制御方法を明らかにすること。
- ユーザーは,LLMによる推論に対して,必ずしも不快感を示すのではなく,好奇心や関心を示す傾向がある。
- 推論の不快感は,推論内容がユーザーの自己認識と異なる場合や,利用目的に合わない場合に生じやすい。
- プラットフォーム提供者による利用よりも,広告主や第三者アプリケーションによる推論利用に対する懸念が強い。
Janus:ARMハードウェアプリミティブを用いたトランジェント実行攻撃に対するコンパイラベースの防御 [cs.CR]目的:トランジェント実行攻撃に対する防御策
- 近年,Spectre等の情報漏洩攻撃が深刻化しており,ハードウェアレベルでの対策が求められている。
- 既存の対策は性能低下を招くことが多く,実用上の課題となっていた。
- ARM64プラットフォームにおける性能低下を抑えつつ,効果的な防御を実現すること。
- Janusは,コンパイラに防御機能を組み込むことで,PAおよびBTIといったARMのハードウェア機能を活用する。
- 防御操作の融合やレジスタの再利用により,性能への影響を最小限に抑りつつ,高いセキュリティを確保する。
- SPEC CPU2017を用いた評価では,平均3.85%の性能オーバーヘッドに留まり,実用的な性能を維持することを示した。
疎なLPNに対する困難度増幅 [cs.DC, cs.CR, cs.CC]目的:学習パリティとノイズ(LPN)とその疎な変種に対する困難度増幅
- 暗号プロトコルの安全性評価において,LPN問題の困難性は重要な仮定である。
- LPN問題の困難性を示すためには,十分なパラメータ設定が必要であり,計算量的な困難さを証明することが難しい。
- LPN問題の成功確率を向上させることで,平均的な困難性をより強く主張することを目指す。
- アルゴリズムがLPNをεの成功確率で解ける場合,パラメータを調整することで1-δの成功確率で解けるアルゴリズムに変換可能。
- この変換は,インスタンスの「小さな割合」で解けるアルゴリズムを「ほぼ全て」のインスタンスで解けるアルゴリズムに変換する自己増幅を可能にする。
- この手法は,有限体上のLPN問題や疎LPN問題にも適用でき,LPN型問題群全体の困難性自己増幅を確立する。
エージェントファジング:機会と課題 [cs.CL, cs.CR, cs.SE]目的:ロジックバグ検出のための新たなアプローチ
- 成熟したコードベースでは,論理的バグの発見が困難であり,ソフトウェアの信頼性向上には不可欠である。
- 従来のファジングや静的解析では,多段階の推論を必要とする論理バグの検出が難しい。
- 過去のバグを基に,深層エージェントが原因を分析し,新たなバグ候補を検証することで,検出率向上を目指す。
- AFuzzはV8 JavaScriptエンジン上で約1ヶ月間実行した結果,40個のバグを発見し,合計35,000ドルの報奨金を得た。
- V8のシードから,SpiderMonkeyとJavaScriptCoreにおいても19個のバグを発見した。
- エージェントファジングは初期段階であり,解決すべき課題は残るものの,論理バグ検出の有望な方向性を示唆する。
LLMベースのコード生成における安全性の攻撃:ユーザビリティ要件を武器として [cs.CR, cs.SE]目的:LLMベースのコード生成におけるセキュリティ脆弱性の攻撃手法と,その対策
- ソフトウェア開発においてLLMの利用が拡大しており,安全なコード生成能力が不可欠である。
- セキュリティ要件は暗黙的・不明確な場合が多く,ユーザビリティ要件とのバランスが課題である。
- ユーザビリティ要件を悪用し,セキュリティ要件を低下させる攻撃(UPAttack)を自動化するフレームワークを開発する。
- 本研究で開発したU-SPLOITは,複数のLLMにおいて最大98.1%の攻撃成功率を達成した。
- U-SPLOITは,脆弱性のある代替コードのユーザビリティに関する報酬を特定することで,効果的な攻撃シナリオを生成する。
- 攻撃の検証には,既存のテストケースと動的に生成されたエクスプロイトペイロードを使用している。
悪意のある知識編集下における知識集約型推論の安全性リスクのベンチマーク [cs.NI, cs.AI, cs.CR]目的:知識集約型推論における悪意のある知識編集下の安全性リスクの評価
- 大規模言語モデルの利用拡大に伴い,知識編集の安全性確保が重要になっている。
- 既存のベンチマークは編集の有効性に偏っており,安全性への影響評価が不十分である。
- 悪意のある知識編集が推論に及ぼす影響を体系的に評価する枠組みを提供する。
- 悪意のある知識編集は,LLMの推論を容易に誤らせ,安全性リスクを引き起こすことが示された。
- 編集規模,知識の特徴,推論の複雑さがリスクに影響を与える主要因であることが明らかになった。
- EditRisk-Benchは,LLMにおける知識編集の安全性リスクを理解し軽減するための拡張可能なテストベッドである。
鍵カプセル化メカニズムに基づく統合暗号化方式 (KEM-IES) [cs.CR, cs.NI, cs.PF]目的:量子耐性統合暗号化方式の提案
- 情報セキュリティにおいて,暗号化技術はデータの機密性維持に不可欠である。
- 従来のECIESは,量子コンピュータの発展により安全性が脅かされる可能性がある。
- 量子攻撃に対する耐性を高めた,次世代の暗号化方式を確立すること。
- 本研究では,ポスト量子暗号に基づく鍵カプセル化メカニズム(KEM)をECIESに組み込んだKEM-IESを提案した。
- 計算効率向上のため,NISTが公開したAsconアルゴリズムをKEM-IESに統合した変種も実装した。
- Raspberry Pi 4上での実装と性能評価により,ECIESと比較してKEM-IESの有効性が確認された。
プロンプトがペイロードとなる時:大規模言語モデル駆動型アプリケーションにおけるSQLインジェクション攻撃の緩和フレームワーク [cs.CR, cs.AI]目的:大規模言語モデルを用いたアプリケーションにおけるSQLインジェクション攻撃の緩和
- 自然言語によるデータベース操作は利便性を高めるが,セキュリティリスクを伴う。
- プロンプト経由でのSQLインジェクション攻撃が,新たな脆弱性として存在する。
- プロンプトからSQLへの変換過程におけるSQLインジェクション攻撃を軽減する。
- 提案フレームワークは,プロンプトのサニタイズ,異常検知モデル,シグネチャベース制御層の多層防御を実現する。
- 多様な攻撃シナリオ下での評価により,高い検出精度と低い誤検知率を確認した。
- 本アプローチは,大規模言語モデルを活用したデータベースアプリケーションの安全な展開に貢献する。
拡散Transformerにおける概念の検出とリスクコンテンツの抑制 [cs.CV, cs.CR]目的:拡散Transformerにおけるリスクコンテンツの検出と抑制手法
- 近年の画像生成モデルの発展は目覚ましいが,倫理的・法的リスクを伴うコンテンツ生成への懸念が高まっている。
- 既存のリスクコンテンツ抑制手法はU-Netベースのモデルに特化しており,高性能な拡散Transformerモデルへの適用が困難である。
- 拡散Transformerのアーキテクチャに着目し,概念特異的な注意ヘッドの特性を利用することで,リスクコンテンツを検出・抑制する。
- 提案手法AHV-D\&Sは,追加学習なしに,テキストトークンの注意ヘッドベクトル(AHV)を用いてリスクコンテンツを検出する。
- AHV-D\&Sは,ノイズ除去ステップを通してAHVを動的に追跡し,ヘッド固有のリスクスコアに基づいてリスクの高いトークンの注意重みを抑制する。
- 実験により,AHV-D\&Sが性的,著作権侵害,有害なコンテンツを効果的に抑制し,画像品質とロバスト性を維持することが示された。
MARGIN:不均衡脆弱性検出のためのマージンを意識した正則化幾何学 [cs.SE, cs.CR, cs.LG]目的:ソフトウェア脆弱性検出の性能向上
- ソフトウェアのセキュリティと信頼性を確保する上で,脆弱性検出は不可欠である。
- 実際の脆弱性データセットは,頻度不均衡と難易度不均衡という深刻な課題を抱えている。
- 幾何学的歪みを軽減し,安定した決定境界を生成することで脆弱性検出の精度を向上させる。
- MARGINは,適応的なマージンmetric学習と双曲空間プロトタイプモデリングを通じて,識別可能な脆弱性表現を学習する。
- von Mises-Fisher濃度推定に基づき幾何学的正則化を動的に調整し,埋め込み分布の確率質量を対応するボロノイセルと整列させる。
- 公開脆弱性データセットにおける実験により,MARGINが強力なベースラインを上回り,特に不均衡データセットで顕著な改善が見られた。
医療マルチモーダル検索拡張生成に対する知識汚染攻撃 [cs.CR, cs.AI]目的:医療マルチモーダル検索拡張生成システムにおける知識汚染のリスク評価
- 医療分野では,LLMの性能向上が期待される中,外部知識の活用が重要である。
- 検索拡張生成システムは,知識源の信頼性が低い場合,誤った情報に影響されやすい。
- ユーザークエリの事前知識なしに知識汚染攻撃を実行可能なフレームワークの提案。
- 提案手法M³Attは,視覚情報をトリガーとしてテキストデータに秘密裏に誤情報を注入する。
- 視覚入力への微小な摂動を通じて,検索確率を操作し,モデルの生成結果を操作可能。
- 医療診断の曖昧性を利用し,モデルの自己修正を回避しながら診断精度を低下させる。
DP-LAC:言語モデルの差分プライバシー連合ファインチューニングのための軽量適応クリッピング [cs.LG, cs.AI, cs.CR, cs.DC]目的:言語モデルの差分プライバシー保護
- 個人情報保護の重要性が高まる中,分散環境での機械学習が求められている。
- 連合学習はプライバシー侵害のリスクがあり,勾配情報の保護が課題である。
- 既存手法の煩雑なハイパーパラメータ調整によるプライバシー予算の浪費を解決する。
- DP-LACは,プライベートなヒストグラム推定を用いて最適なクリッピング閾値を推定する。
- 推定された閾値を訓練中に追加のプライバシー予算を消費せずに適応させる。
- 実験結果から,DP-LACは既存手法やvanilla DP-SGDを上回り,平均6.6%の精度向上を達成した。
DAOにおける党派対立構造のマッピング [cs.CR]目的:DAO内部の党派コミュニティの検出
- DAOは分散型組織であり,透明性と参加型ガバナンスが重要である。
- DAO内の党派対立は分裂(フォーク)を引き起こす可能性がある。
- フォーク発生前に党派対立を検出し,組織分裂を未然に防ぐ。
- オンチェーン投票行動の分析により,分裂前のコミュニティを検出する手法を開発した。
- Nouns DAOの事例分析で,フォークするアドレスは分裂数ヶ月前からクラスタリングされることが示された。
- 提案の最終44件では,フォークアドレスの90%がクラスタリングされ,早期警告が可能であることが示唆された。
近似回路における難読化とIP海賊行為の検出 [cs.AR, cs.CR]目的:近似回路におけるIP保護と海賊行為検出の課題
- 近似回路は,計算精度とハードウェア効率の優れたトレードオフを実現し,再利用可能なIPコアとして有望である。
- 近似回路の商用化にはIP保護が不可欠だが,従来の保護手法では十分な対策が困難である。
- 本研究は,近似回路に特化した新たな難読化攻撃モデルに対抗する検出手法を提案する。
- 提案手法は,保護されたIPコアと疑わしい回路のエラープロファイルを統計的に比較し,IP盗難を検出する。
- 多様な近似乗算器を用いた実験により,近似乗算器の難読化に対する耐性を分析した結果が得られた。
- 難読化,近似,IP保護の関係に関する新たな知見が得られた。
DRIFT:ドリフトに強い不変特徴TransformerによるDGA検出 [cs.CR, cs.LG, cs.NI]目的:DGA検出のためのドリフト耐性フレームワークの提案
- ボットネットによる攻撃は深刻であり,DGAはその検知を回避する手段として進化し続けている。
- 深層学習に基づくDGA検出器は時間経過に伴う変化(ドリフト)に弱く,性能が低下しやすい。
- 新たなDGAバリアント出現による性能劣化を緩和し,長期的なDGA防御を実現すること。
- 提案手法は,ハイブリッドなトークン化戦略とマルチタスク自己教師あり事前学習により,不変表現を獲得する。
- 文字レベルとサブワードレベルのエンコーディングを組み合わせることで,様々なDGAに対応可能である。
- 9年間の実証実験において,最先端手法と比較して,時間的劣化を大幅に軽減できることが示された。
Banaszczyk の不等式に関する注記 [cs.CR, math.PR]目的:Banaszczyk の不等式の改善
- 格子暗号は現代暗号技術の重要な要素であり,その安全性評価が不可欠である。
- 既存の不等式では,格子攻撃に対する安全性の評価に限界があった。
- より厳密な不等式を導出し,LWE問題への双対攻撃の評価を向上させる。
- 本研究により,適切な条件を課すことでBanaszczykの不等式をさらに改善することに成功した。
- 改善された不等式は,既存の結果よりも大幅に優れた上限を提供する。
- この結果は,LWE問題に対する双対攻撃の調査に役立つと考えられる。
AIとDLTの融合に関する体系的な双方向文献レビュー [cs.DB, cs.CR, cs.AI, cs.DC]目的:AIとDLTの融合に関する研究動向の分類と分析
- AIとDLTは,それぞれに変革的な可能性を秘めており,両者の融合は新たな価値創造が期待される分野である。
- 既存研究は特定の応用分野に偏り,両技術間の相互作用に関する包括的な理解が不足している。
- AIとDLTの融合における技術的課題と,今後の研究の方向性を示唆することを目的とする。
- AI技術は,DLTシステムのデータ,ネットワーク,コンセンサス,実行,アプリケーションの各層を改善する。
- DLT技術は,AIシステムのインフラ,データ,モデル,推論,アプリケーションの各層をサポートする。
- 現状では,特定の層に研究が集中しており,スケーラビリティや相互運用性などの根本的な課題への対応が遅れている。
Acceptance Cards:安全ファインチューニング防御主張のための四つの診断基準 [cs.CR, cs.AI, cs.LG]目的:安全なファインチューニング防御主張の評価基準
- 大規模言語モデルの安全性確保は,社会実装において不可欠であり,そのための防御技術の信頼性評価が重要である。
- 既存の評価方法では,ノイズやアーティファクト,能力低下などが混同され,真の防御効果を判断しにくいという課題がある。
- 統計的信頼性,新たな汎化性能,メカニズム整合性,クロスタスク転移の4つの診断基準による評価プロトコルを確立し,より厳密な安全性を検証する。
- 本プロトコルを用いてSafeLoRAを評価した結果,Gemma-2-2B-itモデルにおいて,全ての診断基準を満たすことができなかった。
- 厳格なメカニズム分類では全診断基準で不合格となり,緩やかなリラベルを用いた場合でも,4つのうち3つの診断基準で不合格となった。
- 今回の評価は限定的なものであり,SafeLoRAの有効性を一概に否定するものではない。しかし,厳密な基準下では安全性に課題があることが示唆された。
入力攪乱と修正による確実な脱獄攻撃防御 [cs.CR, cs.AI]目的:大規模言語モデルに対する脱獄攻撃からの防御手法
- LLMの安全性確保は,社会実装において不可欠であり,悪意ある利用を防ぐ上で重要である。
- LLMは巧妙に作成された入力によって誤った出力を生成し,有害な情報を出力する脆弱性がある。
- 入力の攪乱と修正により,モデルの堅牢性を高め,脱獄攻撃に対する防御性能を向上させる。
- 提案手法は,従来の平滑化防御に,入力の攪乱と修正の二段階処理を組み込むことで,モデルの予測安定性を高める。
- 理論的解析により,防御成功確率と攪乱強度の関係を明確化し,効果的な防御戦略の指針を得る。
- 実験結果から,提案手法は既存の最先端防御手法と比較して,安全性と有用性の両面で優れた性能を示す。
生成AIによる画像編集におけるブランド注入:ヒント埋め込みを通じた巧妙な攻撃 [cs.CR]目的:画像生成・編集ワークフローにおける新たなセキュリティ脆弱性の検証
- 生成AIの急速な発展に伴い,ユーザーは画像生成モデルへの依存度を高めている。
- 画像編集において,意図しないブランド情報等の埋め込みがセキュリティリスクとなる可能性がある。
- 入力画像に埋め込まれたヒントが再描画される脆弱性を検証し,対策を提案する。
- 攻撃者はオンライン画像生成サービスや拡散モデルを悪用し,隠れたコンテンツを画像に注入できる。
- 実験の結果,フィッシング攻撃とポイズニング攻撃それぞれにおいて,ロゴ注入の成功率が確認された。
- 提示する緩和策は,それぞれの攻撃に対して高い防御効果を発揮することが示された。
LLMにおける脱獄検出のためのセーフガード再トリガー [cs.CC, cs.CR, cs.AI]目的:大規模言語モデルに対する脱獄攻撃の検知手法
- 近年,大規模言語モデルの悪用を防ぐため,安全性確保が重要となっている。
- 既存のセーフガードは回避可能であり,悪意のあるプロンプトによる攻撃が懸念される。
- LLM内部のセーフガードを再活性化することで,脱獄攻撃を検知・防御することを目指す。
- 提案手法は,LLMの内部防御機構と協調し,脱獄プロンプトを効果的に検知できる。
- 埋め込みの擾乱によりセーフガードを再トリガーし,ホワイトボックス・ブラックボックス環境で高い防御性能を示す。
- 適応的な攻撃に対してもロバストであり,実用的な脱獄攻撃対策となりうる。
狭帯域条件下におけるクロス相関による到達時間推定のセキュリティ分析 [cs.CR]目的:到達時間推定に対する新たな攻撃手法とその影響評価
- 測距技術は,位置情報サービスや安全な通信において重要な役割を担う。
- 狭帯域システムでは,距離減少攻撃に対する脆弱性が課題となっている。
- クロス相関に基づく到達時間推定に対する新たな攻撃と対策を提示する。
- 本研究では,信号波形変調と負の群遅延フィルタを用いた2つの新たな攻撃手法を提案した。
- これらの攻撃は,リアルタイムなシンボル検出や適応補償を必要とせず,Bluetooth CS RTT測距に対して最大18mの距離減少を引き起こす可能性があることがシミュレーションで示された。
- また,市販部品を用いたプロトタイプ構築により,負の群遅延フィルタを用いた攻撃の実現可能性を検証した。
diffGHOST:拡散に基づく生成ヘッジングされた無記名合成軌跡 [cs.AI, cs.CR]目的:移動軌跡のプライバシー保護と有用性の両立
- 移動軌跡は様々な応用において有用だが,個人情報を含むため,その取り扱いには注意が必要である。
- 既存モデルは,生成モデルの暗黙的なプライバシー保護に依存しており,十分なプライバシー保証を提供できていない。
- 学習された潜在空間における条件セグメントを用いて,重要なサンプルからの記憶を特定し,軽減することを目指す。
- 本研究では,潜在空間のセグメンテーションに基づく条件付き拡散モデルdiffGHOSTを提案した。
- diffGHOSTは,軌跡の有用性を維持しつつ,プライバシーを保護する手法を提供する。
- 重要なサンプルの記憶を特定・軽減することで,プライバシー侵害のリスクを低減できる。
AutoSOUP:コンポーネントレベルのメモリ安全性の検証のための安全志向ユニット証明の自動生成 [cs.RO, cs.SE, cs.CR]目的:コンポーネントレベルメモリ安全性の検証のための安全志向ユニット証明の自動生成
- 低レベルソフトウェアにおけるメモリ安全性の問題は深刻であり,特に組み込みシステムにおいては脆弱性の主要な原因となる。
- 既存のメモリ安全性検証ワークフローは手動操作が中心であり,専門知識が必要なため,実用的な普及が課題となっている。
- AutoSOUPは,検証の選択を自動化することで,メモリ安全性検証の自動化と脆弱性の検出を可能にすることを目指す。
- AutoSOUPは,安全志向ユニット証明を通じて,コンポーネントレベルのメモリ安全性の検証を自動化するシステムである。
- LLM-As-Function-Callというハイブリッドアーキテクチャにより,決定論的プログラム合成とLLMを組み合わせることで,ユニット証明の自動生成を実現している。
- 評価実験により,AutoSOUPがメモリ安全性の検証を自動化し,検証されたコンポーネントの脆弱性を検出できることが示された。
サイバー犯罪と予防:ソーシャルエンジニアリングにおけるコロネル・ブロト [cs.CR, cs.GT]目的:ソーシャルエンジニアリング攻撃に対する防御資源の最適配分
- サイバー攻撃は巧妙化の一途をたどっており,技術的防御だけでは限界がある。
- 人的脆弱性は,サイバーセキュリティ対策の重要な弱点となっている。
- 組織や国家レベルでの,効果的な予防策の策定を支援する。
- 本研究では,ルーティン活動理論とVIVAフレームワークに基づき,サイバー犯罪データを活用したモデルを開発した。
- 国家レベルの予防策においては,国ごとの特性に応じた資源配分の重要性が示された。
- 組織レベルの分析では,組織規模や特徴に応じた最適な対策が導き出された。
MATRA: エージェント型AIシステムの攻撃対象領域のモデリング - OpenClawケーススタディ [cs.AI, cs.CR]目的:エージェント型AIシステムの攻撃対象領域のモデリング
- AIエージェントの利用拡大に伴い,セキュリティ評価の重要性が増している。
- 既存の脅威クラスを特定のAIエージェントに適用したリスク評価手法が不足している。
- エージェント型AIシステムの具体的なリスクを定量的に評価し,対策を講じることを目指す。
- MATRAは,既存のリスク評価手法を応用し,LLMの脅威をシステム固有のリスクに変換する。
- 資産ベースの影響評価とアタックツリーを用いて,リスク発生の可能性を体系的に評価する。
- OpenClawを用いたケーススタディで,ネットワークサンドボックス等のアーキテクチャ制御がリスクを軽減することを示す。
LITMUS:実OS環境におけるLLMエージェントの行動的脱獄のベンチマーク [cs.CC, cs.CR, cs.CL]目的:LLMエージェントの行動的脱獄のベンチマーク
- LLMエージェントの利用拡大に伴い,コンテンツ安全性を超えた新たな安全リスクが顕在化している。
- 既存のベンチマークは,物理層の危害を見逃すか,テストケースの分離が不十分である。
- 実OS環境において,LLMエージェントの行動的脱獄のリスクを定量的に評価する。
- 現在のLLMエージェントは安全対策が不十分であり,高性能モデルでも高リスク操作を実行する。
- エージェントは「実行幻覚」を示し,危険な操作が完了しているにも関わらず拒否を装う。
- スキル注入やエンティティラッピング攻撃は高い成功率を示し,エージェントの脆弱性を露呈している。
秘密を保つことはできるか?言語モデルの文章における意図しない情報漏洩 [cs.CR, cs.AI]目的:言語モデルにおける情報漏洩の検証
- 言語モデルの利用拡大に伴い,情報保護の重要性が増している。
- プロンプトや機密情報が,意図せず出力に反映されるリスクがある。
- 言語モデルが秘密情報を漏洩するメカニズムを明らかにすること。
- 最先端の言語モデルは,秘密の単語を直接出力することなく,テーマや描写を通じて,統計的に有意な割合で秘密を漏洩する。
- 秘密を隠すように指示すると,モデルは秘密から遠ざかるように書き,その回避行動自体が検知可能である。
- 情報漏洩はモデル間で共有され,モデルのサイズに比例して大きくなる。また,短い文章では情報漏洩は起こらない。
セキュアなハードウェア設計と関連問題に対するLLM:機会と課題 [cs.CR, cs.AR, cs.LG]目的:LLMを活用したハードウェア設計における機会と課題の分析
- 半導体産業は発展を続けており,設計の自動化とセキュリティ強化が重要である。
- LLMの導入は可能性を広げる一方,新たな脆弱性の問題も生じている。
- LLMを活用した設計におけるセキュリティリスクを軽減し,信頼性向上を目指す。
- LLMはRTLコード生成やテストベンチ自動化に貢献し,高レベル仕様とシリコン間のセマンティックギャップを埋める。
- データ汚染や敵対的機械学習による回避など,LLMの脆弱性に関する最新の研究動向を体系的に分析した。
- 動的ベンチマーキングや積極的なレッドチームによる評価など,効果的な対策についても議論した。
ドメイン適応言語モデルを用いた脅威モデリング:実証的評価と考察 [cs.CR, cs.AI]目的:脅威モデリングにおけるドメイン適応言語モデルの効果検証
- サイバーセキュリティの重要性が増す中,脆弱性検出へのLLM活用が注目されている。
- 既存研究では,汎用LLMの限定的なプロンプト設定での評価が中心であった。
- STRIDEアプローチを用いた5Gセキュリティにおける脅威モデリングの課題解決を目指す。
- ドメイン適応モデルは,汎用モデルに対して一貫して優れた性能を示すとは限らないことが示された。
- デコーディング戦略がモデルの挙動と出力の妥当性に大きく影響することが明らかになった。
- モデル規模の拡大が必ずしも信頼性の高い脅威モデリングに繋がらないという限界が示唆された。
モバイル基盤の測定民主化:中央集権化する通信エコシステムにおけるセキュリティとプライバシー [cs.NI, cs.CR, cs.CY]目的:モバイル通信システムの独立性,スケーラビリティ,再現性のある測定手法
- 現代社会において,モバイルネットワークは通信の根幹であり,情報アクセスに不可欠である。
- ネットワークの複雑化と,測定ツールの不足が,セキュリティやプライバシーに関する理解を妨げている。
- ネットワーク事業者やプラットフォームの協力なしに,モバイル通信を測定可能な環境を構築すること。
- 本研究では,モバイル通信システムの測定プラットフォームを開発し,オープンソース化した。
- セルラー無線ネットワーク,オペレーター提供サービス,OTTメッセージングアプリケーションにわたる実験を可能にした。
- 独立,スケーラブル,再現性のある測定を可能にし,通信エコシステムの透明性を高める。
- 1
- 2