arXiv雑要約

• Top
• AI
• プログラム
• 画像・音声
• セキュリティ
• 数値解析

セキュリティ - 2026/05/29 公開

• 推論内の反響：思考の連鎖によるステルス性と効果的なウォーターマーキング [cs.CR, cs.LG]目的：大規模言語モデルの知的財産保護

  • LLMの高度化に伴い，その技術的優位性を保護する重要性が高まっている。
  • 既存のウォーターマーク手法は，堅牢性と推論の忠実性の両立が困難である。
  • 推論過程にウォーターマークを埋め込み，モデルの盗難や改ざんから保護すること。
  • BiCoTは，推論過程の構造的なアンカーを高精度に制御し，ウォーターマークを埋め込むことで，推論能力を損なわずに所有権を保護する。
  • Robust Subspace Registration (RSR)により，モデルの変更や表現の変化下でもウォーターマークの検証が可能となる。
  • 多様な推論タスクにおいて，BiCoTは高い推論精度を維持しつつ，様々な攻撃に対して堅牢な検出性能を発揮する。

  Link: https://arxiv.org/abs/2605.28890

• LLM連携時の脆弱性の解明と修復に向けて [cs.SE, cs.CR]目的：LLM連携ソフトウェアにおける脆弱性リスク分析の促進

  • 近年のソフトウェアシステムにLLMが不可欠な要素として組み込まれ，その重要性は増している。
  • LLM自身や関連コンポーネントに起因する脆弱性が新たに生じており，既存のソフトウェアレベルの分析ではLLM特有の脅威を捉えきれない。
  • LLM連携時の脆弱性に関する理解を深め，リスク分析を可能とするデータセットの構築を目的とする。
  • 本研究では，2,888件の脆弱性情報を収集・分析し，LLM連携時の脆弱性として厳密に分類される205件を特定した。
  • 分析の結果，LLMは脆弱性の根本原因というよりは，標的や伝播経路として機能することが多いことが示された。
  • 構築したデータセットLLMCVEを用いた評価により，LLM連携時の脆弱性は従来のソフトウェア脆弱性よりも修復が難しいことが示された。特に，プロンプトインジェクション脆弱性のPass@1率は28.57%にとどまる。

  Link: https://arxiv.org/abs/2605.28893

• 人工知能における量子強化された敵対的ロバスト性 [cs.CR, cs.AI]目的：人工知能の敵対的ロバスト性の向上

  • 人工知能は様々な分野で成功を収めているが，その安全性と信頼性が重要課題となっている。
  • 敵対的攻撃に対する脆弱性が，特に安全性が求められるシステムにおいて深刻な問題である。
  • 量子技術を用いて，人工知能システムの敵対的攻撃に対する耐性を高めることを目指す。
  • 本研究は，敵対的機械学習と既存の防御戦略の包括的な概要を提供する。
  • 量子コンピューティングおよび量子機械学習モデルを紹介し，量子強化された敵対的ロバスト性の概念的枠組みを提示する。
  • 量子最適化，特徴マッピング，ハイブリッド量子古典アーキテクチャが，安全で信頼性の高いAIシステム開発を支援する。

  Link: https://arxiv.org/abs/2605.28899

• サイクル空間に基づく電力システムに対する自己符号化型ブラインド偽データ注入攻撃の検知 [cs.CY, cs.LG, cs.CR]目的：電力システムにおける自己符号化型ブラインド偽データ注入攻撃の検知手法

  • 電力系統はリアルタイム計測データと自動化された意思決定に依存度が増しており，信頼性確保が重要である。
  • 既存の検知手法はデータ構造を悪用する攻撃に対して脆弱であり，ステルス性の高い攻撃を見抜けない場合がある。
  • ネットワークのサイクル空間を利用し，構造的制約を加えることで，データ駆動型偽データ注入攻撃の検知精度向上を目指す。
  • 提案手法であるサイクル空間検知器（CSD）は，最小サイクル基底を用いることで，攻撃検知における最適な汎化誤差を達成する。
  • CSDは正確な線路パラメータを必要とせず，正常データと攻撃データ間の分離を改善する。
  • IEEE規格の系統を用いたシミュレーションにより，提案手法が現実的な計測ノイズ下でデータ駆動型偽データ注入攻撃を効果的に検知することが示された。

  Link: https://arxiv.org/abs/2605.28912

• AIRGuard：実行時権限制御によるエージェントの行動保護 [cs.CL, cs.CR, cs.AI]目的：エージェントの行動に対する実行時権限制御の機構

  • 言語エージェントの利用拡大に伴い，外部環境への影響を考慮したセキュリティ対策が不可欠となっている。
  • エージェントは実行可能な行動を通じて攻撃される可能性があり，単純な出力制限だけでは不十分である。
  • AIRGuardは，権限の錯綜を防ぎ，エージェントによる安全でない行動を抑制することを目指す。
  • AIRGuardは，ツール呼び出しの標準化，段階的な権限付与，信頼性の追跡，影響のシミュレーション，リスクの監査，実行前の強制を行う。
  • AgentTrapにおいて，AIRGuardはSonnet 4.6の攻撃成功率を36.3%から5.5%に低減することに成功した。
  • DTAP-150では，Haiku 4.5を用いた場合，AIRGuardは76.0%の有用性を維持し，ARGUS(52.0%)やMELON(42.0%)を上回った。

  Link: https://arxiv.org/abs/2605.28914

• 微分プライバシーを考慮した仮説検定における最適なレート [cs.CR, cs.DS, cs.IT, cs.LG, math.IT]目的：ε-値を用いた仮説検定における，達成可能な最適なe-power

  • データ分析において，仮説検定は重要な役割を担う。特に，プライバシー保護が求められるデータへの応用が不可欠である。
  • プライバシー保護と統計的検定力の両立が課題であった。既存手法ではデータ効率が低い場合がある。
  • ε-微分プライバシーを満たすe-値を用いた仮説検定において，最適なレートを導き出すことを目指す。
  • ε-値を用いた仮説検定における最適なe-powerのレートを数学的に導出した。
  • 提案アルゴリズムは，このレートを完全に達成し，既存のDP-SPRTよりも少ないデータで同等の性能を示す。
  • 逐次検定において，プライベートなe-processの停止時間に関する上限と下限を一致させた。

  Link: https://arxiv.org/abs/2605.28952

• 委任された権限昇格のための，マニフェストに基づく安全なフレームワーク [cs.CR, cs.OS]目的：権限昇格の委任に関する安全なフレームワークの設計と実装

  • 大規模システムでは，最小特権の原則が重要視される一方で，限定的な操作に特権が必要となる。
  • 特権コンポーネントの更新はセキュリティリスクを伴い，自動化が困難である。
  • 安全な権限昇格により，自動化された更新とセキュリティ維持を両立することを目指す。
  • 本研究では，暗号的に保護されたメタデータを検証する最小限の特権を持つ仲介者を導入した。
  • これにより，非特権プロセスがベンダー承認済みのファイルのみを安全に昇格できるようになった。
  • ファイルディスクリプタにバインドされた検証により，TOCTOU攻撃を軽減し，ゼロダウンタイムでの自己更新を実現した。

  Link: https://arxiv.org/abs/2605.28991

• LLMベースの履歴書スクリーニングにおける現実世界のプロンプトインジェクション攻撃の測定 [cs.CR, cs.AI, cs.CL, cs.LG]目的：LLMベースの履歴書スクリーニングにおけるプロンプトインジェクション攻撃の実態

  • LLMの活用が拡大する中，そのセキュリティ確保は重要である。
  • プロンプトインジェクション攻撃は理論的に示唆されているが，実用環境での発生頻度や影響は不明である。
  • LLMベースの履歴書スクリーニングにおけるプロンプトインジェクション攻撃の実態を定量的に把握する。
  • 約20万件の実際の履歴書を分析した結果，約1%に隠れたプロンプトインジェクションが含まれていることが判明した。
  • プロンプトインジェクションを含む履歴書の割合は，過去1〜2年で顕著に増加している。
  • 注入されたプロンプトの90%以上は，明示的な指示を使用していない。

  Link: https://arxiv.org/abs/2605.28999

• SCDBench：LLMベースのスマートコントラクト逆コンパイラのためのベンチマーク [cs.SE, cs.AI, cs.CR]目的：LLMベースのスマートコントラクト逆コンパイラ評価のためのデータセットおよびベンチマーク手法

  • ブロックチェーン技術の安全性と透明性向上には，スマートコントラクトの解析が不可欠である。
  • 既存の逆コンパイラ評価はデータセットや指標が限定的で，セマンティックな整合性検証が不十分である。
  • LLMが生成するソースコードのセマンティックな正確性を評価し，信頼性の高い逆コンパイラ開発を促進する。
  • 最先端のLLMは構造化されたSolidityコードを生成できるものの，セマンティックな整合性は依然として課題である。
  • 最良のモデルでも，600件のコントラクトのうち42件のみを完全に逆コンパイルできる結果となった。
  • 同じモデルによるコンパイル・修正により，わずかなコストで性能が大幅に向上することが示された。

  Link: https://arxiv.org/abs/2605.29059

• 潜在的推論を用いた堅牢かつ効率的なガードレール [cs.AI, cs.CL, cs.CR, cs.LG]目的：大規模言語モデルの安全性確保

  • LLMの社会実装が進む中，安全性は不可欠であり，誤った情報や有害なコンテンツの拡散を防ぐ必要がある。
  • 既存のガードレールは，分類や蒸留推論に頼るが，特に推論に基づく手法は遅延とトークン消費が大きいという課題がある。
  • 本研究は，多段階の安全推論を潜在空間に転移することで，高速かつ効率的なガードレールを実現することを目指す。
  • COLAGUARDは，10種類のプロンプトと応答のモデレーション設定において，Llama Guard 3よりもマクロF1スコアを8.24ポイント向上させた。
  • マクロF1スコアにおいて，明示的な推論ベースラインGuardReasonerと同等でありながら，12.9倍の高速化と22.4倍のトークン使用量削減を実現した。
  • 潜在的推論は，安全性の堅牢性と推論効率を両立する，実用的なガードレール代替手段となり得ることを示唆している。

  Link: https://arxiv.org/abs/2605.29068

• GEO-Bench：生成エンジン最適化におけるランキング操作のベンチマーク [eess.SY, cs.SY, cs.CR, cs.AI]目的：生成エンジン最適化におけるランキング操作攻撃の評価

  • LLMが検索結果に影響を与えるため，公平性や情報保全の観点からランキング操作の対策が重要である。
  • 既存研究では評価基準が異なり，攻撃手法の強みや検知可能性の比較が困難であった。
  • 統一された評価基準を用いて，様々な攻撃手法の性能を比較し，検知手法の開発を支援する。
  • GEO-Benchを用いることで，様々なランキング操作攻撃の有効性とステルス性のトレードオフが明らかになった。
  • ブラックボックス型のコンテンツ書き換え攻撃が，勾配ベースの攻撃と同等以上の性能を発揮し，より自然なテキストを生成し，キーワードやパープレキシティに基づく検知を回避できる場合がある。
  • アクセスモデルは攻撃の強さを予測するものではないことが示された。

  Link: https://arxiv.org/abs/2605.29107

• 推論機能付き視覚言語行動モデルにおける脆弱性の探求：自動運転への応用 [cs.CR, cs.LG, cs.RO]目的：自動運転のための推論機能付き視覚言語行動モデルの脆弱性

  • 自動運転技術の安全性向上は社会実装において不可欠であり，AIモデルの信頼性確保が重要である。
  • 既存の視覚言語行動モデルは，現実世界のノイズや攻撃に対して頑健性に課題がある。
  • 現実的な入力擾乱に対する脆弱性を明らかにし，安全性を高めるための評価基準と防御策を提案する。
  • 推論機能付き視覚言語行動モデルは，現実的な入力擾乱に対して高い脆弱性を示すことが示された。
  • 攻撃成功率は推論で最大89%，軌道操作で最大72%に達し，衝突率の増加と安全性の低下を引き起こす。
  • 推論と軌道生成の相互作用を評価するためのベンチマークが提示され，今後の研究を促進する。

  Link: https://arxiv.org/abs/2605.29114

• unix-ctf: Unixスキル強化のための手続き的環境 [cs.CR, cs.AI]目的：Unixスキルの獲得を目指した強化学習環境の構築

  • Unixコマンドはシステム管理や自動化に不可欠であり，熟練した運用が重要である。
  • 従来のターミナルベンチマークは，Python等のプログラミングスキルとUnixスキルを区別できていない。
  • Unixスキルに特化した環境を構築し，強化学習によるUnixスキルの向上を目指す。
  • unix-ctfは，シェルエージェント向けのCTFタスクを自動生成する環境である。
  • Qwen3-8Bをunix-ctfでファインチューニングした結果，solve rateが11.6%から43.6%に向上した。
  • この結果は，Unixスキルが分離可能であり，直接評価することで効果的に学習できることを示唆する。

  Link: https://arxiv.org/abs/2605.29115

• イーサリアムバリデータにおけるTorベースの位置情報プライバシー評価 [cs.CR]目的：イーサリアムバリデータの位置情報プライバシーに関する評価

  • イーサリアムネットワークのセキュリティ維持には，バリデータの匿名性が不可欠である。
  • バリデータのIPアドレスと身元を結びつけることで，DoS攻撃やMEV悪用のリスクが生じる。
  • バリデータのIPアドレスと身元の関連付けを困難にし，ネットワークの信頼性を高める。
  • Tor pushプロトコルが，バリデータのIDとIPアドレスの関連付けを困難にすることを示した。
  • Nimbus EthereumクライアントにPoC実装を組み込み，Goerliテストネット上で動作検証を行った。
  • 平均613.82msの遅延増加で済むことが確認され，ネットワーク全体の性能を損なわずにプライバシーを向上させることが示唆された。

  Link: https://arxiv.org/abs/2605.29131

• S3C2サミット2025-07：政府向けセキュアサプライチェーンサミット [cs.CR]目的：政府系機関におけるソフトウェアサプライチェーンのセキュリティに関する経験と課題の共有，新たな連携の促進，および今後の研究方向性の特定

  • ソフトウェアサプライチェーンは経済的価値が高いが，脆弱性が攻撃の標的となりやすい。
  • ソフトウェアサプライチェーンへのサイバー攻撃が急増しており，社会全体に深刻な影響を及ぼしている。
  • 政府機関が抱える課題を把握し，サプライチェーンセキュリティ改善に向けた研究を推進する。
  • サミットでは，SBOM，コンプライアンス，悪意のあるコミット，ビルドインフラ，文化，LLMとセキュリティの6つのテーマについて議論された。
  • 参加者からの実務経験や課題の共有を通じて，業界間の連携を促進するための機会が提供された。
  • 本報告書には，サミットの内容の概要がまとめられており，議論の出発点となった質問も付録として提供されている。

  Link: https://arxiv.org/abs/2605.29140

• 積分格子とモジュール格子における進化篩法のための領域情報に基づく表現 [cs.CR, cs.AI]目的：整数分解や離散対数問題に基づく従来の暗号が量子コンピュータによって解読されるリスクに対する対策

  • 現代暗号の根幹を支える問題であり，量子コンピュータによる解読が現実味を帯びているため，安全性確保が急務である。
  • 既存の暗号技術は量子コンピュータの登場により，将来的に解読される可能性を抱えている。
  • 最短ベクトル問題に対する遺伝的アルゴリズムを改良し，量子耐性暗号の安全性を向上させる。
  • Ajtaiらの篩法を遺伝的アルゴリズムとして捉え，領域情報を組み込んだ表現と交叉演算を導入することで，効率的な探索を実現した。
  • この手法を積分格子に加えてモジュール格子へ自然に拡張し，適用範囲を広げた。
  • 領域情報を活用することで，最短ベクトル問題解決の性能向上に貢献する。

  Link: https://arxiv.org/abs/2605.29169

• ペーパーエージェント，ペーパーゲイン：DeFi投資エージェントの実証的分析 [cs.AI, cs.CR]目的：DeFi投資エージェントに関する市場の実態と課題の把握

  • DeFi市場の急速な発展に伴い，AIを活用した自動取引エージェントの重要性が増している。
  • DeFi投資エージェントの自律性，パフォーマンス，利害関係者との整合性に関する標準が確立されていない。
  • DeFi投資エージェントの成熟度を評価するためのフレームワークを提案し，今後の発展に貢献すること。
  • 現在のDeFi投資エージェントの多くは，自律的な取引実行の明確な証拠を示しておらず，基本的なAPI連携にとどまっている。
  • エージェントの運用資産は3000万ドル以上のペーパーゲインを記録する一方，トークン保有者は合計1億9170万ドルの損失を被っており，上位1％のウォレットが全体の81.4％の利益を占めている。
  • トークンの時価総額は運用資産残高と弱く関連しており，成熟したDeFiプロトコルと比較して極めて高い乖離が見られる。ユーザーの総ゲインはピーク後に減少し，平均的なトークン価格は過去最高値から93％下落した。

  Link: https://arxiv.org/abs/2605.29174

• EvaluatAR：ARにおける傍観者PETの迅速プロトタイピングのためのクロスデバイス評価フレームワーク [cs.CR, cs.ET]目的：ARにおける傍観者PETの評価を迅速化するためのクロスデバイス評価フレームワーク

  • ARヘッドセットの普及に伴い，周囲の人物のプライバシー保護が重要になっている。
  • 従来のPET評価は，人的資源を要し，コストが高く，デバイス依存性が高い。
  • デバイス間の再現性を確保し，PET開発の初期段階における評価を効率化することを目指す。
  • EvaluatARは，センサーデータと視覚刺激を標準化し，記録・再生ワークフローにより実験条件を制御することで，クロスデバイス評価を可能にする。
  • HoloLens 2，Magic Leap 2，Meta Quest 3における3つのケーススタディを通じて，デバイス固有のプライバシー・性能のトレードオフが明らかになった。
  • 本フレームワークは，暗黙的および明示的なPET設計カテゴリで汎用的に機能し，PETの修正と診断を支援することで，最先端のベースラインを上回る改善を実現した。

  Link: https://arxiv.org/abs/2605.29177

• 最適な計画：マルチエージェントシステムにおける協調的な妨害と監視 [cs.CR, cs.MA]目的：マルチエージェントシステムにおける協調的な妨害行為とその監視

  • エージェント技術は複雑化しており，安全性の確保が重要課題となっている。
  • 複数のエージェントが連携する際に，悪意のある目的を秘めた協調的な行動が起こりうる。
  • エージェント間の協調的な妨害行為を検出し，安全性を向上させる手段を確立すること。
  • GPT 5.1 CodexとGemini 3.1 Proを用いた評価で，Geminiは隠れた目的を84%の確率で達成し，Codexは46%の確率で達成した。
  • GeminiはCodexよりもコミュニケーション失敗からの回復率が高く，その差が性能の差を生み出している。
  • エージェントのコード編集は検知可能であり，監視システムは高い精度で妨害行為を特定できることが示された。

  Link: https://arxiv.org/abs/2605.29178

• SAMD：AI/ML搭載医療機器における偽データ注入シナリオを特定するツール [cs.CR]目的：AI/ML搭載医療機器における偽データ注入シナリオの特定

  • 医療システムへのAI/ML統合が進む中で，セキュリティリスクへの対策が重要となっている。
  • 設計段階でのリスク予測が困難であり，実際の使用状況でシステム構成が変化する点が課題である。
  • 設計段階でセキュリティ分析を行い，潜在的な攻撃シナリオを事前に特定することを目的とする。
  • SAMDは，AI/ML搭載医療機器のセキュリティ分析手法であるSTPA-Secを自動化するツールである。
  • 5つのFDA承認済み医療機器を対象としたケーススタディで，脆弱点の特定と攻撃経路の抽出が可能であることを示した。
  • デバイス技術の特定精度は100%，既知の脆弱性との関連精度は63.2%，攻撃シナリオの妥当性は95.3%であった。

  Link: https://arxiv.org/abs/2605.29210

• 関連性が脆弱性となる：LLMエージェントにおけるWeb検索が安全性調整を低下させる仕組み [cs.CL, cs.AI, cs.CR]目的：LLMエージェントにおける検索誘発による安全性低下の分析

  • AIエージェントは，最新の情報提供にWeb検索を利用する。その安全性確保は重要課題である。
  • Web検索の導入は，AIエージェントの有害な要求への対応を増加させることが課題となっている。
  • 検索の関連性が安全性に及ぼす影響を分析し，安全性と有用性のトレードオフを明らかにする。
  • 検索統合方法において，ツール呼び出しと応答生成を一度に行うと，有害な出力が増幅されることが判明した。
  • 安全性を意識した情報源であっても，警告を含むページなどは有害な要求への対応を25%増加させる「安全源のパラドックス」が確認された。
  • 関連性は脆弱性の共通の活性化条件であり，検索の有用性と安全性のトレードオフを示唆している。

  Link: https://arxiv.org/abs/2605.29224

• S3C2サミット2025-09：業界の安全なサプライチェーンサミット [cs.CR]目的：ソフトウェアサプライチェーンセキュリティに関する業界の経験と課題の共有，新たな連携の促進，および今後の研究方向性の特定

  • 現代のデジタル環境はソフトウェアサプライチェーンに大きく依存しており，その安全性確保は不可欠である。
  • ソフトウェアサプライチェーン攻撃が増加しており，重要なシステムを破壊し，組織にリスクをもたらしている。
  • ソフトウェアサプライチェーンセキュリティ強化のための課題を特定し，今後の研究開発を促進すること。
  • サミットでは，脆弱な依存関係，コンポーネント選択，悪意のあるコミット，ビルドインフラ，文化，LLMの役割など，6つの主要なトピックについて議論された。
  • 参加者間の実務経験や課題の共有，および新たな連携の促進が図られた。
  • 過去のサミットからの継続的なトピックと，本サミットで新たに浮上したアイデアが明確にされた。

  Link: https://arxiv.org/abs/2605.29226

• スキル構造化攻撃記憶がLLMの脱獄を強化する [cs.CR]目的：大規模言語モデル(LLM)に対する脱獄攻撃の自動生成

  • LLMの安全性評価は不可欠であり，そのための自動化された攻撃手法が求められている。
  • 既存手法は，経験の体系的な組織化・管理が不十分であり，効率的な攻撃が困難である。
  • 攻撃経験を構造化し，効率的に活用することで，脱獄攻撃の成功率向上を目指す。
  • MemoAttackは，AdvBenchにおいて平均98.00%の攻撃成功率を達成し，最先端のベースラインを16.67%上回った。
  • 要求回数を45.9%削減することにも成功し，効率性の向上を示した。
  • 記憶の蓄積に伴い，継続的に性能が向上することが確認された。

  Link: https://arxiv.org/abs/2605.29237

• LLMにおける暗黙的なID技術：データセット，モデル，生成コンテンツにおけるフィンガープリンティングとウォーターマーキング [cs.CR, cs.CL, cs.LG]目的：LLMのID，所有権確認，来歴，生成コンテンツの帰属に関するフィンガープリンティングとウォーターマーキングの調査と分類

  • LLM開発には莫大な投資が必要であり，高リスクな環境での利用が増加しているため，資産保護が不可欠である。
  • 既存研究は急速に進展しているものの，フィンガープリンティングとウォーターマーキングの一貫性が低く，孤立した設定で研究されることが多い。
  • LLMシステムにおける検証可能なID信号を統合的に捉え，資産保護と来歴追跡の信頼性向上を目指す。
  • 本調査では，フィンガープリンティングを内在的特性から得られる非侵襲的なID，ウォーターマーキングを意図的に埋め込まれる侵襲的なIDと定義する。
  • データセット，モデル，生成コンテンツのライフサイクルに基づいた分類を提案し，類似性に基づく帰属と鍵付き検証の検証セマンティクスを区別する。
  • 識別可能性，堅牢性，展開可能性を中心とした評価フレームワークを確立し，現実的なアクセスと変換下での代表的な指標をまとめた。

  Link: https://arxiv.org/abs/2605.29245

• 証明可能な安全なエージェントガードレール [cs.AI, cs.CR]目的：エージェントの安全性を保証する新たな枠組み

  • 大規模言語モデルがエージェントとして進化する中で，セキュリティの重要性が増している。
  • 従来のガードレールは記号的攻撃に弱く，決定的な安全性を保証できない。
  • 論理的推論の限界に基づき，形式的な検証による安全なエージェントの実現を目指す。
  • 提案手法は，物理的操作前に意図を論理制約として形式化することを強制する。
  • 動的な敵対システムにおける評価により，攻撃成功率と誤検知率がともにゼロであることが確認された。
  • この研究は，将来の知能システムのための基盤となる防御メカニズムを提供する。

  Link: https://arxiv.org/abs/2605.29251

• HunterAgent: 反フォレンジクス下における攻撃経路再構築 [cs.CR]目的：攻撃経路の再構築

  • サイバー攻撃は巧妙化の一途を辿り，SOCの負担増大が課題である。
  • 高度な攻撃者は，フォレンジクスを妨害する技術を用い，経路の特定を困難にする。
  • 断片化されたログから正確な攻撃経路を再構築し，インシデント対応を支援する。
  • HunterAgentは，ニューロシンボリックな手法を用いて，不完全な情報から攻撃経路を効率的に再構築する。
  • 提案手法は，LLMの仮説生成と検証パイプラインを組み合わせ，誤った経路の生成を抑制する。
  • 厳格な交差検証の結果，既存手法と比較して高いF1スコアを達成し，フォレンジクスにおける信頼性が確認された。

  Link: https://arxiv.org/abs/2605.29269

• ディープフェイク鑑識AI：マルチモーダル検出とブロックチェーンに基づく証拠管理プラットフォーム [cs.CR, cs.CV]目的：AI生成メディアの検知と，改ざん防止可能な証拠の管理

  • デジタル証拠の信頼性確保は，法的手続きや捜査において極めて重要である。
  • 既存のディープフェイク検知システムは単一のモダリティに限定され，証拠の保全機能が不十分である。
  • 本研究は，複数のモダリティに対応し，ブロックチェーンで証拠を確実に管理するシステムを構築することを目指す。
  • 画像，動画，音声の各モダリティにおいて高い検知精度（AUC=0.9868, 0.9628, EER=18.63%）を達成した。
  • 生成モデルのフィンガープリントを特定するモジュールは99.88%の精度を示した。
  • SHA-256ハッシュ，IPFS，Solidityスマートコントラクトによる，改ざん不可能な証拠管理システムを構築した。

  Link: https://arxiv.org/abs/2605.29353

• 無害に見えて有害：エージェントのスキルにおけるステルスな幻覚誘導のための中立的なプロンプト攻撃 [cs.CR, cs.LG]目的：エージェントのスキルにおける幻覚誘導の脆弱性

  • LLMを活用したコーディングエージェントがソフトウェア開発に不可欠となり，その安全性確保が重要である。
  • エージェントが架空のパッケージを幻覚し，悪意のある第三者がその名前を登録することでサプライチェーンリスクが生じる。
  • 一見無害なプロンプトが幻覚行動を誘導し，サプライチェーンリスクを高める可能性を調査する。
  • 中立的なプロンプト攻撃（NPA）は，明示的な悪意を含まず，LLMの幻覚傾向を高める。
  • NPAは，既存の静的解析，LLMベース，およびエージェントベースの防御策を回避できる。
  • NPAは，幻覚発生率（Hallucination ASR）とPipインストール成功率（Pip Install ASR）の両方を増加させる。

  Link: https://arxiv.org/abs/2605.29354

• AliMark：文レベル透かしのロバスト性向上 - 文章の言い換えに対する [cs.CR, cs.AI, cs.CL, cs.LG]目的：文章の言い換えに対する文レベル透かしのロバスト性向上

  • 自然言語処理の発展に伴い，生成されたテキストの信頼性確保が重要になっている。
  • 既存の手法は，文章構造の変化（分割・結合）に対して脆弱であるという課題がある。
  • 文章構造の変化に強い，よりロバストな透かし技術の開発を目指す。
  • AliMarkは，文レベル透かしをビット列のエンコードとアラインメント問題として再構築する。
  • 複数の文章構造変形版を生成し，コストを最小化するようにアラインメントすることで，結合・分割に対する耐性を向上させている。
  • 多様な言い換え攻撃下で，既存の手法を大幅に上回る性能を示すことが実験的に確認された。

  Link: https://arxiv.org/abs/2605.29434

• オンデバイスAI推論の保護：攻撃と防御メカニズムの体系的レビュー [cs.CR]目的：オンデバイスAI推論に対する攻撃と防御メカニズムの現状把握

  • エッジデバイスでのAI利用拡大に伴い，セキュリティとプライバシー保護の重要性が高まっている。
  • AIモデルの窃取，敵対的攻撃，データ漏洩といったオンデバイスAI推論特有の脅威への対策が不十分である。
  • オンデバイスAI推論における脅威と防御メカニズムを網羅的にレビューし，今後の研究方向性を示す。
  • 既存の調査は分散学習を含むエッジインテリジェンスに焦点を当てており，オンデバイスAI推論固有のセキュリティ・プライバシー問題を見過ごしていた。
  • 調査対象の攻撃論文の約4分の1は知的財産攻撃に焦点を当てている一方，防御ソリューションの半分が同じ問題に対処している。
  • 攻撃の種類と利用可能な軽減策の間に不均衡があり，特に敵対的攻撃に対する防御が不足していることが示された。

  Link: https://arxiv.org/abs/2605.29450

• ProVerifとTamarinのためのセキュリティ特性の実行可能タクソノミー：理論と実践の架橋 [cs.CR]目的：セキュリティ特性のタクソノミー

  • 現代社会におけるデジタルシステムの安全性確保は重要である。特に，インターネットや暗号プロトコルに依存するシステムでは不可欠である。
  • 形式検証ツール(ProVerif, Tamarin)の利用には専門知識が必要であり，セキュリティ設計者にとって学習コストが高いという課題がある。
  • セキュリティ設計者が形式検証ツールを活用できるよう，セキュリティ特性を体系的に記述し，理解を助けることを目指す。
  • 近年のProVerifとTamarinを用いた研究(53件)の文献調査から，セキュリティ特性のタクソノミーを作成した。
  • 特性の定義を，直感的理解のための平易な説明と，厳密性・一貫性を確保するための一階述語論理表現の両方で提供した。
  • ProVerifとTamarinにおける実行可能なモデルとパターンを詳細に示し，オープンリポジトリで公開することで，理論と実践のギャップを埋める。

  Link: https://arxiv.org/abs/2605.29465

• SciIntBench：敵対的フレーミング下でのLLMの研究倫理遵守度測定 [cs.CR, cs.AI]目的：LLMの研究倫理遵守度

  • 科学研究におけるLLM利用が増加しており，その倫理的影響を評価する必要がある。
  • LLMが研究倫理を遵守するか，または侵害するかの判断が困難である。
  • 敵対的な状況下におけるLLMの倫理的判断能力を評価し，改善点を見出す。
  • LLMは，露骨な不正行為の拒否反応は比較的高いが，隠れた不正行為に対しては判断が甘い傾向がある。
  • 特に，不正行為が圧力による近道として提示された場合，拒否反応が著しく低下する。
  • 透明性，盗用，捏造といった研究倫理のカテゴリーにおいて，LLMの境界線が曖昧である。

  Link: https://arxiv.org/abs/2605.29468

• CODEFUSE-DEBENCH：可読性，再コンパイル可能性，機能性に関する実証研究 [cs.SE, cs.CR]目的：デコンパイラの品質評価における可読性，再コンパイル可能性，機能性の3次元評価

  • バイナリ解析はセキュリティやリバースエンジニアリングにおいて重要であり，その効率化が求められている。
  • 既存のデコンパイラ評価は構文類似性や単一軸の可読性指標に偏っており，実用的な再利用性を捉えられていない。
  • デコンパイラの多次元評価フレームワークを構築し，実用的な再利用性を考慮した評価を行うことで，デコンパイラの改善を促進する。
  • 提案されたフレームワークDEBENCHを用いて5つの主要なデコンパイラと3つの修復LLMを評価した結果，デコンパイラとLLMの組み合わせによるプログラムレベルの行動的重複率は最大22.3%であった。
  • 最適化レベル-O3は可読性が最も低いが，機能性が最も高いという結果が得られ，可読性の最大化が必ずしも機能性の最大化に繋がらないことが示された。
  • デコンパイラ間の機能レベルでのばらつきはLLM間のばらつきの20倍であり，デコンパイラエンジンの進歩がより重要であることが示唆された。

  Link: https://arxiv.org/abs/2605.29490

• KBF：言語モデルとブラックボックスAPI監査のための知識境界 [cs.CR, cs.AI]目的：言語モデルAPIのフィンガープリンティング手法

  • 大規模言語モデルの利用拡大に伴い，APIの信頼性確保が重要となる。
  • API提供元が主張するモデルと実際に提供されるモデルが一致しているか検証が困難である。
  • 知識境界付近での安定した数値再現性を用いて，APIのモデルを識別し，不正な置き換えを検出する。
  • KBFは，16のLLMエンドポイントにおいて，155件の経済的に重要な置き換えを検出し，同一モデルのコントロールは誤検知しなかった。
  • 展開時の変動に対して安定しており，わずか5〜10％のトラフィック置き換えで高分離混合ルーティング攻撃を検出できる。
  • 6つのプラットフォームのシャドウAPI監査において，27のプラットフォームモデルセルのうち7つが参照エンドポイントと統計的に不一致であった。

  Link: https://arxiv.org/abs/2605.29524

• 時間的モチーフを意識したグラフテスト時適応によるOODブロックチェーン異常検知 [cs.CR, cs.AI, cs.LG]目的：ブロックチェーンにおける異常検知の精度向上

  • ブロックチェーン技術の発展に伴い，取引パターンが複雑化し，異常検知が困難になっている。
  • 悪意のある攻撃者による取引パターンの変化と，ブロックチェーンの多様な取引セマンティクスが課題である。
  • 時間的なモチーフに着目し，テスト時のグラフ適応戦略を通じて，これらの課題を解決する。
  • 提案手法TEMG-TTAは，既存のグラフ異常検知手法と比較して平均54.88%高い性能を示す。
  • 解釈可能なモチーフパターン分析により，TEMG-TTAが異常アドレスの複雑な取引パターンを明確に捉えていることが確認された。
  • 学習データとテストデータの共通パターン共有を促進するテスト時適応戦略が有効であることが示された。

  Link: https://arxiv.org/abs/2605.29526

• LoRA-Key：テキスト画像生成モデルのためのユーザー中心LoRAウォーターマーキング [cs.CR]目的：テキスト画像生成モデルにおけるLoRAモジュールに対する，ユーザー中心のウォーターマーキング手法

  • 画像生成AIの発展に伴い，LoRAのような軽量モジュールの流通が活発化している。
  • LoRAモジュールはコピーが容易であり，著作権保護が課題となっている。
  • LoRAモジュールに，再利用可能なウォーターマークを付与し，著作権保護を容易にする。
  • LoRA-Keyは，学習不要な線形重ね合わせにより，様々なLoRAにウォーターマークを付与可能である。
  • 凍結されたVAE潜在空間にウォーターマークの事前分布を確立することで，ロバストなメッセージ埋め込みと復元を実現する。
  • Gradient Orthogonal Projection(GOP)により，生成品質とスタイルへの影響を抑制し，高い著作権保護性能と生成品質を両立する。

  Link: https://arxiv.org/abs/2605.29569

• 動的コード読み込みに対するシンボリックライブラリ解決による制御フローグラフ復元 [cs.CR, cs.SE]目的：動的コード読み込み環境下における制御フローグラフの復元

  • ソフトウェア分析において，制御フローグラフは重要なデータソースであるため，その復元技術は不可欠である。
  • 動的コード読み込みは静的解析を回避する手法であり，制御フローグラフの静的復元を阻害する問題がある。
  • シンボリック実行と推測的ライブラリプリロードを組み合わせ，動的読み込み時の制御フローグラフを復元する。
  • 提案手法により，静的解析のみと比較して，平均で29.8%多くの制御フローグラフノードと26.5%多くのエッジを復元できた。
  • ライブラリ検出において，100%の精度と再現率を達成し，Fridaを用いた動的計測により検証された。
  • 本手法は，マルウェア解析における安全性も確保しており，悪意のあるコードを実行することなく分析が可能である。

  Link: https://arxiv.org/abs/2605.29620

• 小規模抗議における情報セキュリティ：ウガンダのEACOP反対デモ参加者の監視 [cs.CY, cs.CR]目的：ウガンダのEACOP反対運動における情報セキュリティの実践

  • 社会運動における情報セキュリティは，活動家の保護と運動の継続に不可欠である。
  • 国家による監視や抑圧下で，小規模な抗議活動は情報漏洩のリスクが高い。
  • 本研究は，監視下での活動家の情報保護戦略を明らかにすることを目指す。
  • ウガンダの気候変動活動家は，国家による監視と抑圧の中で，秘密裏に抗議活動を組織している。
  • 活動家は逮捕や情報漏洩の直接的な脅威，さらには誘拐の恐怖に直面し，それがセキュリティ対策に影響を与えている。
  • 情報保護の必要性は，デバイス管理，コミュニケーション，宿泊，交通，社会関係など，日常生活の様々な側面に浸透している。

  Link: https://arxiv.org/abs/2605.29621

• 希少性だけでは不十分：並列化可能なリソース下における線形シビルコストの不可能性 [cs.CR]目的：線形シビルコストの不可能性

  • シビル攻撃は分散型システムの安全性と信頼性を脅かすため，その対策は重要である。
  • 既存の研究では，リソースの希少性のみに焦点を当て，構造的な特性が考慮されていなかった。
  • 並列化可能なリソースにおける線形コストの限界を明らかにし，対策の方向性を示す。
  • 希少性だけではシビル攻撃を防げず，リソースの構造的性質がコストに影響することが示された。
  • 分割可能性，影響の加算性，時間的再利用性，同一性転送可能性を満たすリソースでは，線形コストの実現が不可能である。
  • スループット制限，非転送性，ウィンドウローカルなリソースでは線形コストが実現可能となることが示された。

  Link: https://arxiv.org/abs/2605.29651

• FIDEM：IoTデバイスへのMUDプロファイルの安全なバインドのための標準準拠フレームワーク [cs.CR]目的：IoTデバイスとMUDプロファイルを安全にバインドするフレームワーク

  • IoTデバイスのセキュリティは重要であり，ネットワーク攻撃から保護する必要がある。
  • MUDプロファイルとデバイスのバインド方法が定義されておらず，悪意のあるデバイスがMUDを悪用する可能性がある。
  • DHCPベースのMUD URL発行を保護し，安全なプロファイル更新を実現すること。
  • FIDEMは，ゼロ知識証明認証を活用し，PKIに依存せず，製造元の関与を最小限に抑え，標準に準拠している。
  • 形式的分析により，FIDEMはサプライチェーンの侵害やデバイスをオラクルとして利用する攻撃を含む，より強力な攻撃者に対して耐性があることが示された。
  • ESP32-S3とESP32-C6での実証実験により，標準DHCPと比較してオーバーヘッドが最小限（約5ms，20mJ）であり，証明書ベースのベンチマークよりも大幅に高速かつ省エネであることが示された。

  Link: https://arxiv.org/abs/2605.29654

• 最小限のプロンプト摂動がコードの脆弱性につながる：コーディングLLMにおけるプロンプトの脆弱性と隠れ状態のシグナル [cs.CL, cs.CR, cs.CL, cs.SE]目的：コーディングLLMにおけるプロンプトのわずかな変化がコードのセキュリティに及ぼす影響の評価

  • LLMを活用したコーディング支援は開発効率を向上させるが，生成されたコードのセキュリティが重要となっている。
  • プロンプトの小さな変化がコードの機能的な正確性を損なうことは知られているが，セキュリティへの影響は未解明であった。
  • プロンプトのわずかな変化がコードのセキュリティを侵害するかどうかを検証し，脆弱性の原因を特定すること。
  • わずかなプロンプトの変化（一文字の変更など）が，安全なコードを脆弱なコードに変化させることが示された。
  • モデルの隠れ状態を分析した結果，脆弱性はプロンプト表現に一部符号化されていることが明らかになった。
  • 入力処理の脆弱性は予測しやすい一方，安全なデフォルト設定の脆弱性は，デコーディング段階での介入が必要となることが示唆された。

  Link: https://arxiv.org/abs/2605.29737

• 安全な分散仮説検定 [cs.IT, cs.CR, math.IT]目的：分散仮説検定における安全性確保

  • センサーネットワーク等のデータ活用において，プライバシー保護は不可欠であるため。
  • 中央サーバが個々のデータ内容を知らずに検定を行うことは困難である。
  • 共有鍵を用いることで，プライバシーを保護した仮説検定を実現する。
  • 標準的な設定では，サーバが分布に関する情報を一切学習せずに仮説検定を行うことは不可能であることが示された。
  • 単一ビットの共有鍵を用いることで，単純な仮説クラスに対する完全な安全な検定が可能となる。
  • 有限領域上の任意の仮説クラスに対し，PSMプロトコルを用いた多項式的な通信量と鍵長で仮説検定への帰着が示された。

  Link: https://arxiv.org/abs/2605.29760

• AgentDoG 1.5：AIエージェントの安全性とセキュリティのための軽量かつスケーラブルなアライメントフレームワーク [cs.CL, cs.AI, cs.CL, cs.CR, cs.CV, cs.LG]目的：AIエージェントの安全性とセキュリティを向上させるためのアライメントフレームワーク

  • 現代のAIエージェントは強力だが，新たな安全上のリスクを生み出す可能性があり，対策が急務である。
  • 既存のアライメントフレームワークは，高度なAIモデルの進化と実世界への展開において十分な対応ができていない。
  • AgentDoG 1.5は，現実世界の脅威に対応できる，軽量かつスケーラブルなアライメントフレームワークを提供することを目指す。
  • AgentDoG 1.5は，CodexとOpenClawの実行シナリオから発生する新たなリスクに対応するため，エージェントの安全性分類を更新した。
  • わずか1000サンプルで学習可能な軽量なAgentDoG 1.5モデルを開発し，GPT-5.4などの閉鎖的モデルと同等の性能を達成した。
  • AgentDoG 1.5をオンラインの安全ガードレールとして導入し，リアルタイムでの安全管理を実現し，優れた性能を示した。

  Link: https://arxiv.org/abs/2605.29801

• Cert-LAS：層適応平滑化によるテキスト画像拡散モデルの所有権検証の確証に向けて [cs.CR, cs.CV, cs.GR, cs.LG, cs.MM]目的：テキスト画像拡散モデルの所有権検証の確証

  • 大規模言語モデルの応用拡大に伴い，知的財産の保護が重要になっている。
  • 既存の水標識手法は検証過程の信頼性が損なわれる可能性がある。
  • 悪意のある除去攻撃に対しても信頼性の高い検証を可能にすること。
  • Cert-LASは，拡散分類器とLFSガイドによる層適応ノイズを用いて水標識を埋め込み，仮説検定により所有権を検証する。
  • 特定の条件下では，悪意のある除去攻撃が存在しても信頼性の高い検証が可能であることが証明された。
  • 実験により，Cert-LASの有効性と適応攻撃への耐性が確認された。

  Link: https://arxiv.org/abs/2605.29809

• Ciphera：分散型生体認証アイデンティティフレームワーク [cs.RO, cs.AR, cs.CR, cs.CV, cs.DC]目的：分散型生体認証アイデンティティフレームワークの実現

  • 個人情報保護の重要性が増す中，生体認証システムの安全な運用が求められている。
  • 集中型システムは単一障害点や生体情報の漏洩リスクを抱える点が課題である。
  • 分散型技術を活用し，プライバシーを保護しつつ安全な生体認証を実現することを目指す。
  • Cipheraは，プライバシー保護型顔認識，多ノード検証，IPFS，ブロックチェーンを組み合わせた。
  • 機能テストでは81%の成功率，検証遅延は95パーセンタイルで820msであった。
  • セキュリティ分析は機密性と完全性を確認したが，ライブネス検出の不備が課題として残った。

  Link: https://arxiv.org/abs/2605.29868

• LLM脆弱性検出の回路レベル分析：ブラックボックスの解明 [cs.CR, cs.LG]目的：LLM脆弱性検出におけるモデルの内部計算メカニズムの解明

  • ソフトウェアセキュリティの重要性が増す中，LLMを用いた脆弱性検出技術への期待が高まっている。
  • LLMがどのように脆弱性を識別しているのか，その内部プロセスはブラックボックスであり，理解が深まっていない。
  • LLMの脆弱性検出における回路レベルでの動作原理を明らかにし，検出システムの改善に貢献すること。
  • LLMは脆弱性シグネチャの直接検出よりも，安全なコーディングパターンを認識する安全検出器に大きく依存していることが判明した。
  • 特定のレイヤーの注意ヘッドやMLPニューロンが，安全パターンや脆弱性関連特徴のエンコードにおいて重要な役割を果たしていることが特定された。
  • レイヤー7のわずか20ニューロンを削除するだけでも，脆弱性検出の精度が50%も低下するなど，特定の要素の因果的役割が確認された。

  Link: https://arxiv.org/abs/2605.29901

• エージェントメモリの乗っ取り：会話的相互作用を通じたステルス型トロイの木馬攻撃 [cs.IR, cs.CR, cs.AI]目的：LLMエージェントの長期記憶に対する記憶汚染攻撃とその対策

  • LLMエージェントの自律的なタスク実行能力向上が求められているが，セキュリティリスクも伴う。
  • 既存の記憶汚染攻撃は現実的なメモリパイプラインにおける選択的な抽出・書き換えを考慮していない。
  • 会話的相互作用を通じて，エージェントの長期記憶にトリガー可能なバックドアを注入する攻撃手法を提案する。
  • MemPoisonは，意味的関係性の橋渡し，エンティティの擬態，共同埋め込み最適化の3つの要素を用いて，選択的なメモリメカニズムを回避する。
  • 異なるエージェントドメインおよびメモリメカニズムにおける評価により，MemPoisonは既存のベースラインを上回る攻撃成功率0.95を達成した。
  • 機械的分析により，攻撃が埋め込み空間の異方性と注意パターンのシフトを利用していることが示され，選択的メモリシステムの脆弱性が明らかになった。

  Link: https://arxiv.org/abs/2605.29960

• LLMを活用したHTTPハニポツの包括的評価フレームワーク Honeyval [cs.CR, cs.AI, cs.LG]目的：LLMを活用したHTTPハニポツの評価

  • サイバー攻撃の巧妙化に対応するため，ハニポツによる防御技術の重要性が高まっている。
  • 既存のハニポツ評価は，規模，再現性，現実的な攻撃の再現性，設定の柔軟性に課題がある。
  • LLMハニポツの能力を客観的に評価し，より効果的な防御システムの開発を支援する。
  • Honeyvalは，16種類のバックエンドアプリケーションとAIハッキングエージェントを用いてLLMハニポツを評価するフレームワークである。
  • 実験の結果，LLMハニポツはルールベースのハニポツよりも攻撃者とのインタラクション時間が長く，最新モデルによる検出も困難であることが示された。
  • また，攻撃側の設定変更によるトレードオフも明らかになり，インタラクション時間の増加と検出率上昇のバランスが課題として示唆された。

  Link: https://arxiv.org/abs/2605.29963

• 大規模言語モデルの推論システムのフィンガープリント推定 [cs.CR, cs.LG]目的：大規模言語モデルの推論システムの構成要素の識別

  • LLMの性能向上に伴い，その利用環境のセキュリティ重要性が増している。
  • 推論システムの微細な差異が，モデルの出力に影響を与えることが知られている。
  • 推論システムの構成要素を特定し，セキュリティリスクを評価することを目的とする。
  • 推論エンジン，アテンションバックエンド，ハードウェアプラットフォーム等の構成要素を，プロンプトと応答の挙動から識別できることを示した。
  • 構成要素の識別は，モデルの温度パラメータが非ゼロの場合でも高い精度で可能である。
  • 推論システムのフィンガープリントを完全に防止することは困難であり，部分的な緩和策を提案した。

  Link: https://arxiv.org/abs/2605.29979

• トークンインフレーション：大規模言語モデル利用料金の不正請求 [cs.CR, cs.AI, cs.CL]目的：大規模言語モデルの利用料金におけるトークン数の不正請求の可能性

  • LLM利用の普及に伴い，トークン課金が一般的になり，料金の正確性が重要になっている。
  • LLM提供者は，知的財産保護のため，トークン数の検証を困難にしている。
  • 提供者によるトークン数不正請求を防ぐための検証方法の確立。
  • LLM提供者は，トークン数を操作することで利用料金を大幅に増加させることが可能である。
  • 現状の監査フレームワークは，提供者が操作する可能性のある情報に依存しており，不正請求を検出しにくい。
  • 正確な料金請求のためには，提供者側の情報に依存しない，信頼できる検証方法が必要である。

  Link: https://arxiv.org/abs/2605.30040

• 1
• 2