arXiv雑要約
セキュリティ - 2026/06/03 公開
脳コンピュータインターフェースのセキュリティ向上 [cs.LG, cs.CR]目的:脳コンピュータインターフェースにおける敵対的攻撃に対するロバスト性
- 脳波を利用したBCI技術は進歩しているが,セキュリティの重要性が認識され始めている。
- 従来のBCI研究は精度向上に偏っており,セキュリティやロバスト性への配慮が不足している。
- 微小な摂動による誤認識を招く敵対的攻撃への耐性を高めることが課題である。
- 提案手法は,敵対的攻撃下での分類精度において,既存のCNNモデルと比較して一貫して良好な性能を示した。
- この結果は,軽量なアーキテクチャがBCIシステムの信頼性を高める可能性を示唆する。
- 脳波ベースのBCIシステムにおける敵対的攻撃に対するロバスト性を評価することは,実用化に向けて不可欠である。
幾何学的認識を持つ表形式拡散モデル [cs.LG, cs.AI, cs.CR]目的:表形式データの合成
- 個人情報保護とデータ拡張のため,表形式データの合成は重要である。
- 拡散モデルは列間の関係性を捉えるために暗黙的なメカニズムに依存している。
- 列値の差から計算される角度と長さを活用し,表形式データの合成における性能向上を目指す。
- 提案手法GATDは,平均で3.5倍少ないパラメータ数で,最先端のベンチマーク性能を達成した。
- 10個のデータセットにおいて,Shape,Trend,下流タスクのユーティリティでそれぞれ8/10,7/10,9/10の勝利を収めた。
- ShapeとTrendのエラーをそれぞれ27%と20%削減し,GNNやTransformerにも転移可能なことを示した。
MultiTurnPSB:医療AI安全のための複数ターンの脱獄攻撃と分類器ベースの防御の評価 [cs.CR, cs.AI]目的:医療AIチャットボットに対する複数ターンの脱獄攻撃と防御手法の評価
- 医療AIの安全確保は,患者の健康と生命に直接関わるため,極めて重要である。
- 既存の評価手法は単一ターンに限定されており,実際のユーザーの行動を反映できていない。
- 複数ターンの攻撃に対する脆弱性を明らかにし,より実用的な防御策を開発すること。
- GPT-4.1-miniにおいて,ライブ攻撃下での危険な応答がターン4で約80%に増加した。
- GPT-4.1-miniとClaude Sonnet 4.5はベースラインでは同等だが,ターン4では19倍の差が生じた。
- 軽量な入力側分類器はターン4の危険な応答を52%削減したが,誤報率が45%と高い点が課題である。
D-Judge:意味保持的な出力書き換えによる多段階脱獄攻撃の阻止 [cs.CR, cs.AI]目的:多段階脱獄攻撃に対する防御
- 大規模言語モデルの安全性が重要視される中,悪意のあるプロンプトによる攻撃が巧妙化している。
- 既存の防御策は個々のターンや最終的な応答に焦点を当て,攻撃者が利用する判断モデルとのやり取りを遮断できていない。
- 判断モデルへのフィードバックを歪めることで,攻撃者のプロンプト最適化を妨害し,脱獄攻撃の成功率を下げる。
- D-Judgeは,被害者LLMの応答を書き換えることで,攻撃者の判断モデルへのフィードバックを操作する。
- 書き換えは意味を保持しつつ,判断モデルが誤った有害性スコアを生成するように誘導する。
- HarmBenchを用いた実験で,D-Judgeが最新の多段階脱獄攻撃の成功率を低下させ,通常のベンチマーク性能を維持することが示された。
検索拡張大規模言語モデルに対する推論コスト攻撃 [cs.CR, cs.AI, cs.DB]目的:検索拡張大規模言語モデルにおける推論コスト増加
- 大規模言語モデルの活用が進む中で,外部知識を利用する検索拡張が重要になっている。
- 検索拡張システムの推論コストは高く,運用上の課題となっている。
- 外部知識ベースを悪意のある情報で汚染することで,推論コストを増大させる手法を提案する。
- 提案手法RA-ICAは,悪意のあるドキュメントを外部知識ベースに注入することで,推論コストを最大13.12倍に増加させることを実証した。
- 攻撃成功率は90%を超え,生成される回答の質は低下させない。
- LLMエージェントと強化学習アルゴリズムMA-GRPOを活用し,効率的な悪意のあるドキュメント生成を可能にした。
AIエージェントにおけるサイバーセキュリティ拒否のための新しいフレームワーク [cs.CR, cs.AI]目的:AIエージェントにおける有害な要求に対する拒否境界の設定
- サイバーセキュリティは現代社会の基盤であり,その重要性は増大の一途を辿っている。
- AIエージェントの能力向上に伴い,悪意のある利用を防ぐための拒否メカニズムが課題となっている。
- 本研究は,攻撃的なセキュリティコンテキストにおけるAIエージェントの拒否行動を評価し改善することを目的とする。
- 既存のAIエージェントの評価基準は主に有効性に焦点を当てており,拒否に関する評価が不足している。
- 調査の結果,テストした8つの最先端モデルのうち6つは,ほぼゼロの拒否率を示した。
- GPT-5.2とGPT-5.1 Codexのみが,意味のある拒否行動を示した。
あなたが承認するのが実行される:ブラックボックスLLMエージェントのための合意の完全性 [cs.CR, cs.HC]目的:LLMエージェントの承認プロセスにおける合意の完全性の確保
- LLMエージェントの利用拡大に伴い,その安全性と信頼性の確保が重要となっている。
- エージェント自身が生成する要約に基づいて人間が承認を行うため,悪意のあるエージェントによる欺瞞が可能である。
- エージェントによる承認プロセスを改ざんから保護し,人間が意図した通りのアクションが実行されることを保証する。
- 本研究では,「あなたが目にするものが署名するもの」という概念をエージェントの承認チャネルに適用し,信頼できる経路を確立することを提案する。
- プロトタイプの実装により,GTFOBinsデータセットでは10.0%のコマンドが安全に実行され,tldrデータセットでは87.0%のコマンドが検査不能と判断された。
- この結果は,安全なツールのリストと過剰なプロンプト生成の間のトレードオフを示しており,境界線のみの仲介ではこの問題を完全に解決できないことを示唆している。
クロスベンダーSola ISPMベンチマーク:フェデレーテッドIDセキュリティ推論のためのエージェントAIの評価 [cs.CR]目的:クロスベンダー環境におけるIDセキュリティ態勢管理(ISPM)のためのエージェントAIの推論能力評価
- マルチクラウドやSaaSの普及により,IDセキュリティは複数のベンダーにまたがる課題となっている。
- 既存の評価は単一プラットフォームに限定され,ベンダー間の連携を考慮したAIの推論能力を評価できない。
- 複数のプラットフォームにまたがるIDセキュリティ問題を解決できるAIエージェントの能力を測定する。
- クロスベンダーSola ISPMベンチマークは,AWS,Okta,Azure ADなど8つのプラットフォームを統合した50のタスクで構成される。
- 構造化された関係コンテキストは,正答率を約34%向上させ,探索クエリを約70%削減する。
- 完全なコンテキスト下では,正答率78%を達成し,完全な失敗を4%に抑制する。
深偽画像検出器の頑健性向上について [cs.RO, cs.CR]目的:深偽画像検出器の攻撃に対する頑健性の改善
- 生成AIの急速な発展に伴い,コンテンツの信頼性が重要視されている。
- 既存の深偽画像検出器は,未知の生成モデルへの汎化性能は向上するものの,敵対的攻撃に対する頑健性が低い。
- 本研究は,敵対的攻撃に対して頑健な深偽画像検出器を,敵対的学習データを用いずに実現する。
- 提案手法は,DCTに基づく高次統計モデリング,ノイズ残差に基づくコンテンツ非依存表現,パッチレベルのセマンティック破壊を統合する。
- 実験により,提案手法が6種類の異なるアーキテクチャの検出器において,頑健性を一貫して向上させることが示された。
- 現在のベンチマークにおいて,再現率の低下を最大88.9%削減し,最先端の検出器の精度を攻撃下で81.9%から97.15%に向上させた。
どの防御がどの脅威を閉じるか:OWASP-LLM-Top-10の網羅性と,言い換えに対するその脆弱性の分析 [eess.SY, cs.SY, cs.CR, cs.AI]目的:OWASP-LLM-Top-10の各脅威に対して,どの防御策が有効であるかの特定
- 大規模言語モデル(LLM)の応用は拡大する一方であり,セキュリティ上の懸念が増大している。
- 既存の評価指標は網羅的な数値のみを示し,各防御策の役割が不明確である。
- 各防御策がどの脅威を効果的に防御するかを明確にすることで,より適切なセキュリティ対策を可能にする。
- 拒否フィルタのみで,LLM01(脱獄)とLLM07(システムプロンプト漏洩)の脆弱性を完全に防御できることが示された。
- トークン予算制御のみで,LLM02(機密情報漏洩)とLLM10(無制限消費)の脆弱性を多段階シーケンスの停止により防御できることが示された。
- 言い換え攻撃によって,拒否フィルタの防御効果が低下することが確認されたが,トークン予算制御は安定した防御効果を維持した。
大規模バイトモデル:コンパイルされたコードに関する言語モデルの教育 [cs.CR, cs.AI]目的:マルウェアバイナリに関する複雑な質問への応答
- マルウェア解析は情報セキュリティにおいて重要であり,迅速かつ正確な解析が求められる。
- 既存の解析ツールは高コストであり,エラーが発生しやすいという課題がある。
- LLMがraw byteを直接処理できない問題を解決し,マルウェア解析の効率化を目指す。
- 独自バイトトークナイザーを用いた大規模言語モデルが,マルウェアのアーキテクチャ分類において98%の精度を達成した。
- マルウェアファミリー分類においても69%の精度を示し,ドメイン知識の重要性が確認された。
- 初期評価では,本モデルが解析担当者にとって有用であることが示唆されている。
アイスランドの中小企業におけるサイバーセキュリティにおける人的要因 [cs.CR, cs.CY, cs.HC]目的:アイスランドの中小企業におけるサイバーセキュリティの課題
- デジタル化の進展によりサイバー攻撃が深刻化しており,技術対策だけでは不十分である。
- 人的・社会的な要因がサイバーセキュリティ対策の弱点となりやすい。
- 人的要因がもたらす脅威を軽減するための対策を検討する。
- 経営者層からは,人的要因が組織のセキュリティに対する課題・障壁として強く認識されている。
- 課題としては,適切な訓練や意識の欠如,人材確保の難しさ,サイバーセキュリティ文化の低さなどが挙げられる。
- 標的を絞った訓練の優先,財政的に制約のある組織への政府支援,責任共有のコミュニケーションを通じた強固なサイバーセキュリティ文化の構築が推奨される。
公開計測データからの情報漏洩量の定量化 [cs.RO, cs.HC, cs.CR, cs.IT, math.IT]目的:公開科学データおよび計測データの情報漏洩リスクの定量評価
- 科学的データの信頼性は重要であり,その安全性確保は科学研究の進展に不可欠である。
- 公開データに含まれる微細な情報から,機密設定が漏洩する可能性が指摘されている。
- 公開データの情報漏洩リスクを定量的に評価し,安全なデータ公開のための指針を示す。
- 公開データから漏洩する情報を統計的側路攻撃として捉え,漏洩量の評価手法を確立した。
- 特定の条件下において,情報漏洩量を正確に定量化する「有限バンド輸送漏洩則」を導出した。
- 極端紫外線(EUV)粗さスペクトルデータを用いて検証を行い,手法の実用性を示唆した。
カメレオンを出し抜く:ライブストリーミングのリスク評価における戦術的なOODシフトへの対応 [cs.LG, cs.CR]目的:ライブストリーミングにおけるリスク評価のロバスト性の向上
- ライブストリーミングは社会交流やデジタル商取引の主要な手段であり,その安全性確保が重要である。
- 攻撃者は検出を回避するため,意図を隠蔽した巧妙な手口を変化させるため,既存の手法では対応が困難である。
- 潜在的な因果関係に着目し,攻撃者の意図と戦術の変化を分離することで,ロバストなリスク評価を実現する。
- LPCDは,潜在レベルでの意図とナラティブの変動をモデル化し,戦術的な再パッケージング下での反実仮想推論を可能にする。
- 潜在的な反実仮想一貫性を適用することで,リスク予測を因果的に安定した悪意のある意図に固定する。
- 大規模な産業データセットとオンラインの生産トラフィックを用いた実験により,LPCDが最先端のベースラインを常に上回ることが示された。
エシュロン:プライバシー境界を越えた集約のみの言語モデル適応の監査可能性 [cs.CY, cs.CR, cs.AI]目的:プライバシー境界を越えた言語モデル適応における監査可能性の確保
- 組織横断的な言語モデル適応の需要が高まる中で,データプライバシー保護の重要性が増している。
- 既存の分散学習フレームワークは,モデル交換を前提としており,プライバシー保護を後付けするため,コンプライアンスが課題となる。
- デバイスレベルでのモデル状態の非エクスポートをシステム不変条件として強制することで,監査可能な適応学習を実現する。
- エシュロンは,境界レベルのデルタのみを安全に集約し,最小限のメタデータ交換を行うことで,プライバシーを保護しながら効率的な学習を可能にする。
- 1BパラメータのLoRA適応実験では,エシュロンは既存の低通信ベースラインと比較して,同等以上の性能を達成した。
- OpenWebTextのストレステストでは,エシュロンはWAN環境や非IIDデータ下でも2,139-2,176トークン/秒の処理速度を維持し,DiLoCo+SAと比較してWAN遅延下での目標達成時間を短縮した。
Gate AI:LLMセキュリティベンチマーク評価手法と結果 [cs.LG, cs.CR]目的:大規模言語モデルのプロンプトインジェクションおよび脱獄検出器の評価
- LLMの普及に伴い,そのセキュリティ確保は重要性を増している。
- 既存の評価手法は,データセットごとの閾値調整や非公開の動作点に問題がある。
- データセット依存性を排除し,公平な評価基準を確立することを目的とする。
- 本研究では,16の公開ベンチマークを用いて,5分割交差検証による評価基盤を構築した。
- 検出器の性能は,誤検出率1%以下でF1スコアが最大となるグローバルな動作点で評価された。
- 様々な診断テストにより,汎化性能を検証し,閾値の転移可能性についても評価した。
Patcher:バックドア化された大規模言語モデルの事後パッチング [cs.CR, cs.AI, cs.IR, cs.LG]目的:大規模言語モデルにおけるバックドア攻撃への防御
- 大規模言語モデルの安全性は重要であり,悪意ある攻撃からの保護が不可欠である。
- バックドア攻撃は検知が難しく,攻撃情報なしでは対処が困難である。
- 単一の失敗事例からバックドアを特定し,モデルを修正することを目指す。
- Patcherは,応答に基づいた勾配と適応クラスタリングにより,バックドアトリガーを局所化する。
- 制約付きファインチューニングにより,トリガーと応答の関連性を解除し,有用性を維持する。
- 複数の攻撃戦略に対して有効であり,適応攻撃に対する耐性も示す。
Ethereum L2におけるセキュアなAltDA統合:エンドツーエンド検証フレームワーク [cs.CR]目的:Ethereum L2と代替データ可用性(AltDA)システムとのセキュアな統合のための検証フレームワーク
- Ethereumのスケーラビリティ向上には,L2のデータ可用性ソリューションが不可欠である。
- AltDA導入は新たな信頼の前提や検証の必要性をもたらし,L2の停止や不整合を引き起こす可能性がある。
- L2とAltDA間の完全な検証仕様を確立し,セキュリティ上の脆弱性を解消すること。
- 本研究では,L1インボックスからAltDAコミットメント,そしてロールアップペイロードへの変換を厳密にモデル化する。
- 欠落した検証義務が,決済の制約不足,派生停止,不正な状態移行,ブリッジ攻撃などの具体的な障害につながることを示す。
- Celestia-Blobstream,EigenDA,Avail-ZKsyncを含む代表的なAltDA統合アーキテクチャへのフレームワーク適用により,統合の重要性が確認された。
SkillGuard:エージェントスキルに対する許可フレームワーク [cs.CR, cs.SE]目的:エージェントスキルの許可管理
- LLMエージェントの能力拡張に不可欠なスキルエコシステムの安全性が重要である。
- スキルの実行時に意図しない動作やセキュリティリスクが発生する可能性がある。
- スキル実行時の挙動と宣言された意図の乖離を防ぎ,スキルエコシステムの安全性を高める。
- SkillGuardは,スキルを許可を持つ実行可能アーティファクトとして扱い,二重のガバナンスモデルを導入する。
- 315のスキルとSkillInjectを用いた評価で,保護対象の99.76%を網羅する許可タクソノミを確立した。
- 敵対的評価では,文脈注入と明白な注入に対する攻撃成功率をそれぞれ減らし,有用性は維持された。
ZK-Flex:ゼロ知識証明を加速する柔軟かつスケーラブルなフレームワーク [cs.CL, cs.AR, cs.CR]目的:ゼロ知識証明生成の高速化
- プライバシー保護と検証可能性を両立する技術であり,金融や認証など幅広い分野での応用が期待される。
- 多倍長モジュラ演算や多段階の演算切り替えがボトルネックとなり,ハードウェアアクセラレーションが困難である。
- 柔軟性とスケーラビリティに優れたハードウェア/ソフトウェア協調設計により,この課題を解決することを目指す。
- ZK-Flexは,従来の最先端技術と比較して,5~11倍の高速化を実現した。
- また,面積効率も最大3.8倍向上し,高性能な再構成可能ZKPアクセラレーションの基盤を確立した。
- ソフトウェア層の最適化とハードウェア層のTCoreによる並列化が,この性能向上に貢献している。
LLMベースの自動採点システムに対するプロンプトインジェクション攻撃の調査 [cs.CR, cs.AI]目的:LLMベースの自動採点システムにおけるプロンプトインジェクション攻撃の効果と対策
- 教育評価の効率化と公平性の確保は重要であり,自動採点システムの活用が期待されている。
- LLMの強力な機能ゆえに,悪意のあるプロンプトによる採点操作のリスクが存在する。
- 自動採点システムの脆弱性を明らかにし,教育評価の信頼性を守ることを目指す。
- 現在のLLMベースの自動採点システムは,プロンプトインジェクション攻撃に対して高い脆弱性を示すことが確認された。
- 攻撃者は,悪意のあるプロンプトを通じて,本来の評価とは異なる高いスコアをシステムに付与できる可能性がある。
- 本研究は,教育におけるLLM活用のセキュリティリスクを認識し,より安全なシステムの開発を促す。
分離型スマートコントラクト監査:蒸留と集約による軽量LLMフレームワーク [eess.SY, cs.SY, cs.RO, cs.CR, cs.AI, cs.CL, cs.LG]目的:スマートコントラクトのセキュリティ監査
- 分散型Webサービスにおけるスマートコントラクトのセキュリティ確保は重要である。脆弱性は重大な損害に繋がるため,厳密な監査が不可欠である。
- 従来の監査手法は,専門知識と時間が必要であり,自動化が課題であった。LLMを用いた自動監査は有望だが,計算コストが高い。
- 軽量なLLMを用いて,効率的かつ高精度なスマートコントラクト監査を実現することを目指す。
- 提案手法は,40億パラメータ以下の軽量LLMを用い,既存の70億〜340億パラメータのLLMを上回る性能を達成した。
- 脆弱性検出の精度は98.25%に達し,説明生成タスクの整合性スコアは0.4375を記録した。
- 分離型監査プロセスが統一プロンプトよりも優位であることが実証され,新たな深刻度中心バイアスが明らかになった。
サイコパス:多段階敵対的LLM会話の幾何学的プロファイリング [cs.CR, cs.CL]目的:多段階の敵対的LLM会話における幾何学的特徴の抽出と攻撃予測
- LLMの安全性確保は重要であり,悪意ある利用を防ぐことが不可欠である。
- 既存のガードレールは単一ターンに焦点を当てており,会話全体の軌跡としての攻撃に対応できない。
- 会話の初期段階における幾何学的特徴から攻撃を検出し,より堅牢な防御を実現する。
- 会話の軌跡を埋め込み空間における経路としてモデル化することで,敵対的な意図を早期に検出できることが示された。
- 抽出された幾何学的特徴は,高い予測性能を示し,特に会話の序盤における識別が有効であることが確認された。
- この手法は,エンコーダーの選択に依存せず,会話の長さと形状の分解に基づいた理論的根拠も存在する。
完全準同型暗号下における暗号化されたコンパクトなクエリを用いたプライベート埋め込みルックアップ [cs.RO, cs.CL, cs.HC, cs.CR]目的:プライベート埋め込みルックアップの効率化
- 自然言語処理や推薦システムにおいて,埋め込み表現は重要な役割を果たす。
- クライアント入力のプライバシー保護が課題であり,埋め込みステップの保護が必要である。
- 完全準同型暗号を用いた効率的な埋め込みルックアップ手法の確立を目指す。
- 本研究では,線形独立なベクトル評価(IVE)という新しい手法を提案した。
- IVEは,ワンホットベクトル生成のコストを削減し,ルックアップ時間を最大78.4倍に改善した。
- FastTextの推論実験では,ベクトル生成にかかる時間を大幅に削減することを示した。
生成AIを活用した中国ECサイトにおける不正払い戻し:事業者とプラットフォーム従業員への調査 [cs.CR, cs.HC]目的:中国EC市場における生成AIを活用した不正払い戻し行為の脅威とその対策
- EC取引の拡大に伴い,不正行為の手口が巧妙化しており,安全な取引環境の維持が重要である。
- 既存のECサイトの紛争解決システムは,証拠の信頼性を前提としており,AIによる偽造証拠への対策が不十分である。
- 生成AIによる偽造証拠の脅威に対処し,プラットフォームと事業者の対策を支援することを目的とする。
- 生成AIの進化により,攻撃者は低コストで現実的な製品欠陥の証拠を大量に捏造することが可能になっていることが明らかになった。
- 不正行為は,取引,紛争,物流,コミュニケーションの各段階で発生し,AIツールによる自動スクリーニングや追加検証(多角的な動画要求など)による対策が進められている。
- プラットフォームの構造的な制約やAI技術の限界など,対策の導入には課題も多く存在する。
macOS環境におけるマルウェア検出におけるドメイン固有の特徴の役割 [cs.CR]目的:macOSマルウェアの検出性能向上
- macOS利用者の増加に伴い,セキュリティ対策の重要性が高まっている。
- macOSマルウェアの研究はWindowsやAndroidに比べて遅れており,対策が不十分である。
- macOS固有の特徴を活用することで,より高精度なマルウェア検出を目指す。
- 本研究では,macOSバイナリに特有な特徴量を用いた機械学習によるマルウェア検出器を開発した。
- 41,129個のサンプルを用いた実験により,98.50%という最先端の検出率を達成し,既存手法を平均16%上回った。
- 新たに収集した9,000個のサンプルに対する評価でも,99.50%の検出率を維持し,既存手法を50%上回る結果となった。
非人間IDにおける権限リスクの進化:クラウドIAMのための時間的ファイバーモデル [cs.CR]目的:非人間IDの権限リスク進化のモデル化
- クラウド利用拡大に伴い,非人間IDの権限管理が重要性を増している。
- 従来の権限管理は静的な関係として扱われ,時間的な変化に対応できない。
- 時間的な権限状態の変化を捉え,リスク予測を可能にする。
- 本研究では,空間的・時間的な等価性に基づく権限リスクの新しいフレームワークを提案した。
- 特に,権限の遷移をファイバー遷移グラフで表現し,「権限回路」という概念を導入した。
- Azure環境での実証実験により,提案手法が長期的な権限の安定性を予測できることが示された。
コードLLMのセキュリティ予算:情報理論的容量・セキュリティ限界 [cs.CR]目的:コードLLMにおける機能的容量と摂動保持の関係性
- AIプログラミングアシスタントの普及に伴い,プロンプトのわずかな変化がセキュリティリスクとなる重要性が増している。
- コードLLMはプロンプトに脆弱性があり,悪意のある入力によって意図しないコード生成や情報漏洩の可能性が懸念されている。
- 情報理論的な枠組みを用いて,コードLLMの機能的容量とセキュリティのトレードオフを定量的に評価し,その限界を明らかにする。
- 機能的容量と摂動保持の合計は,タスクエントロピーとプロンプト漏洩量によって制限されることが理論的に証明された。
- 出力のみから埋め込み表現を用いて評価した結果,理論的な限界を満たすことが確認された。
- 生成プロンプトのアライメント指標がCodeLlamaやQwen等のベンチマークでpass@1と相関関係が見られた。
dstack-capsule: Kubernetes 上での機密ワークロード向けポッドレベルリモートアテステーション [cs.CR, cs.AI]目的:Kubernetes 環境におけるポッドレベルのリモートアテステーションの実現
- LLM などの機密クラウドワークロードの増加に伴い,安全な処理環境の証明が重要になっている。
- 既存の Confidential Containers (CoCo) はVMあたり1ポッドに限定され,オーバーヘッドが大きい。
- 複数のポッドが1つの機密VMを共有しつつ,個々のポッドのIDを検証可能とする。
- dstack-capsule は,Intel TDX を利用し,ポッドレベルのアテステーションを実現する Kubernetes プラットフォームである。
- RTMR にプラットフォーム測定値を固定し,動的なポッド ID を TDX Quote に埋め込むことで,ハードウェアによる署名を可能にしている。
- ポッドの仕様ダイジェストとハードウェア署名付き Quote を関連付けるアテステーションプロトコルを導入し,VMレベルのオーバーヘッドを削減している。
FLIPS:擬似乱数系列によるLLMのインスタンス指紋認証 [cs.LG, cs.AI, cs.CR]目的:LLMの構成による識別
- AI利用拡大に伴い,LLMの安全性評価が不可欠となっている。
- 従来の指紋認証技術はモデルの出自に重点を置き,構成変化に弱い。
- LLMの実際の挙動を識別し,規制遵守状況の評価を可能にする。
- 提案手法FLIPSは,生成される二値乱数系列の偏りを活用し,高い識別精度を実現した。
- 237のモデルインスタンスに対し,96%(閉集合)および90%(開放集合)の識別精度を達成した。
- これは,従来のLLMmapベースラインの35%と比較して大幅な改善である。
RogueMerge: LLMモデル結合に対する堅牢かつ統一的な攻撃 [cs.CR, cs.LG]目的:LLMモデル結合への攻撃手法の開発
- LLMの能力拡張にモデル結合が活用されているため,そのセキュリティ確保は重要である。
- モデル結合において,悪意のあるタスクベクトルがモデルに組み込まれるリスクが存在する。
- 未知の結合設定や多様な攻撃プロンプトに対応可能な,堅牢な攻撃手法の確立を目指す。
- RogueMergeは,モデル結合後の攻撃成功を明示的に保証する共同最適化により,自己回帰的生成における攻撃の脆弱性を克服した。
- 未知の結合設定に対応するため,RogueMergeは攻撃注入を確率的min-max問題として定式化し,メタ学習様式のシミュレーションで解決した。
- RogueMergeは,様々な攻撃プロンプトへの汎化性能を高めるため,分布ロバスト最適化を採用し,LLMスケールで扱いやすい一次テイラー近似を導出した。
ImageAuditor:画像ベースの検索拡張生成に対するメンバーシップ推論攻撃 [eess.SY, cs.SY, cs.DM, math.CO, cs.NI, cs.CR]目的:画像ベースの検索拡張生成(IRAG)システムにおけるメンバーシップ推論攻撃の実現
- 画像検索と生成技術の発展により,大規模な画像データベースの利用が拡大している。
- Webスクレイピングで構築されたデータベースの透明性が低く,著作権侵害の監査が困難である。
- IRAGシステムにおける画像漏洩の検出を可能にする,効果的な監査手法の開発。
- ImageAuditorは,検索セグメントと抽出セグメントに攻撃クエリを分解することで,IRAG特有の課題に対応した。
- 報酬誘導型方策最適化(RGPO)により,クロスモーダル埋め込み空間を効率的に探索し,有限サンプルでの最適性を保証。
- 様々なIRAGシステムにおいて,わずか4クエリで80%を超えるAUROCを達成し,多様な設定下で堅牢性を実証した。
AIモデル抽出攻撃:防御における単一クライアント仮定の回避 [cs.CR, cs.AI]目的:AIモデル抽出攻撃に対する防御の脆弱性評価
- 軍事C2システムや重要インフラにおけるAIモデル保護は,情報優位性を維持する上で不可欠である。
- 既存の防御戦略は,攻撃が独立した主体から発生するという単一クライアント仮定に依存している。
- 連携する攻撃者による単一クライアント仮定の無効性と,それに対する新たな防御アーキテクチャの必要性を検証する。
- 連携攻撃により,確立された防御メカニズム(PRADA等)が容易に回避可能であることが示された。
- ラウンドロビンクエリ分配戦略や適応的なトラフィック混合によって,防御の検出性能が著しく低下することが確認された。
- 状態管理型,ID非依存の防御アーキテクチャへのパラダイムシフトの必要性が浮き彫りになった。
サイバー攻撃予測の実践化:ギャップ優先フレームワークとデータセット・モデル選択の指針 [cs.CR]目的:サイバー攻撃予測における実践的な展開を促進するためのフレームワーク
- サイバー攻撃は増加の一途を辿り,組織や社会に甚大な被害をもたらす脅威となっている。
- AI/機械学習の理論研究は進むも,実運用への移行には課題が残されている。
- 研究と実践の乖離を解消し,堅牢なサイバー防御を実現すること。
- 本研究では,150以上のベンチマークデータセットと200以上の研究を分析し,5つの実装上の課題を特定・優先順位付けした。
- データセットの陳腐化と敵対的ロバスト性が最も優先度の高い課題であり,モデル解釈性は費用対効果が高いことが示された。
- 研究成果を実用的な意思決定支援ツールに翻訳し,本番環境向けのAI駆動型サイバー防御を支援する。
DeFiスマートコントラクト脆弱性検出のための,きめ細かい専門家ラベル付きデータセット Bastet [cs.CR]目的:DeFiスマートコントラクトの脆弱性検出のための,専門家によるラベル付けデータセット
- DeFiは金融の新たな形態として重要性が増しており,セキュリティ確保は不可欠である。
- 既存の脆弱性データセットは,時代遅れであったり,ノイズが含まれていたり,ラベルの粒度が粗いという問題がある。
- 本研究は,最新のDeFiコントラクトに対応し,正確なラベル付けを行い,より詳細な分類を行うデータセットを構築することで,この問題を解決する。
- Bastetデータセットは,2021年から2024年までの実際の監査結果に基づいて構築されている。
- 専門家による議論に基づく合意形成により,ラベルの正確性を確保している。
- 46のタグと77のサブタグという二層構造の分類体系を採用し,複雑な脆弱性を捉えることを可能にしている。
大規模言語モデルのプライバシー保護臨床展開のための選択的トークンレベル暗号化秘匿 [cs.CL, cs.CR]目的:大規模言語モデルの臨床応用におけるプライバシー保護
- 臨床データは機密性が高く,その保護が不可欠である。LLMの活用拡大には不可欠な課題。
- 既存のパイプラインは,生データを外部サーバーへ送信するため,プライバシー侵害のリスクが高い。
- トークン単位での暗号化秘匿により,プライバシーと実用性のバランスを取ることを目指す。
- HERALDは,医療固有の固有表現認識と品詞駆動ポリシーを組み合わせ,機密トークンを選択的に暗号化する。
- HERALDはモデルに依存せず,クライアントサイドで動作し,データの保存,送信,処理を通じて暗号化を維持する。
- 評価実験の結果,HERALDはプレーンテキストに近い性能を維持しつつ,プライバシー保護を実現することが示された。
FlowGuard:データフリーモデル盗難攻撃に対するID非依存型検出のためのフローマッチング [cs.CR, cs.AI]目的:エネルギーシステム侵入検知システムに対するデータフリーモデル盗難攻撃のID非依存型検出
- エネルギーインフラの安全確保は重要であり,AIを用いたIDSの導入が進んでいる。
- 既存の防御策は,分散攻撃に弱く,ハードラベルIDSには適用できない場合がある。
- データフリーモデル盗難攻撃によって生成されるクエリの特性を利用し,効果的な防御を実現する。
- FlowGuardは,正規データで学習したContinuous Normalizing Flowを用いて,クエリをOODとして分類する。
- PRADAの検出率は分布変化により0%まで低下したが,FlowGuardはID情報に依存せず,安定した検出率を維持した。
- 単一クライアントおよび分散(100クライアント Sybil)設定の両方で有効性が確認された。
マルウェアの二次特徴量融合を用いたハイブリッドな分類手法 [cs.CR, cs.AI, cs.LG]目的:マルウェアの検出と分類
- マルウェアの数は増加の一途を辿り,その検出と対策は重要な課題となっている。
- 従来のマルウェア検出手法では,検出されたマルウェアをファミリー別に分類できず,効果的な対策が困難である。
- 本研究は,マルウェアのファミリー分類を自動化し,より効果的な対策を可能にすることを目的とする。
- 提案手法では,APIコールやn-gramなどのマルウェアの特徴量を抽出し,特徴量選択法を用いて融合することで,高精度なマルウェア検出と分類を実現した。
- 実験結果では,AUCが0.989,精度が99.72%,Log Lossが0.01と,最先端の手法と同等以上の性能が確認された。
- アルゴリズム融合のための投票ベースのアプローチが有効であることが示された。
シグナルと戦利品:クロスチェーン相互運用時代の推測的オラクル抽出可能価値 [cs.CR]目的:レイヤー2ブロックチェーンにおける推測的MEVの存在と,それに関連するオラクル抽出可能価値(OEV)の特定
- DeFiの発展に伴い,流動性プロトコルにおけるMEVの重要性が増しており,効率的な市場の維持が課題。
- 多くのレイヤー2チェーンではパブリックなメンプールが存在せず,MEV抽出戦略が確率的になり,スパム取引が増加している。
- オラクル価格更新のバックランニングを利用した推測的清算によるOEVを検出し,クロスチェーンOEVの可能性を検証する。
- Arbitrum,Base,Optimismにおいて,Aaveの清算においてそれぞれ64件の推測的清算者,831件の成功例が確認された。
- Chainlink DONの設定分析により,オフチェーン価格データはほぼ同時に取得されるものの,更新時間に差が生じることが示された。
- OptimismのChainlink更新は,ArbitrumおよびBaseの更新を予測可能であり,クロスチェーンOEVの搾取を可能にすることが実証された。
FORGE:多エージェントによる段階的脆弱性悪用と検知エンジニアリング [cs.CR, cs.AI, cs.MA]目的:脆弱性情報の活用とセキュリティ対策の自動化
- 脆弱性情報の増加に伴い,組織の対応能力が追いついていない現状がある。
- 脆弱性検証,優先度付け,検知ルール作成の各分野が連携せず,効率が悪い。
- 脆弱性悪用の段階的深さを利用し,各分野の連携を促進するシステムを開発する。
- FORGEは,CVE情報を基に脆弱なアプリケーションを生成し,段階的な悪用を試みる。
- 悪用状況をLLMで評価し,OpenTelemetryのトレース情報に基づいて検知ルールを生成する。
- 603件のCVEでL1以上の悪用成功率67.8%を達成し,パターンレベルの到達可能性とメタデータによる優先度付けは独立していることが示された。
NeuroArmor:セーフバリアント誘導による表現の一貫性を用いた脱獄攻撃防御における選択的再アンカーリング [cs.HC, cs.CR, cs.AI]目的:脱獄攻撃に対するランタイム防御戦略
- 大規模言語モデルの安全性が重要視される中,悪意のある指示を隠蔽した脱獄攻撃への対策が求められている。
- 既存の防御手法は,安全と有用性のバランスを取ることが難しく,誤検知が多いという課題がある。
- プロンプト固有の安全性を参照し,選択的に介入することで,より効果的な防御を目指す。
- NeuroArmorは,Llama-3-8B-Instructにおいて,悪意のある攻撃の成功率を41.56%から1.57%に大幅に低減した。
- 同時に,良性リクエストの誤検知率も30.26%から22.05%に抑制し,安全と有用性のトレードオフを改善した。
- 外部評価および手動評価により,残存する出力の有害性が低いことが確認された。
間違いから学ぶ:セキュアなコードLLMのための木構造による自己対戦 [cs.CR, cs.AI]目的:セキュアなコード生成のための自己対戦フレームワーク
- 大規模言語モデルはコード生成に優れるが,セキュリティ脆弱性の再現が課題。
- 既存手法は粗粒度最適化のため,局所的なセキュリティ欠陥に対応しにくい。
- 局所的なエラーを自己修正し,信頼性を向上させる手法を開発する。
- 提案手法(TSP)は,CodeLlama-7BのPythonセキュリティベンチマークの合格率を大幅に向上させた。
- TSPは,未知の脆弱性カテゴリにおける脆弱性を24.5%削減し,汎化性能を示す。
- C/C++で学習したセキュリティ原則を,Python,Go,JavaScriptなど多様な言語へ転移させた。
完全準同型暗号に基づく高解像度画像勾配計算のプライバシー保護 [cs.CR]目的:高解像度画像のプライバシー保護勾配計算手法
- プライバシー保護の重要性が高まる中,画像処理への応用が期待される分野である。
- 既存研究は低解像度画像が中心で,高解像度画像におけるプライバシー保護技術は未開拓である。
- 高解像度画像処理における計算コストを削減し,効率的なプライバシー保護を実現することを目的とする。
- 大規模画像に対し,部分画像分割と並列処理により,暗号化パラメータの縮小と鍵サイズの削減を実現した。
- 反復パッキング技術とSobel演算子のHE実装により,サーバー側の畳み込み演算を最適化した。
- 符号関数に基づく逆数関数の新しい多項式近似法を提案し,Sobel演算子の勾配方向計算を改善した。
エージェント型AIにおける委譲と範囲のための構成的認可フレームワーク [cs.AI, cs.CR]目的:エージェント型AIにおける委譲と範囲を管理するための構成的認可フレームワーク
- AIが自律的に行動するエージェントへと進化する中で,既存の認可システムでは不十分である。
- 従来の認可システムは固定的な主体,明示的な要求,静的な範囲に依存しており,エージェントの特性に対応できない。
- エージェント型AIにおいて必要不可欠な認可の基礎を提供し,説明責任を担保する。
- 本研究では,エージェントが権限を継承・委譲し,時間制限付きの権限で行動するための構成的なガバナンスフレームワークを提案する。
- 委譲を静的なトークンではなく契約条件として扱うことで,再帰的な委譲,文脈境界,動的な範囲付けを実現する。
- 既存の認可ポリシーを書き換えることなく,エージェント型AIのセマンティクスを重ね合わせる演算子を定義し,形式的な検証と実験的評価によってその有効性を示す。
範囲外への耐性を持つ高精度APTマルウェアの属性特定 [cs.CR, cs.AI, cs.LG]目的:APTマルウェアの属性特定手法
- サイバー攻撃は巧妙化の一途を辿り,早期の属性特定が防御体制強化に不可欠である。
- 既存手法は既知のAPTグループに限定され,未知のグループへの対応が課題である。
- 未知のAPTグループからのサンプルに対し,誤った属性特定を抑制すること。
- 本手法は,二値分類器をランク付けし,逐次的に適用することで高精度な属性特定を実現した。
- 特に,訓練データに含まないAPTグループからのサンプルに対し,94%で属性特定を留保した。
- 属性特定を行ったサンプルにおいては,92%の適合率と95%の選択的精度を維持した。
RPLベースIoTネットワークに対する基盤モデルを用いた侵入検知システム [cs.NI, cs.CR, cs.NI]目的:RPLベースIoTネットワークにおける攻撃の検知と識別
- IoT機器の普及に伴い,セキュリティの重要性が増している。
- 既存のIDSは,新しい攻撃や変化するネットワーク環境への対応が困難である。
- 基盤モデルを用いることで,未知の攻撃に対する検知性能を向上させる。
- 提案手法は,最先端の手法と同等の攻撃検知性能を達成した。
- 異なる攻撃タイプ間の識別においても高い性能を示した。
- Coojaシミュレーション環境で生成されたデータセットを用いて評価を行った。
ジオ・区別可能性に基づくチャネルチャート位置プライバシー [cs.CR, cs.IT, math.IT]目的:チャネルチャートにおける位置プライバシーの形式的保証
- 位置情報サービスは広く利用されているが,位置情報の漏洩はプライバシー侵害につながる。
- チャネルチャートは位置情報を明示的に必要としないが,プライバシーの保証は不十分である。
- チャネルチャート表現にジオ・区別可能性を拡張し,位置プライバシーを強化すること。
- 提案手法は,チャネルチャートの局所構造に合わせてノイズを注入するMahalanobis norm planar Laplace (MNPL)機構を用いる。
- MNPL機構は,チャネルチャートの多様体構造を維持しつつ,局所適応的な共分散を用いてプライバシーを定義する。
- 数値実験の結果,提案手法は高いプライバシー保護能力と,位置情報サービスの可用性の両立を示す。
LLMの算術推論の一般化能力の評価:自動数値再割り当て攻撃による検証 [cs.CL, cs.CR, cs.AI]目的:大規模言語モデルの算術推論における脆弱性評価
- 言語モデルの算術推論能力は,現実世界のタスクにおいて不可欠であり,その信頼性が重要である。
- 数値のわずかな変化に対しても,言語モデルの算術推論能力が不安定になるという問題が存在する。
- 本研究は,数値再割り当て攻撃を用いて,言語モデルの算術推論の頑健性を評価し,その限界を明らかにすることを目的とする。
- 数値再割り当て攻撃は,問題の構造を維持しつつ数値を変更することで,言語モデルの脆弱性を効率的に検証できる。
- GSM8Kデータセットにおいて,モデルの正答率は12.16〜25.82パーセントポイント低下したが,MAWPSとMultiArithでは安定していた。
- データセットの構造が,数値再割り当て攻撃に対する頑健性に大きく影響することが示唆された。
Q-FE:CSIDH-PQCと非同期Federated Learningによる産業IoTデジタルツインを保護する量子ネイティブ6Gファージエッジアーキテクチャ [cs.CR, cs.ET]目的:産業IoTデジタルツインの保護
- 6Gは,産業IoTにおける超高密度な環境を支える重要な技術である。
- 従来のアーキテクチャは,遅延や量子攻撃に対する脆弱性の問題がある。
- 量子耐性を持つ安全な分散処理アーキテクチャを提案し,その有効性を示す。
- Q-FEは,MAC層のオーバーヘッドを62%削減し,P99.9 URLLC遅延を0.78msに維持した。
- Q-FEは,同期型Federated Learningと比較して,グローバルモデルの収束を31%加速させた。
- 形式的な脅威モデルは,量子盗聴,モデルポイズニング,Sybil攻撃に対する耐性を示した。
ブラックボックス型適応効率的な攻撃手法が全て,LLMを破るために必要である [cs.CR, cs.AI, cs.LG]目的:LLMの敵対的堅牢性の評価
- LLMの安全性確保は重要であり,誤った評価はリスク評価や防御策比較を歪める。
- 既存手法では,ブラックボックス互換性,汎用性,効率性を同時に満たす攻撃が困難である。
- 標準化されたLLMの脱獄評価を可能にする実用的な攻撃手法を確立すること。
- Indirect Harm Optimization (IHO) は,有害性判定器に対する反復的な選好最適化により訓練された,マスクされた拡散言語モデル攻撃である。
- IHOは,個々の挙動に対する適応的な攻撃や,ファインチューニングなしでの転移学習が可能である。
- 多層防御に対しても,IHOは既存手法よりも攻撃成功率を大幅に向上させる。
- 1
- 2