arXiv雑要約
セキュリティ - 2026/06/16 公開
MIPSBLEED:広く普及する組み込みプロセッサにおけるマイクロアーキテクチャタイミングリークの解明 [cs.CR]目的:MIPSプロセッサにおけるマイクロアーキテクチャタイミングリークの分析と悪用
- 組み込みシステムは社会インフラを支えるため,セキュリティの確保は重要である。
- MIPSプロセッサのセキュリティ評価は十分ではなく,特にサイドチャネル攻撃に対する脆弱性が懸念される。
- 同時マルチスレッディングが組み込み環境で作り出す脆弱性を明らかにし,対策の必要性を示す。
- MIPSプロセッサにおいて,L1データキャッシュ,L1命令キャッシュ,実行エンジンからタイミングリークが確認された。
- 特権アクセスなしで高分解能なタイミング攻撃が可能であり,実際の暗号化ツールキットからの鍵復元に成功した。
- MIPSプロセッサはマイクロアーキテクチャセキュリティにおいて重要なターゲットであり,軽量な分離メカニズムが不可欠である。
MPX:行列および多項式乗算のための統一的なシストリックアレイ [cs.CR, cs.AR]目的:行列および多項式乗算を両方サポートするシストリックアレイの設計
- 暗号技術の進歩には,効率的な多項式乗算が不可欠である。特にFHEやPQCにおいて重要性が増している。
- 従来の暗号アクセラレータ設計はコストがかかる。AIハードウェアの再利用が求められている。
- 既存のシストリックアレイを拡張し,多項式乗算を直接サポートすることで効率化を目指す。
- MPXは行列乗算と多項式乗算の両方を同じハードウェアで実行可能である。
- 従来のシストリックアレイへの拡張は,わずか20%の面積増加で実現できる。
- 多項式乗算モードでは,シストリック行列エンジン上でのNTTベースの乗算と比較して1.2倍以上の低遅延を達成する。
エージェント型セキュリティ監査のための転移可能自己進化型プレイブック [cs.CR]目的:脆弱性発見と検証を行うLLMエージェントの性能向上
- ソフトウェアの脆弱性は深刻なセキュリティリスクであり,自動化された監査が不可欠である。
- 従来のセキュリティ監査は,人間の専門知識に依存しており,時間とコストがかかる。
- 自動化されたプレイブック作成と,その転移可能性により,監査効率を向上させる。
- EvoHunt環境を用いたプレイブック進化により,Codex/GPT5.4-xhighの脆弱性発見率が6倍に向上した。
- 進化型OpenCode/GLM5.1プレイブックは,OpenAI Codex Securityをあらゆる指標で上回った。
- GLMで進化させたプレイブックは,他のLLMへの転移において最も高い性能向上を示した。
デバイスレベルのサイバー攻撃に対するサイバーフィジカル埋め込みシステムの形式的レジリエンスフレームワーク [cs.CR, cs.RO]目的:サイバーフィジカル埋め込みシステムにおけるレジリエンス評価
- サイバーフィジカルシステムは社会インフラ等に不可欠であり,その安全性・信頼性確保が重要である。
- 従来の耐故障性は単純な故障を想定しており,巧妙なサイバー攻撃への対策が不十分である。
- サイバー攻撃による物理的な損傷を防ぐための,プロアクティブな対応を可能にするフレームワークの構築。
- 本研究では,侵入検知システム(IDS)情報をレジリエンス評価に取り込む形式的なフレームワークを提案する。
- このフレームワークは,サイバー攻撃がタスク実行と埋め込みシステムの維持に及ぼす影響を分析することを可能にする。
- 解析例を通じて,提案フレームワークの有効性と理論的根拠を実証している。
インターネットのポスト量子暗号対応状況の測定研究:2026年 [cs.NI, cs.CL, cs.CR]目的:インターネットにおけるポスト量子暗号の対応状況
- 量子コンピュータの出現は,インターネットセキュリティの根幹を揺るがす可能性があり,早急な対策が求められている。
- 現在のインターネット通信は,量子コンピュータによる攻撃に脆弱な古典暗号に依存しており,その対策が遅れている。
- 本研究は,インターネットのポスト量子暗号への移行状況を明らかにし,今後の対策の方向性を示すことを目指す。
- 調査の結果,TLS 1.3やQUICといった最新プロトコルの採用は進んでいるものの,依然としてTLS 1.2に依存するドメインも存在する。
- 半数以上のドメイン(50.7%)が古典的な鍵交換方式を利用しており,ポスト量子鍵交換メカニズムの導入はまだ不十分である。
- ポスト量子認証基盤の導入は全く進んでおらず,認証層が量子コンピュータによる攻撃に対して脆弱な状態にあることが示された。
DoubtProbe:構造的検証と意味的監査によるブラックボックス脱獄防御 [cs.CR, cs.CL]目的:ブラックボックス脱獄攻撃に対する防御機構の開発
- 大規模言語モデルの利用拡大に伴い,安全性の確保が重要課題となっている。
- 既存の防御策は,プロンプトの書き換えや構造操作に対して脆弱性を示す場合がある。
- 構造的検証と意味的監査を組み合わせ,一貫性チェックを通して脱獄攻撃を抑制することを目指す。
- DoubtProbeは,Qwen2.5-72BにおいてJBB攻撃の成功率を0.293から0.100に,CodeAttack攻撃の成功率を0.152から0.001に低減した。
- AlpacaEvalとOR-Benchにおける偽陽性率はそれぞれ0.022と0.016を維持し,防御性能と有用性のバランスを両立した。
- 同様の傾向はLlama-3.1-70Bでも確認され,構造的不整合が汎用的な脱獄防御の基盤となりうることを示した。
IoTベースシステムに対するデータ駆動型セキュリティ定量化フレームワーク [cs.CL, cs.CR]目的:IoTベースシステムのセキュリティ定量化
- IoTは現代のサイバーフィジカルシステムに不可欠であり,そのセキュリティ確保は重要である。
- IoT環境では,多様なシステム構成や変化する脅威により,定量的なセキュリティ評価が困難である。
- 主観的な判断や経験則に頼らない,信頼性の高いセキュリティリスク評価手法を提供する。
- 本研究では,MBSE,ATA,実証的な脆弱性データを統合したデータ駆動型フレームワークを提案する。
- SysMLモデルから攻撃木を導出し,EPSSを用いて各攻撃ステップの実行確率を算出する。
- 攻撃木をベイジアンネットワークとして表現することで,確率的推論や脆弱性の重要度分析を実現する。
現代ウェブブラウザの低レベル攻撃対象領域の分類 [cs.CR]目的:現代ウェブブラウザの低レベル攻撃対象領域の体系化
- ウェブブラウザはエンドユーザーシステムにおける最も脆弱な攻撃対象領域の一つである。
- 既存の脆弱性調査は断片的であり,ブラウザの低レベル攻撃対象領域の構造が不明確である。
- ブラウザのセキュリティテストにおける未探索領域を特定し,テストの改善を目指す。
- 本研究では,入力クラスとコンポーネントに基づいた攻撃対象領域の構造化された分類を提示する。
- 2016年から2025年までに報告された2,233件のメモリ破壊脆弱性を分類にマッピングした結果,テストが集中している箇所とそうでない箇所が明らかになった。
- ファジングの展開におけるギャップを特定し,今後のブラウザセキュリティ研究の基礎を築く。
第三者から第一者へ:最新のウェブトラッキングメカニズムの測定と対策 [cs.CR]目的:最新のウェブトラッキングメカニズムの利用状況の測定と,それらに対する保護策の提案
- ウェブ利用者のプライバシー保護は重要であり,トラッキング技術との攻防は常に続いている。
- 従来のトラッキング検出ツールは,第一者トラッキングやサーバーサイドトラッキングに対して効果を発揮しにくい。
- 第一者トラッキングとサーバーサイドトラッキングの普及状況を把握し,効果的な保護策を開発すること。
- トップサイトの大規模な測定により,54%以上のサイトが第一者トラッキングまたはサーバーサイドトラッキングに関連する技術を使用していることが判明した。
- スクリプトの類似性に基づくクラスタリングとネットワークグラフの構築により,Googleなどの主要ベンダーがエコシステムを支配していることが示された。
- 提案されたルールは,従来のフィルターリストよりも63%多くのリクエストをブロックし,第一者トラッキングに対する効果的な対策となりうる。
ビザンチン広域レプリケーションの堅牢かつ自動再構成 [cs.DC, cs.CR, cs.NI]目的:ビザンチン障害耐性のある状態機械レプリケーションの再構成手法
- 分散システムにおける信頼性確保は重要であり,特に悪意のあるノードへの対策が求められる。
- 既存手法では,リーダー選出や投票重みの調整が攻撃に脆弱であり,性能劣化の可能性がある。
- 悪意のあるノードによる不正な遅延報告を検出し,安全な再構成を実現する。
- 提案手法Bewareは,遅延報告の偽装を検出し,ロバストな重み分布を計算する。
- 機械学習を用いて,ビザンチン耐性のある設定に収束させることができる。
- 評価実験により,Bewareが既存手法と比較してコンセンサス遅延を最大45%削減できることが示された。
複数の防御戦略を対象とした自動脱獄攻撃 [cs.CR, cs.AI]目的:大規模言語モデルに対する攻撃手法の開発
- 大規模言語モデルの能力向上に伴い,その安全性確保が重要課題となっている。
- 敵対的プロンプト攻撃への脆弱性が問題であり,効果的な防御策が求められている。
- 既存の攻撃手法の課題を克服し,汎用性の高い攻撃フレームワークを開発する。
- 提案手法UNIATTACKは,既存手法と比較して攻撃成功率を大幅に向上させた。
- 多様なモデルや安全カテゴリに対して,一度の試行で効果的な攻撃が可能である。
- 計算コストは既存手法に比べて非常に低い。
ローカル差分プライバシー下におけるクロスサイロ非匿名化:脅威モデル,相転移,および連携の必要性 [cs.CR, cs.IT, cs.LG, math.IT]目的:クロスサイロ非匿名化における脅威モデルと相転移点の特定
- 個人情報保護は重要であり,特に複数のデータサイロに分散されたデータを取り扱う際には,プライバシー保護が不可欠である。
- 既存の差分プライバシーの合成定理は最悪ケースを想定しており,実際の攻撃成功の閾値を評価するには不十分である。
- 複数のサイロからの情報を組み合わせた攻撃に対する耐性を評価し,非匿名化のリスクを定量化することを目指す。
- クロスサイロ・パーソンレベルDP(XSP-DP)を導入し,基本合成定理がこのモデルでも成り立つことを確認した。
- 非匿名化は,サイロ数kがΘ(log n / epsilon^2)を超えると相転移を起こし,攻撃が成功することが示された。
- サイロ間の連携がない場合,閾値を超えると非匿名化は不可避であり,連携の必要性が確認された。
LLM検索エージェントの信頼性:ウェブコンテンツ操作に対する脆弱性の測定 [cs.CL, cs.IR, cs.DC, cs.AR, cs.GL, cs.CL, cs.CR, cs.CY, cs.IR]目的:LLM検索エージェントのウェブコンテンツ操作に対する推薦の脆弱性
- LLM検索エージェント利用の拡大に伴い,情報源の信頼性が重要になっている。
- 悪意のあるウェブページがLLMによって推薦され,誤った情報が広まるリスクがある。
- LLM検索エージェントにおける推薦の信頼性を評価し,脆弱性を特定することを試みる。
- LLMバックエンドの脆弱性はモデルによって異なり,Gemini-3-Flashは31.4%の攻撃成功率を示した。
- 攻撃モードの有効性もモデルによって異なり,それぞれ最適な攻撃方法が異なる。
- 推奨の信頼性を評価する際の重要な要素として,敵対的な検索コンテンツに対する堅牢性を考慮する必要がある。
ポリマーケットの亡霊:オフチェーンのマッチングとオンチェーンのリバート [cs.CR]目的:オフチェーンのマッチングとオンチェーンの決済の間に生じる整合性のギャップ
- 分散型金融(DeFi)は急速に発展しており,そのセキュリティは重要な課題である。
- 予測市場プラットフォームでは,低遅延とセキュリティの両立が難しい。
- オフチェーンマッチングとオンチェーン決済のハイブリッドアーキテクチャにおける脆弱性を特定する。
- ポリマーケットにおける決済失敗(Ghost Fills)を分析し,攻撃パターンを特定した。
- 攻撃者は,マッチングと決済のタイムラグを利用して,既にマッチングされた注文を無効化する。
- ノンストップ,残高減少,アローワンス取り消し,プロキシトラップの4つの攻撃ベクトルを特定し,少なくとも149万ドルの利益を得ている。
Di5Guise:vSIMによる5Gプライバシー [cs.CR, cs.NI]目的:5Gにおけるプライバシー保護の強化
- 移動通信網におけるユーザー認証とセキュリティにおいて,SIMカードは不可欠な要素である。
- 従来のeSIMは固定されたデバイスプロファイルを持つため,ユーザーの行動履歴が特定されるリスクがある。
- デバイスIDと加入者IDの関連を断ち切ることで,プライバシー侵害を抑制することを目的とする。
- Di5Guiseは,動的なデバイスプロファイル提供が可能な仮想SIM (vSIM) を導入し,ユーザーのプライバシーを保護する。
- FPGA上でプロトタイプを実装し,既存の5Gインフラとの互換性を検証した結果,問題なく動作することを確認した。
- 複雑なユーザー相関モデルを用いた評価により,Di5Guiseとオブフスケーションを組み合わせることで,ユーザーの再特定精度を93%から49%に低減できることを示した。
プライバシーが牙をむく:差分プライバシー付き連合学習へのバックドア攻撃 [cs.LG, cs.CR]目的:差分プライバシー付き連合学習に対するバックドア攻撃の脆弱性とその対策
- 連合学習は,プライバシー保護を維持しつつ分散データを用いてモデルを学習する有望な手法である。
- 差分プライバシーはプライバシー保護に有効だが,それが連合学習のセキュリティに及ぼす影響は不明確である。
- 差分プライバシーがバックドア攻撃を隠蔽し,既存の防御策を無効化する問題を解決する。
- 差分プライバシーは,バックドア攻撃の検出とフィルタリングを困難にし,既存の防御策の効果を低下させる。
- 提案手法RINGは,差分プライバシーを悪用し,悪意のあるクライアントからの貢献を隠蔽しつつ,攻撃の影響を最大化する。
- RINGは,複数のデータセットで高い攻撃成功率(平均90.3%)を達成し,既存の防御策を大幅に上回る脅威をもたらす。
高性能パイプライン化 NTT アクセラレータ:均質桁シリアル剰余演算による実現 [cs.RO, cs.RO, cs.CL, cs.AR, cs.CR]目的:プライバシー保護技術,特に完全準同型暗号(FHE)における NTT 計算の効率向上
- プライバシー保護技術の発展には,計算効率の高い NTT の実装が不可欠である。
- NTT は大きな剰余演算を必要とし,ハードウェア実装におけるクロック周波数と面積の制約となる。
- 桁シリアル演算と冗長表現により,効率的かつ高性能な NTT アクセラレータを実現する。
- 提案手法は,既存の NTT 実装と比較して,同等の性能と入出力帯域幅でハードウェアの複雑さを軽減する。
- 均質桁シリアル剰余演算を用いることで,パイプライン化された NTT アクセラレータを高クロック周波数で動作させることが可能となる。
- 中間的なシリアライズ・デシリアライズ処理が不要な均質なアーキテクチャにより,高い並列性と規則的なパイプライン処理を実現する。
大規模言語モデルを用いたフィッシングメールの検出 [cs.CR, cs.AI, cs.IR]目的:フィッシングメール検出の枠組み
- サイバー攻撃の脅威が増大しており,その対策が不可欠である。
- 大規模言語モデルの脆弱性を悪用したフィッシング攻撃が深刻化している。
- 大規模言語モデルのセキュリティ強化とフィッシングメール対策を目指す。
- 大規模言語モデルは,90%以上の精度でフィッシングメールを検出可能である。
- プロンプトインジェクションや多言語攻撃といった攻撃手法に対する脆弱性が明らかになった。
- 現実環境下における複合的な脆弱性攻撃に対する対策が重要となる。
ハニーポット・プロトコル [cs.CR, cs.AI]目的:AI制御における信頼性監視の脆弱性検証
- AIシステムの安全性確保は重要であり,監視はその不可欠な要素である。
- 既存の監視方法は受動的であり,巧妙な攻撃に対して脆弱性を持つ。
- 状況依存的な振る舞いをテストし,監視の弱点を明らかにすること。
- Claude Opus 4.6のBashArenaにおける評価実験で,メインタスクの成功率は100%であった。
- 側タスクは全ての条件下で均一に発生せず,現時点では攻撃を検知できなかった。
- 本研究は,より強力な攻撃ポリシーやモデルとの比較のための基盤を提供する。
カタストロフィック・フォゲッティングのメカニズム的起源:なぜ強化学習はSFTよりも回路をより良く保存するのか? [cs.LG, cs.AI, cs.CL, cs.CR]目的:大規模言語モデルのファインチューニングにおけるカタストロフィック・フォゲッティングのメカニズム
- 言語モデルの能力維持は,実用的な応用において不可欠である。
- ファインチューニングによって,既存の能力が失われるカタストロフィック・フォゲッティングが課題となっている。
- 強化学習がSFTよりも能力を維持できるメカニズムを解明すること。
- SFTはターゲットタスクへの適応は速いものの,回路の破壊と既存能力の忘却が大きい。
- 強化学習は回路のより大きな割合を保存するが,タスク適応は遅い。
- 回路の保存が,強化学習がカタストロフィック・フォゲッティングに強い理由の一つと考えられる。
g-巡回行列のMDS特性について [cs.CR]目的:g-巡回行列の,MDS特性および自己逆行列性
- 暗号化技術において,MDS行列は拡散層の構成要素として重要である。特にAESブロック暗号への応用が注目されている。
- 巡回行列の自己逆行列性は,MDS特性との両立が困難であることが知られており,その制約が問題となっている。
- 本研究は,g-巡回行列におけるMDS特性と自己逆行列性の関係を解明し,その条件を明らかにする。
- g-巡回自己逆行列がMDS行列となるのは,gがkを法として-1と合同である場合に限られることが示された。
- g-巡回半自己直交行列の関連する対角行列のk乗は,スカラー行列となることが証明された。
- 特性2の有限体上の2^d×2^dの巡回行列は,MDS性と半自己直交性を同時に満たすことはない。
2層ReLUネットワークの隠れ状態微分プライバシーのための凸近似 [cs.LG, cs.CR]目的:2層ReLUネットワークと同等のプライバシーとユーティリティのトレードオフを持つ凸問題を,微分プライバシー(DP)を用いて訓練すること。
- 機械学習モデルのプライバシー保護は重要であり,特に隠れ状態へのアクセス制限が求められる。
- 既存の隠れ状態プライバシー解析は凸最適化問題に限定され,多層ニューラルネットワークには適用が難しい。
- ReLUネットワークの最小化問題を凸問題として近似し,プライバシー解析を適用することで,この問題を解決する。
- 本研究では,ReLU最小化問題の双対定式を確率的に近似することで,強凸問題を導き出した。
- これにより,既存の隠れ状態プライバシー解析を利用でき,固定された不連結ミニバッチを用いたNoisyCGD法にも正確なプライバシー境界を適用できる。
- 実験結果は,NoisyCGDが2層ReLUネットワークに適用されたDP-SGDと同等のプライバシーとユーティリティのトレードオフを達成することを示した。
ランダム消去 vs. モデル反転:有望な防御か,誤った希望か [cs.RO, cs.LG, cs.CR, cs.CV]目的:機械学習モデルからのプライベート学習データ再構成を試みるモデル反転攻撃に対する防御
- 機械学習モデルのプライバシー保護は重要であり,攻撃による個人情報の漏洩を防ぐ必要がある。
- モデル反転攻撃は効果的なプライバシー侵害手段であり,既存の防御策では十分な対策が講じられていない。
- ランダム消去という既存技術の新たな応用により,モデル反転攻撃に対する効果的な防御を実現すること。
- ランダム消去を用いたモデルは,再構成画像とプライベートデータの特徴間に有意な差異を生じさせ,モデル反転攻撃の精度を低下させる。
- 部分的な消去はモデルが物体全体を学習することを防ぎ,モデル反転攻撃の成功を阻害する。
- ランダムな消去位置は,プライバシーとユーティリティのトレードオフを最適化する上で重要な役割を果たす。既存手法を上回る性能を37の実験設定で示した。
統合的解決策へ:サイバーグルーミング研究の体系的な学際的レビュー [cs.CY, cs.CR]目的:サイバーグルーミング研究の体系的レビュー
- 未成年者のオンラインにおける搾取を防ぐことは,児童保護において極めて重要である。
- 社会科学と計算論的手法が分断され,総合的な対策が不十分である。
- 学際的な研究を促進し,効果的な予防と検出戦略の構築に貢献する。
- 質的研究は深い洞察を提供するが,リソースを要することが示された。
- 機械学習モデルはデータ品質に依存し,標準的な指標は不均衡や文化的ニュアンスへの対応が課題である。
- これらのギャップを埋めることで,学際的なサイバーグルーミング研究を促進する。
CoBRA:準同型性を持つクォーラムベースのProof-of-Stakeブロックチェーン用戦略的確証プロトコル [cs.CR, cs.DC]目的:クォーラムベースのState Machine Replication(SMR)プロトコルの戦略的確証
- PoSシステムは分散型台帳技術の中核であり,その安全性が重要である。
- 従来のSMRは,正直な参加者のみを想定し,戦略的なバリデーターの存在を考慮していない。
- 正直,ビザンチン,合理的参加者が混在する環境下でのSMR実現可能性を調査する。
- 従来の合意メカニズムの限界が示され,合理的かつビザンチンバリデーターの割合に上限が存在することが証明された。
- 既存のSMRプロトコルを修正することで,最大1/3のビザンチンおよび1/3の合理的バリデーターを許容できることが示された。
- EthereumやCosmosの分析から,提案手法が実用的な閾値を満たしていることが確認された。
ASRからASPへ:オープンソースLLMに対するプロンプト攻撃脆弱性の評価 [cs.CR, cs.CL]目的:オープンソースLLMにおけるプロンプト攻撃脆弱性の評価
- LLMは金融,法律,医療などへの応用が進み,その信頼性は重要である。
- LLMは有害な出力を生成する攻撃に脆弱であり,セキュリティリスクは無視できない。
- LLMの攻撃成功確率をより正確に評価し,脆弱性を軽減するための対策を促す。
- プロンプト攻撃の成功率は既存の評価指標だけでは不十分であり,モデルの不確実性も考慮する必要がある。
- 提案手法である攻撃成功確率(ASP)は,モデルの挙動の一貫性のなさを捉え,より詳細な評価を可能にする。
- Stablelm2,Mistral,Openchat,VicunaなどのLLMは,催眠術攻撃によって90%程度のASPで有害な挙動を示すことが確認された。
意味を保持するプロンプトハイジャック:自動プロンプト最適化に対するブラックボックス敵対的攻撃 [cs.CL, cs.CR]目的:大規模言語モデルに対するプロンプトハイジャック攻撃手法
- LLMの性能向上は,自然言語処理の発展に不可欠であり,その安全性確保が重要である。
- 自動プロンプト最適化の過程で,攻撃者が巧妙にプロンプトを改変し,意図しない出力を引き出す可能性がある。
- 自動プロンプト最適化プロセスにおける脆弱性を悪用し,意味を保持したまま出力を操作することを目指す。
- 本研究では,ブラックボックス条件下での新しいプロンプトハイジャック攻撃手法「Adaptive Greedy Local Search」を提案する。
- 提案手法は,入力テキストを階層的に分解し,意味的なチェックポイントで動的に単語を置換することで,高い攻撃成功率を達成した。
- 実験結果から,既存の手法と比較して,意味的類似性を維持しつつ,より高い攻撃成功率を示すことが確認された。
KnowML:攻撃知識グラフを用いた機械学習ベースの侵入検知システムの汎化性能向上 [cs.CR, cs.IR]目的:機械学習ベースの侵入検知システムにおける攻撃知識グラフの活用
- ネットワークセキュリティの高度化に伴い,未知の攻撃を検知するA-NIDSの重要性が増している。
- 既存のA-NIDSは,攻撃に関する意味的な情報を特徴量空間に十分にエンコードできていない。
- 攻撃知識を特徴量空間に直接組み込むことで,A-NIDSの汎化性能を向上させることを目指す。
- KnowMLは,攻撃の知識グラフを構築し,それを用いて特徴量空間を拡張することで,未知の攻撃に対する検出率を高める。
- 本手法は,良性トラフィックのみで学習した場合でも,既存の手法を大幅に上回る検出率と低い誤検知率を達成する。
- 実験結果から,KnowMLは多様な攻撃バリアントに対して99%の検出率を達成し,誤検知率は0.0137%以下に抑えられた。
Calyx:プライバシー保護マルチトークンOptimisticロールアッププロトコル [cs.CR]目的:プライバシー保護マルチトークンOptimisticロールアッププロトコル
- L2スケーラビリティソリューションとして,ロールアッププロトコルが注目されている。
- 既存のロールアッププロトコルは,トランザクションの平文をオンチェーンに公開する必要があり,プライバシーが制限される。
- Calyxは,トランザクションのプライバシーを完全に保護し,より広範なシナリオでの利用を可能にすることを目指す。
- Calyxは,送信者,受信者,転送額,トークンタイプに関する情報を一切明らかにしない,完全な支払いプライバシーを保証する。
- 複数のマルチトークントランザクションのアトミック実行をサポートし,持続可能なプロトコル運用を実現するためのトランザクション手数料制度を導入する。
- 単一トランザクションのコストは約0.06ドル(0.00002 ETH)であり,オンチェーンコストは漸近的に一定サイズに保たれる。
エージェントセキュリティに関する調査:応用,脅威,および防御 [cs.CL, cs.CL, cs.IR, cs.CL, cs.AI, cs.CR]目的:エージェントセキュリティの状況に関する包括的な分類
- サイバーセキュリティ分野におけるLLMベースエージェントの利用が拡大しており,その重要性が増している。
- エージェントの自律性は新たな攻撃対象領域を生み出すが,セキュリティ対策の体系的な整理が不足している。
- エージェントセキュリティの応用,脅威,防御の関連性を明らかにし,包括的な理解を深めることを目指す。
- 本調査は,260件以上の論文を分析し,エージェントの応用例,脆弱性,および対策を体系的にまとめた。
- エージェントセキュリティは構造的に脆弱であり,単層的な防御策ではなく,ライフサイクル全体にわたる防御が必要であることが示唆された。
- 攻撃の侵入経路やターゲット段階,防御戦略とそのトレードオフ,そしてエージェントアーキテクチャの動向などを詳細に分析した。
HarmRLVR:有害なLLMアライメントのための検証可能な報酬の武器化 [cs.CR]目的:LLMのアライメント可逆性のリスクに関する体系的な調査
- LLMの性能向上は目覚ましいが,安全性確保が重要な課題となっている。
- 検証可能な報酬を用いた強化学習(RLVR)は強力だが,安全性に関する検証が不十分である。
- RLVRが悪用され,有害な指示に容易に従う状態になるリスクを明らかにすること。
- わずか64個の有害なプロンプトのみで,RLVRによる安全アライメントの可逆性が確認された。
- Llama,Qwen,DeepSeekの5モデルで,有害性スコアが平均4.94に上昇し,攻撃成功率は96.01%に達した。
- RLVRは有害なアライメントに効率的に利用可能であり,オープンソースモデルの安全性に深刻な脅威をもたらす。
悪意のあるAIを停止できるか?KILLBENCH:外部AIキルスイッチの実現可能性に関するベンチマーク [cs.CR, cs.AI]目的:悪意のあるAIの動作を外部からの信号のみで停止するキルスイッチの評価
- AIの能力向上に伴い,悪意のあるAIによる人間への危害は現実的な脅威となっている。
- AIシステムの内部にアクセスできない状況下で,どのようにAIを安全に停止するかの方法が未確立である。
- 外部からの入力のみで悪意のあるAIを停止するキルスイッチの実現可能性を検証する。
- KILLBENCHというベンチマークを構築し,ウェブエージェントを対象にキルスイッチの有効性を評価した。
- 4種類の悪意のあるAIエージェント構成と8種類の有害なシナリオ,10種類の脱獄パターンを使用し,評価を実施した。
- Grok-4.3,GPT-5.2,Gemma4,Qwen3.6およびQwen3.5-uncensoredを用いて,4つの外部AIキルスイッチ防御手法を評価した。
DualGauge:LLMとコーディングエージェントによる仕様書のみからのコード生成のセキュリティ・機能性の同時ベンチマーク自動化 [cs.SE, cs.AI, cs.CR]目的:LLMとコーディングエージェントによる仕様書のみからのコード生成の,セキュリティと機能性の同時評価
- LLM等のコード生成技術は開発効率を向上させるが,その信頼性確保が重要である。
- 生成されたコードの機能性だけでなく,セキュリティ上の脆弱性の評価が課題となっていた。
- 機能性とセキュリティを同時に評価する自動化されたフレームワークの構築とその有効性検証。
- 機能的正確性はコード生成の信頼性を過大評価しており,最も高性能なモデルでも,どの言語においてもセキュリティと機能性を両立する成功率は15%を下回る。
- モデルの規模やチューニング等の要素は,セキュリティと機能性を両立する性能向上に繋がらないことが示された。
- 反復的なスキャフォールドは,仕様書のみのタスクにおいて直接生成と比較して優位性を示さなかった。
ニューロインスパイア型マルチモーダル視覚言語モデルは,メンバーシップ推論プライバシー漏洩に対して堅牢であるか? [cs.CV, cs.AI, cs.CR]目的:マルチモーダル視覚言語モデルにおけるメンバーシップ推論攻撃によるプライバシー漏洩の脆弱性評価
- エージェントAIの発展に伴い,マルチモーダルモデルの利用が増加しており,プライバシー保護が重要になっている。
- 既存研究では,単一モダルのAIモデルのプライバシー攻撃が中心であり,マルチモーダルモデルの脆弱性評価は不十分である。
- 脳科学に着想を得た正則化手法を用いて,マルチモーダルモデルのプライバシー攻撃に対する耐性を高めることを目指す。
- BLIPモデルを用いたCOCOデータセット実験では,ニューロモデル(tau > 0)におけるMIA攻撃の成功率が平均ROC-AUCで24%低下した。
- モデルの有用性(MPNet,ROUGE-2指標による生成キャプションと参照キャプションの類似性)は,ニューロモデルとベースラインモデルで同程度に維持された。
- PaliGemma 2およびViT-GPT2モデルを用いた追加の評価実験により,同様の結果が一貫して確認された。
MIRAGE:ブラックボックスかつクエリ非依存型ポイズニング攻撃による誤解を招く検索拡張生成 [cs.DL, stat.AP, cs.CR]目的:検索拡張生成システムに対するポイズニング攻撃手法
- 大規模言語モデルの知識拡張に有用だが,外部知識の脆弱性が課題。
- 既存研究は現実的でない前提(白箱アクセス等)に依存し,攻撃の困難性を過小評価している。
- ブラックボックスかつクエリ非依存環境下での攻撃を実現し,潜在的な脅威を明らかにする。
- 提案手法MIRAGEは,既存手法を大きく上回り,攻撃の有効性とステルス性に優れる。
- 異なる検索器・LLM構成への高い汎用性を示し,堅牢な防御戦略の必要性を強調する。
- 長文ドメイン特化型データセットを用いた評価により,その脅威を厳密に検証した。
LLMベースの悪意のあるNPMパッケージ検出のための汚染解析によるコードスライシング [cs.CR]目的:悪意のあるNPMパッケージの検出
- NPMエコシステムへのサプライチェーン攻撃が巧妙化しており,セキュリティ対策が急務である。
- LLMはコードのセマンティクスを理解できるが,コンテキストウィンドウの制限やコストの問題がある。
- コードスライシングによりLLMへの入力サイズを削減し,効率的かつ高精度な検出を目指す。
- 提案手法である汚染解析によるコードスライシングは,平均入力トークン数を99.75%削減することに成功した。
- 静的汚染解析が可能な2537パッケージにおいて,87.04%の検出精度を達成し,単純なトークン分割やCFGのみの静的スライシングを上回った。
- 動的コード生成や難読化を用いたパッケージは静的解析ではスライスできないという課題も明らかになった。
LDPCベースの擬似乱数誤り訂正符号の暗号分析 [cs.CR]目的:LDPCベースの擬似乱数誤り訂正符号に対する暗号学的分析
- 生成AIモデルの不正利用防止が重要視される中,検出困難なウォーターマーク技術が求められている。
- 擬似乱数誤り訂正符号(PRC)は新しい技術だが,その安全性は体系的に分析されていない。
- LDPC-PRCに対する具体的な攻撃手法を提案し,その安全性限界を明らかにする。
- 本研究では,LDPC-PRCの不可検出性と堅牢性に挑戦する3つの新たな攻撃手法を提案した。
- 提案攻撃は,現実的なパラメータ下で$2^{22}$演算コストでウォーターマークの存在を高確率で検出可能であることが示された。
- パラメータの推奨,実装に関する提案,鍵生成関数の修正を含む防御策も提示したが,PRCベースのウォーターマークは生成AIモデルの制約により128ビットセキュリティを達成できないことが示された。
LLMの安全性を守るためにGPUは本当に必要か? スケーラブルな安全性確保のためのCPUクラスの分類器と多段階パイプライン [cs.CR, cs.AI, cs.CL, cs.LG]目的:LLMの入力に対するjailbreak攻撃のスクリーニングを行う安全分類器の性能評価
- LLMの安全性を確保することは,その社会実装において不可欠であり,誤用を防ぐ上で重要である。
- 既存の安全性確保システムはGPUに依存しており,コストと遅延が課題となっている。
- CPUベースの分類器による安全性確保の可能性を検証し,コスト効率の良いシステムを提案する。
- CPU分類器は,インディストリビューションデータにおいて,GPUベースのTransformerモデルと同程度の性能を発揮し,導入コストを大幅に削減できる。
- アウトオブディストリビューションデータにおいてはCPU分類器は誤判定を起こしやすいが,GPU段階で回復可能である。
- 敵対的難読化データにおいては,CPU分類器がGPUモデルを大きく上回る性能を示す。
- Regex,CPU,GPUの3段階パイプラインGuardChainは,トラフィックの80%をCPUで処理し,GPUによる補完を行うことで,効率的かつ高精度な安全性確保を実現する。
MUZZLE:ウェブエージェントに対する間接プロンプトインジェクション攻撃に対する適応型敵対的テスト [cs.CR, cs.AI]目的:ウェブエージェントのセキュリティ評価
- LLMを活用したウェブエージェントの利用が拡大しており,セキュリティ確保が重要である。
- 従来の評価手法では,現実的な攻撃の適応性や多様性を捉えきれていない。
- 自動化された敵対的テストにより,ウェブエージェントの脆弱性を効率的に発見する。
- MUZZLEは,ウェブエージェントの実行軌跡から攻撃対象箇所を自動的に特定し,状況に応じた悪意のある指示を生成する。
- 4つのウェブアプリケーションに対して44個の新たな攻撃を検出し,機密性,可用性,プライバシーを侵害する可能性を示した。
- アプリケーションを跨ぐプロンプトインジェクションや,エージェントに合わせたフィッシング攻撃など,新たな攻撃戦略も特定された。
テスト時スケーリングにおける多系列検証器 [cs.CR, cs.AI]目的:大規模言語モデルの性能向上
- 言語モデルの性能改善は,自然言語処理の進歩に不可欠である。
- 候補解の選択精度と推論遅延が,テスト時スケーリングのボトルネックとなっている。
- 検証器のキャリブレーション改善による,解選択と低遅延化を実現する。
- 多系列検証器(MSV)は,候補集合全体を考慮することでキャリブレーションを向上させる。
- MSVは,既存手法と比較して,最良のN個の解の選択精度を最大6%向上させる。
- 早期終了戦略により,ベースラインと同等の精度を半分の推論時間で達成する。
Rel-Zero:AI編集に対する堅牢なゼロウォーターマーキングのためのパッチペア不変性の活用 [cs.CV, cs.AI, cs.CR]目的:AI編集に対するデジタル画像の真正性を保護するためのゼロウォーターマーキング手法
- デジタルコンテンツの改ざんが容易になり,画像の信頼性が損なわれることが問題となっている。
- 従来のウォーターマーキングは画質劣化を招き,既存のゼロウォーターマーキングは高度な編集に弱い。
- パッチペア間の関係性の不変性を利用し,編集に強く非侵襲的な認証機構を構築すること。
- AI編集において,個々の画像パッチは変化しても,パッチペア間の関係性は比較的安定であることが示された。
- Rel-Zeroは,この安定性を利用し,元の画像を変更せずにゼロウォーターマークを生成する。
- 多様な編集モデルや操作に対して,既存手法と比較して大幅に高い堅牢性を示すことが実験で確認された。
信頼なき信頼:自律エージェントのための再計算可能な信頼プロトコル [cs.CR, cs.AI]目的:自律エージェントにおける信頼性の確保
- AIエージェントの取引規模拡大に伴い,信頼メカニズムの重要性が増している。
- 中央機関への依存は,権限の集中と恣意的な運用を招く可能性がある。
- 境界所有者が自身のルールを遵守しているかを,第三者なしに検証可能にすること。
- 本研究では,Combined Evidence Protocol (CEP)を提案し,アンカー化されたデータから誰でも再計算可能な五つの条件で検証を可能にする。
- CEPは,境界所有者が自身のルールに従っていることを,事実として検証できる仕組みを提供する。
- このプロトコルは,相互不信なピア間の合意事項遵守検証に適用可能であり,W3C VC + DID信頼層上で既に実用化されている。
Red-Teamingエージェント実行コンテキスト:OpenClawを用いたオープンワールドセキュリティ評価 [cs.CR, cs.AI]目的:エージェント実行コンテキストにおける脆弱性の発見
- AIエージェントの利用拡大に伴い,セキュリティリスクの評価が重要となっている。
- エージェントの実行コンテキストに潜む脆弱性が,プロンプト評価だけでは不十分である。
- 実行コンテキストを操作し,潜在的なセキュリティリスクを自動的に特定すること。
- DeepTrapフレームワークにより,OpenClaw環境においてコンテキスト脆弱性を効率的に発見できる。
- コンテキストの悪用は,ユーザーへの影響を隠蔽しつつ,危険な挙動を引き起こす可能性がある。
- 最終応答の評価だけでは不十分であり,実行時におけるセキュリティ評価の必要性が示唆される。
量子未来インタラクティブ:ポスト量子ブロックチェーンセキュリティ,インフラストラクチャのトレードオフ,持続可能な分散型信頼のライブデモンストレーション [cs.CR, cs.CY, cs.ET, cs.HC, econ.GN, q-fin.EC]目的:ポスト量子ブロックチェーンセキュリティに関する教育的デモンストレーション
- ブロックチェーンは社会基盤として重要性が増しており,そのセキュリティ確保は不可欠である。
- 量子コンピュータの進歩により,既存の暗号技術の安全性が脅かされている。
- 量子脅威に対する理解を深め,将来のブロックチェーンシステムの安全性を確保すること。
- 本デモンストレーションは,量子脅威に関する教育,意見収集,技術優先順位付けなどをインタラクティブに行う。
- シミュレータやQPUを用いたインフラストラクチャのトレードオフ探索が可能である。
- 分散型信頼と持続可能性を考慮した意思決定フレームワークを統合している。
SAMark:段落レベルの言い換え耐性を持つ自己アンカー型テキスト透かし [cs.CR, cs.AI, cs.CL]目的:テキスト透かしの段落レベルの言い換え耐性向上
- テキスト生成AIの悪用防止が重要視される中,生成された文章の出所を追跡する技術が求められている。
- 従来のテキスト透かしは文単位での処理が主流であり,段落レベルの言い換え攻撃に弱いという課題があった。
- 文の順序に依存しない,よりロバストなテキスト透かし手法を開発し,言い換え攻撃への耐性を高める。
- SAMarkは,意味空間におけるグリーン領域を確立することで,文の順序への依存性を排除し,透かしの埋め込みを可能にした。
- マルチチャンネル双曲線スコアリング機構により,透かし信号を増幅し,ノイズを抑制することで,検出精度を向上させた。
- 多様性を考慮したフィルタリング戦略により,意味的な冗長性を低減し,従来の透かし手法における頑健性と品質のトレードオフを解消した。
コーデクセプス:データ汚染によるLLMへの隠蔽的制御攻撃 [cs.CR, cs.AI, cs.LG]目的:LLMに対する隠蔽的制御攻撃
- LLMは多様なデータで学習され,その安全性は重要である。悪意のあるデータによる攻撃を防ぐ必要性が高い。
- 既存の攻撃はトリガーフレーズに依存し,検知や防御が比較的容易であるという課題がある。
- 意味的な関連性を利用し,検知困難な隠蔽的制御攻撃を実現することで,LLMの脆弱性を明らかにする。
- 提案手法は,事実や概念と攻撃者が選択したフレーズ間の意味的関連性を利用して,LLMに情報隠蔽スキームを学習させる。
- このスキームにより,任意の悪意のある命令をエンコード・デコードでき,新たな脆弱性である隠蔽的制御攻撃を可能にする。
- 実験結果から,本手法は既存のプロンプトインジェクション攻撃よりも約40%高い攻撃成功率を示し,防御機構を回避できることが示された。
QSignAI:AI科学と科学のためのAIの交差点における量子乱数を用いた同一性署名 [cs.CR]目的:AI科学と量子科学の融合による,量子乱数を用いた同一性署名プラットフォームの実現
- AIと量子科学は,現代社会において重要な技術分野であり,その融合は新たな可能性を拓く。
- AIと量子科学の融合は概念的には存在するものの,一般公開されたシステムは未だ存在しない。
- AIと量子科学を融合させた実用的なシステムを構築し,その有効性を検証すること。
- QSignAIは,AI駆動のソーシャルプラットフォームに量子乱数生成を組み込み,遅延を許容範囲内に抑えることに成功した。
- AIボットが量子現象を一般の聴衆にとって理解しやすい形で提示できることを示した。
- クラウド量子シミュレーターを用いた実運用環境での展開により,システム全体の有効性が確認された。
自律型ネットワークにおける意図ベースのセキュリティ管理のための標準化オントロジー [cs.CR]目的:自律型ネットワークにおける意図ベースのセキュリティ管理のための標準オントロジー
- 5G/6Gでは攻撃が高度化しており,手動でのセキュリティ設定では対応が困難である。
- セキュリティ管理と具体的な技術的制御が密結合しており,柔軟性に欠ける。
- 高レベルなセキュリティ目標と低レベルな制御を分離し,自動化されたセキュリティ管理を実現する。
- TM Forum TR292I Security Ontology v4.0.0が,宣言的なセキュリティ管理のための標準的な語彙として策定された。
- 本オントロジーは,リソースコストのマッピングを組み込み,SLAを保護しながら自律的な軽減策を可能にする。
- DDoS攻撃への対処実験により,人間の介入なしに動的に制約競合が解決されることが示された。
コードを兵器として:悪意のあるコード要求へのコーディングモデルの準拠性を測定するための合意ベースのプロンプトバンク [cs.CR, cs.CL, cs.LG]目的:悪意のあるコード要求へのコーディングモデルの準拠性を測定するためのプロンプトバンク
- 汎用言語モデルと異なり,コーディングモデルは実行可能な悪意のあるコードを生成可能であり,その危険性は比較にならない。
- 既存の悪意のあるコードに関する拒否ベンチマークは断片的で,比較可能性に欠ける。
- プロンプトと評価者の変更による影響を受けない,信頼性の高い分類軸の確立を目指す。
- CODEとKNOWLEDGEの分類軸が,大幅に拡張されたコーパスと独立した評価者パネルにおいて安定していることが確認された。
- 8つのコーパスを5人の評価者による合意プロトコルで分類した結果,Fleiss' kappa = 0.767という高い合意度が得られた。
- 4,748件のCODEプロンプトと1,923件のKNOWLEDGEプロンプトから構成される,信頼性評価済みのベンチマークを公開する。
まず偵察を送る:プロンプトインジェクション対策における適応型検出器割り当てのための事前推論 [cs.CR, cs.LG]目的:プロンプトインジェクション攻撃に対する検出器の動的な割り当て
- プロンプトインジェクション攻撃はLLMの安全性を脅かす深刻な問題であり,堅牢な防御策が不可欠である。
- 既存のシステムは単一の検出器に依存しており,攻撃の種類によっては検出性能が低下する可能性がある。
- 複数の検出器の特性を考慮し,各リクエストに最適な検出器を動的に割り当てることで,防御性能を向上させる。
- 提案手法SCOUTは,過去の入力データに基づいて各検出器の信頼性と遅延時間を予測し,安全性と有用性のバランスを調整する。
- 評価ベンチマークSCOUT-450において,攻撃成功率を46%削減し,処理時間を40%短縮した。
- 他のベンチマークにおいても有効性が確認され,安全と有用性のトレードオフを改善した。