論文の概要: Control at Stake: Evaluating the Security Landscape of LLM-Driven Email Agents

• arxiv url: http://arxiv.org/abs/2507.02699v1
• Date: Thu, 03 Jul 2025 15:09:40 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-07-04 15:37:16.495109
• Title: Control at Stake: Evaluating the Security Landscape of LLM-Driven Email Agents
• Title（参考訳）: LLMメールエージェントのセキュリティランドスケープ評価
• Authors: Jiangrong Wu, Yuhong Nan, Jianliang Wu, Zitong Yao, Zibin Zheng,
• Abstract要約: LLMメールエージェントは、LLM駆動推論を使用して電子メールの管理と応答を行うことができる。 本稿では,メールエージェントの本来のプロンプトを外部メールリソース経由でオーバーライドするEメールエージェントハイジャック攻撃を提案する。
• 参考スコア（独自算出の注目度）: 24.79860618367161
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: The increasing capabilities of LLMs have led to the rapid proliferation of LLM agent apps, where developers enhance LLMs with access to external resources to support complex task execution. Among these, LLM email agent apps represent one of the widely used categories, as email remains a critical communication medium for users. LLM email agents are capable of managing and responding to email using LLM-driven reasoning and autonomously executing user instructions via external email APIs (e.g., send email). However, despite their growing deployment and utility, the security mechanism of LLM email agent apps remains underexplored. Currently, there is no comprehensive study into the potential security risk within these agent apps and their broader implications. In this paper, we conduct the first in-depth and systematic security study of LLM email agents. We propose the Email Agent Hijacking (EAH) attack, which overrides the original prompts of the email agent via external email resources, allowing attackers to gain control of the email agent remotely and further perform specific attack scenarios without user awareness. To facilitate the large-scale evaluation, we propose EAHawk, a pipeline to evaluate the EAH attack of LLM email agent apps. By EAHawk, we performed an empirical study spanning 14 representative LLM agent frameworks, 63 agent apps, 12 LLMs, and 20 email services, which led to the generation of 1,404 real-world email agent instances for evaluation. Experimental results indicate that all 1,404 instances were successfully hijacked; on average, only 2.03 attack attempts are required to control an email agent instance. Even worse, for some LLMs, the average number of attempts needed to achieve full agent control drops to as few as 1.23.
• Abstract（参考訳）: LLMの能力の増大により、LLMエージェントアプリが急速に普及し、複雑なタスク実行をサポートするために、開発者は外部リソースにアクセスしてLLMを拡張する。 LLMメールエージェントアプリは、メールが依然としてユーザにとって重要なコミュニケーション媒体であるため、広く使われているカテゴリの1つである。 LLMメールエージェントは、LLM駆動の推論を使用して電子メールを管理し、応答し、外部のEメールAPI(例えば電子メール)を介して自動的にユーザー命令を実行することができる。 しかし、デプロイとユーティリティの増大にもかかわらず、LLMメールエージェントアプリのセキュリティメカニズムは未調査のままである。 現在、エージェントアプリにおける潜在的なセキュリティリスクとその広範な影響に関する包括的な研究は行われていない。 本稿では,LLMメールエージェントの詳細なセキュリティ調査を初めて実施する。 本研究では、電子メールエージェントの本来のプロンプトを外部メールリソースを介してオーバーライドし、攻撃者がリモートで電子メールエージェントを制御し、ユーザを意識せずに特定の攻撃シナリオを実行できるようにするEメールエージェントハイジャック(EAH)攻撃を提案する。 LLMメールエージェントアプリのEAH攻撃を評価するパイプラインであるEAHawkを提案する。 EAHawk は 14 の代表的な LLM エージェントフレームワーク,63 のエージェントアプリ,12 の LLM サービス,20 の E メールサービスを対象とした実証的研究を行い,実世界の E メールエージェントインスタンスを1,404 個生成して評価を行った。 実験の結果、すべての1,404のインスタンスがハイジャックされたことが示されている。 さらに悪いことに、一部のLLMでは、完全なエージェント制御を達成するのに必要な平均的な試行回数は1.23に減少した。

関連論文リスト

• When LLMs Go Online: The Emerging Threat of Web-Enabled LLMs [26.2943792874156]
  個人データを含むサイバー攻撃における大規模言語モデル(LLM)の誤用に関連するリスクについて検討する。 具体的には,サイバーアタックの実施を指示されたLLMエージェントがいかに強力かを理解することを目的としている。 本稿では,PII(Personally Identible Information)の収集,偽造投稿の生成,スピアフィッシングメールの作成の3つの攻撃シナリオについて検討する。
  論文  参考訳（メタデータ） (2024-10-18T16:16:34Z)
• AgentHarm: A Benchmark for Measuring Harmfulness of LLM Agents [84.96249955105777]
  LLMエージェントは誤用された場合、より大きなリスクを引き起こすが、その堅牢性は未発見のままである。 我々は, LLMエージェント誤用の研究を容易にするために, AgentHarmと呼ばれる新しいベンチマークを提案する。 主要なLLMは、ジェイルブレイクなしで悪意のあるエージェント要求に驚くほど準拠している。
  論文  参考訳（メタデータ） (2024-10-11T17:39:22Z)
• GuardAgent: Safeguard LLM Agents by a Guard Agent via Knowledge-Enabled Reasoning [79.07152553060601]
  安全ガード要求を満たすか否かを動的に確認し,目標エージェントを保護する最初のガードレールエージェントであるガードアジェントを提案する。 特にGuardAgentは、まず安全ガードの要求を分析してタスクプランを生成し、それからその計画をガードレールコードにマップして実行します。 GuardAgentは、それぞれ98%と83%のガードレール精度を持つ2つのベンチマークにおいて、異なる種類のエージェントに対する違反行為を効果的に抑制することを示した。
  論文  参考訳（メタデータ） (2024-06-13T14:49:26Z)
• BadAgent: Inserting and Activating Backdoor Attacks in LLM Agents [26.057916556444333]
  提案手法は,BadAgentというバックドア攻撃に対して脆弱であることを示す。 提案手法は信頼性のあるデータを微調整した後でも極めて堅牢である。
  論文  参考訳（メタデータ） (2024-06-05T07:14:28Z)
• AgentLite: A Lightweight Library for Building and Advancing Task-Oriented LLM Agent System [91.41155892086252]
  LLMエージェントの研究を簡略化する新しいAIエージェントライブラリであるAgentLiteをオープンソースとして公開する。 AgentLiteは、タスクを分解するエージェントの機能を強化するために設計されたタスク指向フレームワークである。 我々は,その利便性と柔軟性を示すために,AgentLiteで開発された実用アプリケーションを紹介した。
  論文  参考訳（メタデータ） (2024-02-23T06:25:20Z)
• Watch Out for Your Agents! Investigating Backdoor Threats to LLM-Based Agents [47.219047422240145]
  我々は、LSMベースのエージェントに対して、典型的な安全脅威であるバックドアアタックの1つを調査する第一歩を踏み出した。 具体的には、ユーザ入力とモデル出力のみを操作できる従来のLDMに対するバックドア攻撃と比較して、エージェントバックドア攻撃はより多様で隠蔽的な形式を示す。
  論文  参考訳（メタデータ） (2024-02-17T06:48:45Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。