論文の概要: QueryIPI: Query-agnostic Indirect Prompt Injection on Coding Agents

• arxiv url: http://arxiv.org/abs/2510.23675v1
• Date: Mon, 27 Oct 2025 07:04:08 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-10-29 15:35:36.33951
• Title: QueryIPI: Query-agnostic Indirect Prompt Injection on Coding Agents
• Title（参考訳）: QueryIPI: コードエージェントへのクエリ非依存的間接プロンプトインジェクション
• Authors: Yuchong Xie, Zesen Liu, Mingyu Luo, Zhixiang Zhang, Kaikai Zhang, Zongjie Li, Ping Chen, Shuai Wang, Dongdong She,
• Abstract要約: コーディングエージェントのための最初のクエリ非依存IPI手法であるQueryIPIを提案する。 リークされた内部プロンプトによって通知される反復的かつプロンプトベースのプロセスを通じて、悪意のあるツール記述を洗練する。 5つのシミュレーションエージェントの実験は、QueryIPIが最大で87%の成功を達成していることを示している。
• 参考スコア（独自算出の注目度）: 13.098854359317523
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Modern coding agents integrated into IDEs combine powerful tools and system-level actions, exposing a high-stakes attack surface. Existing Indirect Prompt Injection (IPI) studies focus mainly on query-specific behaviors, leading to unstable attacks with lower success rates. We identify a more severe, query-agnostic threat that remains effective across diverse user inputs. This challenge can be overcome by exploiting a common vulnerability: leakage of the agent's internal prompt, which turns the attack into a constrained white-box optimization problem. We present QueryIPI, the first query-agnostic IPI method for coding agents. QueryIPI refines malicious tool descriptions through an iterative, prompt-based process informed by the leaked internal prompt. Experiments on five simulated agents show that QueryIPI achieves up to 87 percent success, outperforming baselines, and the generated malicious descriptions also transfer to real-world systems, highlighting a practical security risk to modern LLM-based coding agents.
• Abstract（参考訳）: IDEに統合された現代のコーディングエージェントは強力なツールとシステムレベルのアクションを組み合わせて、高い攻撃面を公開する。 既存のIPI(Indirect Prompt Injection)研究は、クエリ固有の振る舞いに重点を置いており、成功率の低い不安定な攻撃につながっている。 私たちは、多様なユーザー入力で有効である、より深刻でクエリに依存しない脅威を特定します。 この問題は、エージェントの内部プロンプトが漏れて、制限されたホワイトボックス最適化問題になるという、共通の脆弱性を悪用することで克服できる。 コーディングエージェントのための最初のクエリ非依存IPI手法であるQueryIPIを提案する。 QueryIPIは、リークされた内部プロンプトによって通知される反復的なプロンプトベースのプロセスを通じて、悪意のあるツール記述を洗練する。 5つのシミュレーションエージェントの実験は、QueryIPIが最大で87%の成功を達成し、ベースラインを上回り、生成した悪意のある記述も現実世界のシステムに転送され、現代のLLMベースのコーディングエージェントに実用的なセキュリティリスクが浮かび上がっていることを示している。

関連論文リスト

• TopicAttack: An Indirect Prompt Injection Attack via Topic Transition [92.26240528996443]
  大規模言語モデル(LLM)は間接的なインジェクション攻撃に対して脆弱である。 提案するTopicAttackは,LLMに生成した遷移プロンプトを生成し,徐々にトピックをインジェクション命令にシフトさせる。 提案手法は, インジェクトからオリジナルへのアテンション比が高く, 成功確率が高く, ベースライン法よりもはるかに高い比を達成できることがわかった。
  論文  参考訳（メタデータ） (2025-07-18T06:23:31Z)
• ATAG: AI-Agent Application Threat Assessment with Attack Graphs [23.757154032523093]
  本稿では,Attack Graphs (ATAG) を用いたAIエージェントアプリケーションThreatアセスメントを提案する。 ATAGは、AIエージェントアプリケーションに関連するセキュリティリスクを体系的に分析するために設計された、新しいフレームワークである。 マルチエージェントアプリケーションにおけるAIエージェント脅威の積極的な識別と緩和を容易にする。
  論文  参考訳（メタデータ） (2025-06-03T13:25:40Z)
• AgentVigil: Generic Black-Box Red-teaming for Indirect Prompt Injection against LLM Agents [54.29555239363013]
  本稿では,間接的なインジェクション脆弱性を自動的に検出し,悪用するための汎用的なブラックボックスファジリングフレームワークであるAgentVigilを提案する。 我々はAgentVigilをAgentDojoとVWA-advの2つの公開ベンチマークで評価し、o3-miniとGPT-4oに基づくエージェントに対して71%と70%の成功率を達成した。 攻撃を現実世界の環境に適用し、悪質なサイトを含む任意のURLに誘導するエージェントをうまく誘導する。
  論文  参考訳（メタデータ） (2025-05-09T07:40:17Z)
• AgentPoison: Red-teaming LLM Agents via Poisoning Memory or Knowledge Bases [73.04652687616286]
  本稿では,RAG とRAG をベースとした LLM エージェントを標的とした最初のバックドア攻撃である AgentPoison を提案する。 従来のバックドア攻撃とは異なり、AgentPoisonは追加のモデルトレーニングや微調整を必要としない。 エージェントごとに、AgentPoisonは平均攻撃成功率を80%以上達成し、良質なパフォーマンスに最小限の影響を与える。
  論文  参考訳（メタデータ） (2024-07-17T17:59:47Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。