論文の概要: Measuring the Security of Mobile LLM Agents under Adversarial Prompts from Untrusted Third-Party Channels

• arxiv url: http://arxiv.org/abs/2510.27140v2
• Date: Thu, 06 Nov 2025 03:52:08 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-11-07 13:46:06.47309
• Title: Measuring the Security of Mobile LLM Agents under Adversarial Prompts from Untrusted Third-Party Channels
• Title（参考訳）: 非信頼な第三者チャネルからの敵対的プロンプト下での移動式LLMエージェントの安全性の測定
• Authors: Chenghao Du, Quanfeng Huang, Tingxuan Tang, Zihao Wang, Adwait Nadkarni, Yue Xiao,
• Abstract要約: 大規模言語モデル(LLM)はソフトウェア開発を変革し、さまざまなアプリやベクターでタスクを自動化するAIベースのアプリケーションを可能にした。 しかし、このようなエージェントを敵の移動環境に配置する際のセキュリティ上の意味はよく分かっていない。 モバイルLLMエージェントのセキュリティリスクに関する最初の体系的研究について述べる。
• 参考スコア（独自算出の注目度）: 20.06531064708478
• License: http://creativecommons.org/licenses/by-nc-sa/4.0/
• Abstract: Large Language Models (LLMs) have transformed software development, enabling AI-powered applications known as LLM-based agents that promise to automate tasks across diverse apps and workflows. Yet, the security implications of deploying such agents in adversarial mobile environments remain poorly understood. In this paper, we present the first systematic study of security risks in mobile LLM agents. We design and evaluate a suite of adversarial case studies, ranging from opportunistic manipulations such as pop-up advertisements to advanced, end-to-end workflows involving malware installation and cross-app data exfiltration. Our evaluation covers eight state-of-the-art mobile agents across three architectures, with over 2,000 adversarial and paired benign trials. The results reveal systemic vulnerabilities: low-barrier vectors such as fraudulent ads succeed with over 80% reliability, while even workflows requiring the circumvention of operating-system warnings, such as malware installation, are consistently completed by advanced multi-app agents. By mapping these attacks to the MITRE ATT&CK Mobile framework, we uncover novel privilege-escalation and persistence pathways unique to LLM-driven automation. Collectively, our findings provide the first end-to-end evidence that mobile LLM agents are exploitable in realistic adversarial settings, where untrusted third-party channels (e.g., ads, embedded webviews, cross-app notifications) are an inherent part of the mobile ecosystem.
• Abstract（参考訳）: 大規模言語モデル(LLM)はソフトウェア開発を変革し、多様なアプリやワークフローでタスクを自動化することを約束するLLMベースのエージェントとして知られるAIベースのアプリケーションを可能にした。 しかし、このようなエージェントを敵の移動環境に配置する際のセキュリティ上の意味はよく分かっていない。 本稿では,モバイル LLM エージェントのセキュリティリスクに関する最初の体系的研究について述べる。 我々は、ポップアップ広告のような機会論的操作から、マルウェアのインストールやクロスアプリデータの流出を含む高度なエンドツーエンドのワークフローまで、一連の逆ケーススタディを設計し、評価する。 評価では,3つのアーキテクチャにまたがる8つの最先端のモバイルエージェントを対象とし,2000以上の敵対的およびペアの良心的試行を行った。 不正広告のような低障壁ベクトルは80%以上の信頼性で成功する一方、マルウェアインストールのようなオペレーティングシステム警告の回避を必要とするワークフローでさえ、高度なマルチアプリエージェントによって一貫して完了している。 これらの攻撃をMITRE ATT&CK Mobileフレームワークにマッピングすることで、LLM駆動の自動化に特有の新たな特権エスカレーションと永続性パスを明らかにする。 私たちの発見は、モバイルLLMエージェントが、信頼できないサードパーティチャネル(広告、組み込みWebビュー、クロスアプリ通知など)がモバイルエコシステムの本質的な部分である、現実的な敵の環境で活用可能であるという、最初のエンドツーエンドの証拠を提供する。

関連論文リスト

• Okara: Detection and Attribution of TLS Man-in-the-Middle Vulnerabilities in Android Apps with Foundation Models [3.9807330903947378]
  トランスポート層セキュリティ(TLS)は、オンライン通信のセキュア化に基本である。 Man-in-the-Middle(MitM)による攻撃は、Androidアプリにとって大きな脅威だ。 我々は,MitM脆弱性の検出と帰属を自動化するフレームワークであるOkaraを紹介する。
  論文  参考訳（メタデータ） (2026-01-30T09:49:09Z)
• Odysseus: Jailbreaking Commercial Multimodal LLM-integrated Systems via Dual Steganography [77.44136793431893]
  本稿では,悪質なクエリを隠蔽して良質な画像に埋め込むために,二重ステガノグラフィーを導入した新しいjailbreakパラダイムを提案する。 我々のOdysseusはいくつかの先駆的で現実的なMLLM統合システムを脱獄し、最大99%の攻撃成功率を達成した。
  論文  参考訳（メタデータ） (2025-12-23T08:53:36Z)
• OS-Sentinel: Towards Safety-Enhanced Mobile GUI Agents via Hybrid Validation in Realistic Workflows [77.95511352806261]
  VLM(Vision-Language Models)を利用したコンピュータ利用エージェントは、モバイルプラットフォームのようなデジタル環境を操作する上で、人間のような能力を実証している。 我々は,明示的なシステムレベルの違反を検出するための形式検証器と,文脈的リスクとエージェント行動を評価するコンテキスト判断器を組み合わせた,新しいハイブリッド安全検出フレームワークOS-Sentinelを提案する。
  論文  参考訳（メタデータ） (2025-10-28T13:22:39Z)
• AI Kill Switch for malicious web-based LLM agent [4.144114850905779]
  本稿では、悪意のあるWebベースのLLMエージェントの動作を停止できるAI Kill Switch技術を提案する。 鍵となるアイデアは、悪意のあるLLMエージェントの安全メカニズムをトリガーする防御的なプロンプトを生成することだ。 AutoGuardは、さまざまな悪意のあるエージェントに対して80%以上の防衛成功率(DSR)を達成する。
  論文  参考訳（メタデータ） (2025-09-26T02:20:46Z)
• BlockA2A: Towards Secure and Verifiable Agent-to-Agent Interoperability [8.539128225018489]
  BlockA2Aはエージェントとエージェントの相互運用性のための統合されたマルチエージェント信頼フレームワークである。 集中的な信頼ボトルネックを排除し、メッセージの信頼性と実行の整合性を確保し、エージェント間のインタラクションにおける説明責任を保証する。 ビザンチンエージェントのフラグング、リアクティブ実行停止、即時許可取り消しなど、リアルタイムメカニズムによる攻撃を中和する。
  論文  参考訳（メタデータ） (2025-08-02T11:59:21Z)
• The Dark Side of LLMs: Agent-based Attacks for Complete Computer Takeover [0.18472148461613155]
  大規模言語モデル(LLM)エージェントとマルチエージェントシステムは、前例のないセキュリティ脆弱性を導入している。 本稿では,自律エージェント内の推論エンジンとして使用されるLDMの安全性を総合的に評価する。 我々は、このような買収を組織するために、異なる攻撃面と信頼境界をどのように活用できるかに焦点を当てる。
  論文  参考訳（メタデータ） (2025-07-09T13:54:58Z)
• OpenAgentSafety: A Comprehensive Framework for Evaluating Real-World AI Agent Safety [58.201189860217724]
  OpenAgentSafetyは,8つの危機リスクカテゴリにまたがるエージェントの動作を評価する包括的なフレームワークである。 従来の作業とは異なり、我々のフレームワークは、Webブラウザ、コード実行環境、ファイルシステム、bashシェル、メッセージングプラットフォームなど、実際のツールと対話するエージェントを評価します。 ルールベースの分析とLSM-as-judgeアセスメントを組み合わせることで、過度な行動と微妙な不安全行動の両方を検出する。
  論文  参考訳（メタデータ） (2025-07-08T16:18:54Z)
• LLM Agents Should Employ Security Principles [60.03651084139836]
  本稿では,大規模言語モデル(LLM)エージェントを大規模に展開する際には,情報セキュリティの確立した設計原則を採用するべきであることを論じる。 AgentSandboxは、エージェントのライフサイクル全体を通して保護を提供するために、これらのセキュリティ原則を組み込んだ概念的なフレームワークである。
  論文  参考訳（メタデータ） (2025-05-29T21:39:08Z)
• SafeAgent: Safeguarding LLM Agents via an Automated Risk Simulator [77.86600052899156]
  LLM(Large Language Model)ベースのエージェントは、現実のアプリケーションにますますデプロイされる。 完全自動合成データ生成によるエージェント安全性を体系的に向上する最初のフレームワークであるAutoSafeを提案する。 AutoSafeは安全性のスコアを平均で45%向上させ、現実世界のタスクでは28.91%の改善を実現している。
  論文  参考訳（メタデータ） (2025-05-23T10:56:06Z)
• From Assistants to Adversaries: Exploring the Security Risks of Mobile LLM Agents [17.62574693254363]
  モバイル大言語モデル(LLM)の総合的セキュリティ解析について紹介する。 言語ベースの推論,GUIベースのインタラクション,システムレベルの実行という,3つのコア機能領域にわたるセキュリティ上の脅威を特定します。 分析の結果,11個の異なる攻撃面が明らかとなり,それぞれが移動型LDMエージェントのユニークな機能と相互作用パターンに根ざしていることがわかった。
  論文  参考訳（メタデータ） (2025-05-19T11:17:46Z)
• AgentVigil: Generic Black-Box Red-teaming for Indirect Prompt Injection against LLM Agents [54.29555239363013]
  本稿では,間接的なインジェクション脆弱性を自動的に検出し,悪用するための汎用的なブラックボックスファジリングフレームワークであるAgentVigilを提案する。 我々はAgentVigilをAgentDojoとVWA-advの2つの公開ベンチマークで評価し、o3-miniとGPT-4oに基づくエージェントに対して71%と70%の成功率を達成した。 攻撃を現実世界の環境に適用し、悪質なサイトを含む任意のURLに誘導するエージェントをうまく誘導する。
  論文  参考訳（メタデータ） (2025-05-09T07:40:17Z)
• Systematic Categorization, Construction and Evaluation of New Attacks against Multi-modal Mobile GUI Agents [16.559272781032632]
  本稿では,マルチモーダルなモバイルGUIエージェントのセキュリティを体系的に調査し,既存の文献におけるこの重大なギャップに対処する。 我々は,(1)新たな脅威モデリング手法を提案し,34件の未報告攻撃の発見・実現可能性分析を行い,(2)これらの脅威を体系的に構築・評価するアタック・フレームワークを設計する。
  論文  参考訳（メタデータ） (2024-07-12T14:30:05Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。