論文の概要: BackdoorAgent: A Unified Framework for Backdoor Attacks on LLM-based Agents

• arxiv url: http://arxiv.org/abs/2601.04566v1
• Date: Thu, 08 Jan 2026 03:49:39 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-01-09 17:01:53.025201
• Title: BackdoorAgent: A Unified Framework for Backdoor Attacks on LLM-based Agents
• Title（参考訳）: BackdoorAgent: LLMベースのエージェントによるバックドア攻撃のための統一フレームワーク
• Authors: Yunhao Feng, Yige Li, Yutao Wu, Yingshui Tan, Yanming Guo, Yifan Ding, Kun Zhai, Xingjun Ma, Yugang Jiang,
• Abstract要約: 大規模言語モデル(LLM)エージェントは、計画、メモリ、ツールの使用を組み合わせた多段階ワークフローを通じてタスクを実行する。 エージェントワークフローの特定のステージに注入されたバックドアトリガーは、複数の中間状態を通して持続し、下流出力に悪影響を及ぼす可能性がある。 LLMエージェントにおけるバックドア脅威を統一したエージェント中心のビューを提供するモジュールおよびステージアウェアフレームワークである textbfBackdoorAgent を提案する。
• 参考スコア（独自算出の注目度）: 58.83028403414688
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Large language model (LLM) agents execute tasks through multi-step workflows that combine planning, memory, and tool use. While this design enables autonomy, it also expands the attack surface for backdoor threats. Backdoor triggers injected into specific stages of an agent workflow can persist through multiple intermediate states and adversely influence downstream outputs. However, existing studies remain fragmented and typically analyze individual attack vectors in isolation, leaving the cross-stage interaction and propagation of backdoor triggers poorly understood from an agent-centric perspective. To fill this gap, we propose \textbf{BackdoorAgent}, a modular and stage-aware framework that provides a unified, agent-centric view of backdoor threats in LLM agents. BackdoorAgent structures the attack surface into three functional stages of agentic workflows, including \textbf{planning attacks}, \textbf{memory attacks}, and \textbf{tool-use attacks}, and instruments agent execution to enable systematic analysis of trigger activation and propagation across different stages. Building on this framework, we construct a standardized benchmark spanning four representative agent applications: \textbf{Agent QA}, \textbf{Agent Code}, \textbf{Agent Web}, and \textbf{Agent Drive}, covering both language-only and multimodal settings. Our empirical analysis shows that \textit{triggers implanted at a single stage can persist across multiple steps and propagate through intermediate states.} For instance, when using a GPT-based backbone, we observe trigger persistence in 43.58\% of planning attacks, 77.97\% of memory attacks, and 60.28\% of tool-stage attacks, highlighting the vulnerabilities of the agentic workflow itself to backdoor threats. To facilitate reproducibility and future research, our code and benchmark are publicly available at GitHub.
• Abstract（参考訳）: 大規模言語モデル(LLM)エージェントは、計画、メモリ、ツールの使用を組み合わせた多段階ワークフローを通じてタスクを実行する。 この設計は自律性を実現するが、バックドアの脅威に対する攻撃面も拡張する。 エージェントワークフローの特定のステージに注入されたバックドアトリガーは、複数の中間状態を通して持続し、下流出力に悪影響を及ぼす可能性がある。 しかし、既存の研究は断片化され続け、通常は個別の攻撃ベクトルを分離して分析し、エージェント中心の観点からは、裏口の引き金の相互相互作用や伝播があまり理解されていないままである。 このギャップを埋めるために、LLMエージェントにおけるバックドア脅威の統一されたエージェント中心のビューを提供するモジュラーでステージ対応のフレームワークである‘textbf{BackdoorAgent} を提案する。 BackdoorAgentは、攻撃表面を、 \textbf{planning attack}、 \textbf{Memory attack}、 \textbf{tool-use attack}を含むエージェントワークフローの3つの機能的なステージに構成し、異なるステージにわたるトリガアクティベーションと伝播の体系的な分析を可能にするための機器エージェントの実行を可能にする。 本フレームワークは, 4つの代表エージェントアプリケーションにまたがる標準ベンチマークを構築し, 言語のみの設定とマルチモーダル設定の両方をカバーする。 実験により, 単一段階に移植した<textit{triggers</textit{triggers</textit</text>は複数の段階にまたがって持続し, 中間状態を通して伝播することを示した。 例えば、GPTベースのバックボーンを使用する場合、計画攻撃の43.58 %、メモリ攻撃の77.97 %、ツールステージ攻撃の60.28 %でトリガ永続性を観察し、エージェントワークフロー自体の脆弱性をバックドア脅威に強調する。 再現性と今後の研究を容易にするため、私たちのコードとベンチマークはGitHubで公開されています。

関連論文リスト

• AutoBackdoor: Automating Backdoor Attacks via LLM Agents [35.216857373810875]
  バックドア攻撃は、大規模言語モデル(LLM)の安全なデプロイに深刻な脅威をもたらす 本研究では,バックドアインジェクションを自動化するための一般的なフレームワークであるtextscAutoBackdoorを紹介する。 従来のアプローチとは異なり、AutoBackdoorは強力な言語モデルエージェントを使用して、セマンティックコヒーレントでコンテキスト対応のトリガーフレーズを生成する。
  論文  参考訳（メタデータ） (2025-11-20T03:58:54Z)
• Your Agent Can Defend Itself against Backdoor Attacks [0.0]
  大規模言語モデル(LLM)を駆使したエージェントは、トレーニングと微調整の間、バックドア攻撃による重大なセキュリティリスクに直面している。 本稿では,LDMをベースとしたエージェントに対するバックドア攻撃に対する新たな防御策であるReAgentを紹介する。
  論文  参考訳（メタデータ） (2025-06-10T01:45:56Z)
• AgentVigil: Generic Black-Box Red-teaming for Indirect Prompt Injection against LLM Agents [54.29555239363013]
  本稿では,間接的なインジェクション脆弱性を自動的に検出し,悪用するための汎用的なブラックボックスファジリングフレームワークであるAgentVigilを提案する。 我々はAgentVigilをAgentDojoとVWA-advの2つの公開ベンチマークで評価し、o3-miniとGPT-4oに基づくエージェントに対して71%と70%の成功率を達成した。 攻撃を現実世界の環境に適用し、悪質なサイトを含む任意のURLに誘導するエージェントをうまく誘導する。
  論文  参考訳（メタデータ） (2025-05-09T07:40:17Z)
• Watch Out for Your Agents! Investigating Backdoor Threats to LLM-Based Agents [47.219047422240145]
  我々は、LSMベースのエージェントに対して、典型的な安全脅威であるバックドアアタックの1つを調査する第一歩を踏み出した。 具体的には、ユーザ入力とモデル出力のみを操作できる従来のLDMに対するバックドア攻撃と比較して、エージェントバックドア攻撃はより多様で隠蔽的な形式を示す。
  論文  参考訳（メタデータ） (2024-02-17T06:48:45Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。