論文の概要: BackdoorAgent: A Unified Framework for Backdoor Attacks on LLM-based Agents

• arxiv url: http://arxiv.org/abs/2601.04566v2
• Date: Sun, 11 Jan 2026 08:47:08 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-01-13 15:02:56.471459
• Title: BackdoorAgent: A Unified Framework for Backdoor Attacks on LLM-based Agents
• Title（参考訳）: BackdoorAgent: LLMベースのエージェントによるバックドア攻撃のための統一フレームワーク
• Authors: Yunhao Feng, Yige Li, Yutao Wu, Yingshui Tan, Yanming Guo, Yifan Ding, Kun Zhai, Xingjun Ma, Yu-Gang Jiang,
• Abstract要約: 大規模言語モデル(LLM)エージェントは、計画、メモリ、ツールの使用を組み合わせた多段階ワークフローを通じてタスクを実行する。 エージェントワークフローの特定のステージに注入されたバックドアトリガーは、複数の中間状態を通して持続し、下流出力に悪影響を及ぼす可能性がある。 LLMエージェントにおけるバックドア脅威を統一したエージェント中心のビューを提供するモジュールおよびステージアウェアフレームワークである textbfBackdoorAgent を提案する。
• 参考スコア（独自算出の注目度）: 58.83028403414688
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Large language model (LLM) agents execute tasks through multi-step workflows that combine planning, memory, and tool use. While this design enables autonomy, it also expands the attack surface for backdoor threats. Backdoor triggers injected into specific stages of an agent workflow can persist through multiple intermediate states and adversely influence downstream outputs. However, existing studies remain fragmented and typically analyze individual attack vectors in isolation, leaving the cross-stage interaction and propagation of backdoor triggers poorly understood from an agent-centric perspective. To fill this gap, we propose \textbf{BackdoorAgent}, a modular and stage-aware framework that provides a unified, agent-centric view of backdoor threats in LLM agents. BackdoorAgent structures the attack surface into three functional stages of agentic workflows, including \textbf{planning attacks}, \textbf{memory attacks}, and \textbf{tool-use attacks}, and instruments agent execution to enable systematic analysis of trigger activation and propagation across different stages. Building on this framework, we construct a standardized benchmark spanning four representative agent applications: \textbf{Agent QA}, \textbf{Agent Code}, \textbf{Agent Web}, and \textbf{Agent Drive}, covering both language-only and multimodal settings. Our empirical analysis shows that \textit{triggers implanted at a single stage can persist across multiple steps and propagate through intermediate states.} For instance, when using a GPT-based backbone, we observe trigger persistence in 43.58\% of planning attacks, 77.97\% of memory attacks, and 60.28\% of tool-stage attacks, highlighting the vulnerabilities of the agentic workflow itself to backdoor threats. To facilitate reproducibility and future research, our code and benchmark are publicly available at GitHub.
• Abstract（参考訳）: 大規模言語モデル(LLM)エージェントは、計画、メモリ、ツールの使用を組み合わせた多段階ワークフローを通じてタスクを実行する。 この設計は自律性を実現するが、バックドアの脅威に対する攻撃面も拡張する。 エージェントワークフローの特定のステージに注入されたバックドアトリガーは、複数の中間状態を通して持続し、下流出力に悪影響を及ぼす可能性がある。 しかし、既存の研究は断片化され続け、通常は個別の攻撃ベクトルを分離して分析し、エージェント中心の観点からは、裏口の引き金の相互相互作用や伝播があまり理解されていないままである。 このギャップを埋めるために、LLMエージェントにおけるバックドア脅威の統一されたエージェント中心のビューを提供するモジュラーでステージ対応のフレームワークである‘textbf{BackdoorAgent} を提案する。 BackdoorAgentは、攻撃表面を、 \textbf{planning attack}、 \textbf{Memory attack}、 \textbf{tool-use attack}を含むエージェントワークフローの3つの機能的なステージに構成し、異なるステージにわたるトリガアクティベーションと伝播の体系的な分析を可能にするための機器エージェントの実行を可能にする。 本フレームワークは, 4つの代表エージェントアプリケーションにまたがる標準ベンチマークを構築し, 言語のみの設定とマルチモーダル設定の両方をカバーする。 実験により, 単一段階に移植した<textit{triggers</textit{triggers</textit</text>は複数の段階にまたがって持続し, 中間状態を通して伝播することを示した。 例えば、GPTベースのバックボーンを使用する場合、計画攻撃の43.58 %、メモリ攻撃の77.97 %、ツールステージ攻撃の60.28 %でトリガ永続性を観察し、エージェントワークフロー自体の脆弱性をバックドア脅威に強調する。 再現性と今後の研究を容易にするため、私たちのコードとベンチマークはGitHubで公開されています。

関連論文リスト

• AgentSentry: Mitigating Indirect Prompt Injection in LLM Agents via Temporal Causal Diagnostics and Context Purification [25.817251923574286]
  大規模言語モデル(LLM)エージェントのための新しい推論時間検出・緩和フレームワークを提案する。 AgentSentryは、時間的因果的テイクオーバーとしてマルチターンIPIをモデル化する最初の推論時防御である。 我々は, textscAgentDojo ベンチマークにおいて, 4つのタスクスイート, 3つの IPI 攻撃ファミリー, 複数のブラックボックス LLM に対する AgentSentry の評価を行った。
  論文  参考訳（メタデータ） (2026-02-26T07:59:10Z)
• Zombie Agents: Persistent Control of Self-Evolving LLM Agents via Self-Reinforcing Injections [57.64370755825839]
  セルフ進化エージェントはセッション間で内部状態を更新する。 我々はこのリスクを調査し、Zombie Agentと呼ばれる永続的な攻撃を形式化する。 我々は,攻撃者が制御するWebコンテンツを通じて間接的露光のみを使用するブラックボックス攻撃フレームワークを提案する。
  論文  参考訳（メタデータ） (2026-02-17T15:28:24Z)
• OMNI-LEAK: Orchestrator Multi-Agent Network Induced Data Leakage [59.3826294523924]
  オーケストレータ設定として知られる,一般的なマルチエージェントパターンのセキュリティ脆弱性について検討する。 本報告では,フロンティアモデルの攻撃カテゴリに対する感受性を報告し,推論モデルと非推論モデルの両方が脆弱であることが確認された。
  論文  参考訳（メタデータ） (2026-02-13T21:32:32Z)
• ToolSafe: Enhancing Tool Invocation Safety of LLM-based agents via Proactive Step-level Guardrail and Feedback [53.2744585868162]
  エージェントのデプロイには、ステップレベルのツールの実行動作をリアルタイムで監視することが不可欠だ。 LLMエージェントにおけるステップレベルツール起動安全検出のための新しいベンチマークであるTS-Benchを構築した。 次に,マルチタスク強化学習を用いたガードレールモデルTS-Guardを開発した。
  論文  参考訳（メタデータ） (2026-01-15T07:54:32Z)
• AutoBackdoor: Automating Backdoor Attacks via LLM Agents [35.216857373810875]
  バックドア攻撃は、大規模言語モデル(LLM)の安全なデプロイに深刻な脅威をもたらす 本研究では,バックドアインジェクションを自動化するための一般的なフレームワークであるtextscAutoBackdoorを紹介する。 従来のアプローチとは異なり、AutoBackdoorは強力な言語モデルエージェントを使用して、セマンティックコヒーレントでコンテキスト対応のトリガーフレーズを生成する。
  論文  参考訳（メタデータ） (2025-11-20T03:58:54Z)
• Collaborative Shadows: Distributed Backdoor Attacks in LLM-Based Multi-Agent Systems [30.50143789643111]
  マルチエージェントシステム(MAS)に対応した最初の分散バックドアアタックを提示する。 我々の攻撃は、良質なタスクの性能を低下させることなく、95%以上の攻撃成功率を達成する。 この作業は、エージェントのコラボレーションを活用する新しいバックドアアタックサーフェスを公開し、単一エージェント保護を超えた移動の必要性を強調している。
  論文  参考訳（メタデータ） (2025-10-13T10:34:05Z)
• Your Agent Can Defend Itself against Backdoor Attacks [0.0]
  大規模言語モデル(LLM)を駆使したエージェントは、トレーニングと微調整の間、バックドア攻撃による重大なセキュリティリスクに直面している。 本稿では,LDMをベースとしたエージェントに対するバックドア攻撃に対する新たな防御策であるReAgentを紹介する。
  論文  参考訳（メタデータ） (2025-06-10T01:45:56Z)
• AgentVigil: Generic Black-Box Red-teaming for Indirect Prompt Injection against LLM Agents [54.29555239363013]
  本稿では,間接的なインジェクション脆弱性を自動的に検出し,悪用するための汎用的なブラックボックスファジリングフレームワークであるAgentVigilを提案する。 我々はAgentVigilをAgentDojoとVWA-advの2つの公開ベンチマークで評価し、o3-miniとGPT-4oに基づくエージェントに対して71%と70%の成功率を達成した。 攻撃を現実世界の環境に適用し、悪質なサイトを含む任意のURLに誘導するエージェントをうまく誘導する。
  論文  参考訳（メタデータ） (2025-05-09T07:40:17Z)
• Watch Out for Your Agents! Investigating Backdoor Threats to LLM-Based Agents [47.219047422240145]
  我々は、LSMベースのエージェントに対して、典型的な安全脅威であるバックドアアタックの1つを調査する第一歩を踏み出した。 具体的には、ユーザ入力とモデル出力のみを操作できる従来のLDMに対するバックドア攻撃と比較して、エージェントバックドア攻撃はより多様で隠蔽的な形式を示す。
  論文  参考訳（メタデータ） (2024-02-17T06:48:45Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。