論文の概要: Zero-Trust Runtime Verification for Agentic Payment Protocols: Mitigating Replay and Context-Binding Failures in AP2
- arxiv url: http://arxiv.org/abs/2602.06345v1
- Date: Fri, 06 Feb 2026 03:22:11 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-02-09 22:18:26.208314
- Title: Zero-Trust Runtime Verification for Agentic Payment Protocols: Mitigating Replay and Context-Binding Failures in AP2
- Title(参考訳): エージェント支払いプロトコルのゼロトラストランタイム検証: AP2におけるリプレイとコンテキストバインディング障害の軽減
- Authors: Qianlong Lan, Anuj Kaul, Shaun Jones, Stephanie Westrum,
- Abstract要約: 本稿ではエージェントベースの決済システムにおいて,AP2管理ライフサイクルのセキュリティ分析を行い,実行中に発生する強制的ギャップを識別する。
本稿では,明示的なコンテキストバインディングとコンシューム・オンス・マンデート・セマンティクスを適用したゼロトラストランタイム検証フレームワークを提案する。
本稿では,コンテキストアウェアバインディングとコンシューム・オンス・エグゼクティブ・アドレスの区別と相補的アタック・クラスを示すとともに,リプレイとコンテキスト・リダイレクト・アタックの防止に必要であることを示す。
- 参考スコア(独自算出の注目度): 0.0
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: The deployment of autonomous AI agents capable of executing commercial transactions has motivated the adoption of mandate-based payment authorization protocols, including the Universal Commerce Protocol (UCP) and the Agent Payments Protocol (AP2). These protocols replace interactive, session-based authorization with cryptographically issued mandates, enabling asynchronous and autonomous execution. While AP2 provides specification-level guarantees through signature verification, explicit binding, and expiration semantics, real-world agentic execution introduces runtime behaviors such as retries, concurrency, and orchestration that challenge implicit assumptions about mandate usage. In this work, we present a security analysis of the AP2 mandate lifecycle and identify enforcement gaps that arise during runtime in agent-based payment systems. We propose a zero-trust runtime verification framework that enforces explicit context binding and consume-once mandate semantics using dynamically generated, time-bound nonces, ensuring that authorization decisions are evaluated at execution time rather than assumed from static issuance properties. Through simulation-based evaluation under high concurrency, we show that context-aware binding and consume-once enforcement address distinct and complementary attack classes, and that both are required to prevent replay and context-redirect attacks. The proposed framework mitigates all evaluated attacks while maintaining stable verification latency of approximately 3.8~ms at throughput levels up to 10{,}000 transactions per second. We further demonstrate that the required runtime state is bounded by peak concurrency rather than cumulative transaction history, indicating that robust runtime security for agentic payment execution can be achieved with minimal and predictable overhead.
- Abstract(参考訳): 商業取引を実行できる自律型AIエージェントの配備は、ユニバーサルコマースプロトコル(UCP)やエージェント支払いプロトコル(AP2)を含む、委任ベースの支払い許可プロトコルの採用を動機付けている。
これらのプロトコルは、インタラクティブなセッションベースの認証を暗号化された委任状に置き換え、非同期かつ自律的な実行を可能にする。
AP2はシグネチャ検証、明示的なバインディング、有効期限セマンティクスを通じて仕様レベルの保証を提供するが、現実のエージェント実行では、リトライや並行処理、オーケストレーションといった実行時の動作を導入し、命令の使用に関する暗黙の仮定に挑戦する。
本研究では,エージェントベースの決済システムにおいて,AP2管理ライフサイクルのセキュリティ分析を行い,実行中に発生する強制的ギャップを特定する。
静的な発行特性から仮定されるのではなく,実行時に承認決定が評価されることを保証するため,動的に生成された時間境界のナンスを用いて,明示的なコンテキストバインディングとコンシューム・オンス・マンデートセマンティクスを適用したゼロトラストランタイム検証フレームワークを提案する。
高並列性下でのシミュレーションに基づく評価により、コンテキスト対応のバインディングとコンシューム・オンス・エグゼクティブ・アタック・クラスを区別し、リプレイとコンテクスト・リダイレクト・アタックの防止に必要であることを示す。
提案フレームワークは,スループットレベルで約3.8~msの安定した検証レイテンシを1秒あたり10{,}000トランザクションまで維持しながら,評価されたすべての攻撃を緩和する。
さらに、必要なランタイム状態は累積トランザクション履歴ではなく、ピーク並行性によって境界付けられており、エージェント支払いの実行に対する堅牢なランタイムセキュリティは、最小限かつ予測可能なオーバーヘッドで達成可能であることを示す。
関連論文リスト
- Faramesh: A Protocol-Agnostic Execution Control Plane for Autonomous Agent Systems [0.0]
Farameshはプロトコルに依存しない実行制御プレーンで、エージェント駆動アクションの実行時間認証を強制する。
これらのプリミティブが自律的な実行に対して、強制可能で予測可能なガバナンスを実現する方法を示します。
論文 参考訳(メタデータ) (2026-01-25T08:27:27Z) - Preventing the Collapse of Peer Review Requires Verification-First AI [49.995126139461085]
我々は、真理結合、すなわち、過度に科学的真理をトラックする場所のスコアの厳密さを提案する。
プロキシ・ソブリン評価に向けた相転移を駆動する2つの力の形式化を行う。
論文 参考訳(メタデータ) (2026-01-23T17:17:32Z) - Towards Verifiably Safe Tool Use for LLM Agents [53.55621104327779]
大規模言語モデル(LLM)ベースのAIエージェントは、データソース、API、検索エンジン、コードサンドボックス、さらにはその他のエージェントなどのツールへのアクセスを可能にすることで、機能を拡張する。
LLMは意図しないツールインタラクションを起動し、機密データを漏洩したり、クリティカルレコードを上書きしたりするリスクを発生させる。
モデルベースセーフガードのようなリスクを軽減するための現在のアプローチは、エージェントの信頼性を高めるが、システムの安全性を保証することはできない。
論文 参考訳(メタデータ) (2026-01-12T21:31:38Z) - VIGIL: Defending LLM Agents Against Tool Stream Injection via Verify-Before-Commit [44.24310459184061]
オープン環境で動作するLLMエージェントは、間接的なプロンプトインジェクションによるエスカレーションリスクに直面している。
制約的分離から検証前コミットプロトコルへパラダイムをシフトするフレームワークである textbfVIGIL を提案する。
論文 参考訳(メタデータ) (2026-01-09T12:19:49Z) - SmartSnap: Proactive Evidence Seeking for Self-Verifying Agents [45.71333459905404]
SmartSnapは、受動的でポストホックな検証から、エージェント自身による積極的な自己検証へのパラダイムシフトである。
両ミッションで設計された新しいタイプのエージェントである「自己検証エージェント」を導入し、タスクを完了し、検証された証拠でその達成を証明した。
モデルファミリとスケールにわたるモバイルタスクの実験は、SmartSnapパラダイムによって、スケーラブルなLLM駆動エージェントのトレーニングが可能になることを実証しています。
論文 参考訳(メタデータ) (2025-12-26T14:51:39Z) - Binding Agent ID: Unleashing the Power of AI Agents with accountability and credibility [46.323590135279126]
BAID(Binding Agent ID)は、検証可能なユーザコードバインディングを確立するための総合的なアイデンティティ基盤である。
ブロックチェーンベースのID管理とzkVMベースの認証プロトコルの実現可能性を実証し、完全なプロトタイプシステムの実装と評価を行った。
論文 参考訳(メタデータ) (2025-12-19T13:01:54Z) - Agentic JWT: A Secure Delegation Protocol for Autonomous AI Agents [0.6747475365990533]
エージェント設定の推論、プロンプトインジェクション、マルチエージェントオーケストレーションは、サイレントに特権を拡張することができる。
本稿では,エージェントのアクションをユーザインテントにバインドする2面インテントトークンであるAgentic JWT(A-JWT)を紹介する。
A-JWTはエージェントのアイデンティティを、そのプロンプト、ツール、設定から派生したワンウェイハッシュとして保持する。
論文 参考訳(メタデータ) (2025-09-16T23:43:24Z) - BlockA2A: Towards Secure and Verifiable Agent-to-Agent Interoperability [8.539128225018489]
BlockA2Aはエージェントとエージェントの相互運用性のための統合されたマルチエージェント信頼フレームワークである。
集中的な信頼ボトルネックを排除し、メッセージの信頼性と実行の整合性を確保し、エージェント間のインタラクションにおける説明責任を保証する。
ビザンチンエージェントのフラグング、リアクティブ実行停止、即時許可取り消しなど、リアルタイムメカニズムによる攻撃を中和する。
論文 参考訳(メタデータ) (2025-08-02T11:59:21Z) - SOPBench: Evaluating Language Agents at Following Standard Operating Procedures and Constraints [59.645885492637845]
SOPBenchは、各サービス固有のSOPコードプログラムを実行可能な関数の有向グラフに変換する評価パイプラインである。
提案手法では,各サービス固有のSOPコードプログラムを実行可能関数の有向グラフに変換し,自然言語SOP記述に基づいてこれらの関数を呼び出しなければならない。
我々は18の先行モデルを評価し、上位モデルでさえタスクが困難であることを示す。
論文 参考訳(メタデータ) (2025-03-11T17:53:02Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。