論文の概要: Clawdrain: Exploiting Tool-Calling Chains for Stealthy Token Exhaustion in OpenClaw Agents
- arxiv url: http://arxiv.org/abs/2603.00902v1
- Date: Sun, 01 Mar 2026 03:49:05 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-03-03 19:50:56.403434
- Title: Clawdrain: Exploiting Tool-Calling Chains for Stealthy Token Exhaustion in OpenClaw Agents
- Title(参考訳): Clawdrain: OpenClawエージェントのステルストーケン排ガス用ツールカートリングチェインの爆発
- Authors: Ben Dong, Hui Feng, Qian Wang,
- Abstract要約: 我々は、マルチターン「セグメンテッド検証プロトコル」を誘導するトロヤ化スキルであるClawdrainを設計、実装、評価する。
良質なベースライン上での6-7倍のトークン増幅を計測し、コストのかかる障害構成を約9倍に設定する。
我々は、SKILL.mdプロンプト肥大、持続的なツール出力汚染、cron/heartbeat周波数増幅、行動インジェクションを含むOpenClawのアーキテクチャによって実現されたプロダクションベクターを同定する。
- 参考スコア(独自算出の注目度): 5.281697362177691
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Modern generative agents such as OpenClaw - an open-source, self-hosted personal assistant with a community skill ecosystem, are gaining attention and are used pervasively. However, the openness and rapid growth of these ecosystems often outpace systematic security evaluation. In this paper, we design, implement, and evaluate Clawdrain, a Trojanized skill that induces a multi-turn "Segmented Verification Protocol" via injected SKILL.md instructions and a companion script that returns PROGRESS/REPAIR/TERMINAL signals. We deploy Clawdrain in a production-like OpenClaw instance with real API billing and a production model (Gemini 2.5 Pro), and we measure 6-7x token amplification over a benign baseline, with a costly, failure configuration reaching approximately 9x. We observe a deployment-only phenomenon: the agent autonomously composes general-purpose tools (e.g., shell/Python) to route around brittle protocol steps, reducing amplification and altering attack dynamics. Finally, we identify production vectors enabled by OpenClaw's architecture, including SKILL.md prompt bloat, persistent tool-output pollution, cron/heartbeat frequency amplification, and behavioral instruction injection. Overall, we demonstrate that token-drain attacks remain feasible in real deployments, but their magnitude and observability are shaped by tool composition, recovery behavior, and interface design.
- Abstract(参考訳): コミュニティスキルのエコシステムを備えたオープンソースで自己ホスト型パーソナルアシスタントであるOpenClawのような現代的な生成エージェントが注目され、広く使用されている。
しかし、これらの生態系の開放性と急速な成長は、しばしば体系的なセキュリティ評価よりも優れている。
本稿では,SKILL.md命令を注入してマルチターン"Segmented Verification Protocol"を誘導するトロイアン化スキルであるClawdrainの設計,実装,評価を行う。
私たちはClawdrainを実際のAPI課金とプロダクションモデル(Gemini 2.5 Pro)を備えた運用ライクなOpenClawインスタンスにデプロイし、良質なベースライン上で6-7倍のトークン増幅を測定します。
エージェントは、脆弱なプロトコルステップを回避するための汎用ツール(例えばシェル/Python)を自律的に構成し、増幅を低減し、攻撃ダイナミクスを変化させる。
最後に、SKILL.mdプロンプト肥大、持続的なツール出力汚染、cron/heartbeat周波数増幅、行動インジェクションなど、OpenClawのアーキテクチャによって実現されたプロダクションベクターを同定する。
全体として、実際のデプロイではトークンドレイン攻撃は可能であり続けるが、その大きさと可観測性は、ツール構成、リカバリ動作、インターフェース設計によって形成されている。
関連論文リスト
- A Trajectory-Based Safety Audit of Clawdbot (OpenClaw) [77.1549110891026]
6つのリスク次元にわたるClawdbotの軌道中心評価について述べる。
我々は、完全なインタラクショントラジェクトリ(メッセージ、アクション、ツールコール引数/アウトプット)をログし、自動化されたトラジェクトリ判断とヒューマンレビューの両方を使用して安全性を評価する。
論文 参考訳(メタデータ) (2026-02-16T00:33:02Z) - CaMeLs Can Use Computers Too: System-level Security for Computer Use Agents [60.98294016925157]
AIエージェントは、悪意のあるコンテンツがエージェントの行動をハイジャックして認証情報を盗んだり、金銭的損失を引き起こすような、インジェクション攻撃に弱い。
CUAのためのシングルショットプランニングでは、信頼できるプランナーが、潜在的に悪意のあるコンテンツを観察する前に、条件付きブランチで完全な実行グラフを生成する。
このアーキテクチャ分離は命令インジェクションを効果的に防止するが、ブランチステアリング攻撃を防ぐには追加の対策が必要であることを示す。
論文 参考訳(メタデータ) (2026-01-14T23:06:35Z) - Engineering Attack Vectors and Detecting Anomalies in Additive Manufacturing [0.13999481573773068]
筆者らはCrealityのフラッグシップモデルK1 MaxとEnder 3の2種類のFDMシステムに対するサイバー攻撃について検討した。
我々の脅威モデルはマルチレイヤーのMan-in-the-Middle(MitM)侵入であり、敵はユーザインターフェースからプリンタファームウェアへのアップロード中にGコードファイルをインターセプトし、操作する。
実版印刷時に発生する構造化機械ログを解析する非教師なし侵入検知システム(IDS)を提案する。
論文 参考訳(メタデータ) (2026-01-01T16:27:52Z) - LeechHijack: Covert Computational Resource Exploitation in Intelligent Agent Systems [16.733120469524152]
大規模言語モデル(LLM)ベースのエージェントは、推論、計画、ツールの使用において顕著な能力を示した。
最近提案された Model Context Protocol (MCP) は,外部ツールをエージェントシステムに統合するための統合フレームワークとして登場した。
本稿では, エージェントの計算資源を隠蔽する逆MSPツールを用いて, ハイジャックのための潜伏埋め込みエクスプロイトであるLeechHijackを提案する。
論文 参考訳(メタデータ) (2025-12-02T01:34:56Z) - The Trojan Knowledge: Bypassing Commercial LLM Guardrails via Harmless Prompt Weaving and Adaptive Tree Search [58.8834056209347]
大規模言語モデル(LLM)は、有害な出力を誘導するために安全ガードレールをバイパスするジェイルブレイク攻撃に弱いままである。
CKA-Agent(Correlated Knowledge Attack Agent)は、ターゲットモデルの知識基盤の適応的木構造探索としてジェイルブレイクを再構成する動的フレームワークである。
論文 参考訳(メタデータ) (2025-12-01T07:05:23Z) - The 'Sure' Trap: Multi-Scale Poisoning Analysis of Stealthy Compliance-Only Backdoors in Fine-Tuned Large Language Models [10.377264470934843]
大きな言語モデルに対するバックドア攻撃は、通常、暗黙の悪意のある出力に秘密のトリガーを伴います。
我々はコンプライアンスのみのバックドアを導入し、ほぼ良質なデータセットで教師付き微調整を行い、プロンプトの小さなサブセットを任意の単一ワードトリガでサフィックスする。
本研究は, 毒性予算, 総微調整データセットサイズ, モデルサイズにまたがる, この良性ラベル中毒行動のマルチスケール解析を行った。
論文 参考訳(メタデータ) (2025-11-16T02:01:58Z) - Adaptive Attacks on Trusted Monitors Subvert AI Control Protocols [80.68060125494645]
プロトコルとモニタモデルを知っている信頼できないモデルによるアダプティブアタックについて検討する。
我々は、攻撃者がモデル出力に公知またはゼロショットプロンプトインジェクションを埋め込む単純な適応攻撃ベクトルをインスタンス化する。
論文 参考訳(メタデータ) (2025-10-10T15:12:44Z) - Cuckoo Attack: Stealthy and Persistent Attacks Against AI-IDE [64.47951172662745]
Cuckoo Attackは、悪意のあるペイロードを構成ファイルに埋め込むことで、ステルス性と永続的なコマンド実行を実現する新しい攻撃である。
攻撃パラダイムを初期感染と持続性という2つの段階に分類する。
当社は、ベンダーが製品のセキュリティを評価するために、実行可能な7つのチェックポイントを提供しています。
論文 参考訳(メタデータ) (2025-09-19T04:10:52Z) - μRL: Discovering Transient Execution Vulnerabilities Using Reinforcement Learning [4.938372714332782]
本稿では,SpectreやMeltdownといったマイクロアーキテクチャの脆弱性を発見する上での課題に対して,強化学習を用いることを提案する。
我々のRLエージェントはプロセッサと対話し、リアルタイムフィードバックから学び、命令シーケンスを優先順位付けすることで脆弱性を明らかにする。
論文 参考訳(メタデータ) (2025-02-20T06:42:03Z) - ASPIRER: Bypassing System Prompts With Permutation-based Backdoors in LLMs [17.853862145962292]
システムプロンプトを体系的に回避する新しいバックドアアタックを導入する。
本手法は,98.58%のクリーン精度(CACC)を維持しつつ,攻撃成功率(ASR)を99.50%まで達成する。
論文 参考訳(メタデータ) (2024-10-05T02:58:20Z) - Lazy Layers to Make Fine-Tuned Diffusion Models More Traceable [70.77600345240867]
新たな任意の任意配置(AIAO)戦略は、微調整による除去に耐性を持たせる。
拡散モデルの入力/出力空間のバックドアを設計する既存の手法とは異なり,本手法では,サンプルサブパスの特徴空間にバックドアを埋め込む方法を提案する。
MS-COCO,AFHQ,LSUN,CUB-200,DreamBoothの各データセットに関する実証研究により,AIAOの堅牢性が確認された。
論文 参考訳(メタデータ) (2024-05-01T12:03:39Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。