論文の概要: ChainFuzzer: Greybox Fuzzing for Workflow-Level Multi-Tool Vulnerabilities in LLM Agents

• arxiv url: http://arxiv.org/abs/2603.12614v1
• Date: Fri, 13 Mar 2026 03:35:54 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-03-16 17:38:11.877311
• Title: ChainFuzzer: Greybox Fuzzing for Workflow-Level Multi-Tool Vulnerabilities in LLM Agents
• Title（参考訳）: ChainFuzzer: LLMエージェントのワークフローレベルマルチツール脆弱性に対するGreybox Fuzzing
• Authors: Jiangrong Wu, Zitong Yao, Yuhong Nan, Zibin Zheng,
• Abstract要約: ChainFuzzerは、監査可能なエビデンスでマルチツール脆弱性を発見し再現するためのフレームワークである。 20の人気のあるLLMエージェントアプリ(998ツール)上でChainFuzzerを評価する。
• 参考スコア（独自算出の注目度）: 42.37163874052913
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Tool-augmented LLM agents increasingly rely on multi-step, multi-tool workflows to complete real tasks. This design expands the attack surface, because data produced by one tool can be persisted and later reused as input to another tool, enabling exploitable source-to-sink dataflows that only emerge through tool composition. We study this risk as multi-tool vulnerabilities in LLM agents, and show that existing discovery efforts focused on single-tool or single-hop testing miss these long-horizon behaviors and provide limited debugging value. We present ChainFuzzer, a greybox framework for discovering and reproducing multi-tool vulnerabilities with auditable evidence. ChainFuzzer (i) identifies high-impact operations with strict source-to-sink dataflow evidence and extracts plausible upstream candidate tool chains based on cross-tool dependencies, (ii) uses Trace-guided Prompt Solving (TPS) to synthesize stable prompts that reliably drive the agent to execute target chains, and (iii) performs guardrail-aware fuzzing to reproduce vulnerabilities under LLM guardrails via payload mutation and sink-specific oracles. We evaluate ChainFuzzer on 20 popular open-source LLM agent apps (998 tools). ChainFuzzer extracts 2,388 candidate tool chains and synthesizes 2,213 stable prompts, confirming 365 unique, reproducible vulnerabilities across 19/20 apps (302 require multi-tool execution). Component evaluation shows tool-chain extraction achieves 96.49% edge precision and 91.50% strict chain precision; TPS increases chain reachability from 27.05% to 95.45%; guardrail-aware fuzzing boosts payload-level trigger rate from 18.20% to 88.60%. Overall, ChainFuzzer achieves 3.02 vulnerabilities per 1M tokens, providing a practical foundation for testing and hardening real-world multi-tool agent systems.
• Abstract（参考訳）: ツール拡張LDMエージェントは、実際のタスクを完了させるために、多段階のマルチツールワークフローに依存している。 この設計は、あるツールが生成したデータを他のツールへのインプットとして再利用できるため、攻撃面を拡大する。 LLMエージェントのマルチツール脆弱性としてこのリスクについて検討し、単一ツールやシングルホップテストに焦点をあてた既存の発見努力が、これらの長い水平動作を見逃し、デバッグ値が制限されていることを示す。 ChainFuzzer(リンク)は、監査可能なエビデンスでマルチツール脆弱性を発見し再現するためのグレイボックスフレームワークである。 ChainFuzzer (i)厳密なソース・ツー・シンクデータフローエビデンスによるハイインパクトな操作を特定し、クロスツール依存関係に基づいて、有効な上流候補ツールチェーンを抽出する。 (ii)TPS(Trace-guided Prompt Solving)を用いて安定したプロンプトを合成し、エージェントが確実にターゲットチェーンを実行するように駆動し、 三) LLMガードレールの下で、ペイロードの変異とシンク固有のオークルを介して脆弱性を再現するためにガードレール対応ファジィを行う。 オープンソースLLMエージェントアプリ(998ツール)20のChainFuzzerを評価した。 ChainFuzzerは2,388のツールチェーンを抽出し、2,213の安定したプロンプトを合成する。 コンポーネント評価では、ツールチェーン抽出は96.49%のエッジ精度と91.50%の厳密なチェーン精度、TPSはチェーン到達率を27.05%から95.45%に向上し、ガードレール対応ファジィングはペイロードレベルのトリガレートを18.20%から88.60%に向上させる。 ChainFuzzerは1Mトークン当たり3.02の脆弱性を達成し、現実世界のマルチツールエージェントシステムをテストするための実践的な基盤を提供する。

関連論文リスト

• DIVE: Scaling Diversity in Agentic Task Synthesis for Generalizable Tool Use [66.02634251098537]
  DIVEデータ(48k SFT + 3.2k RL)上のQwen3-8Bのトレーニングは、9OODベンチマークで+22ポイント向上し、+68で最強の8Bベースラインを上回っている。
  論文  参考訳（メタデータ） (2026-03-10T20:54:23Z)
• HarnessAgent: Scaling Automatic Fuzzing Harness Construction with Tool-Augmented LLM Pipelines [22.70950665226898]
  HarnessAgentはツール拡張されたエージェントフレームワークで、何百ものOSS-Fuzzターゲットに対して完全に自動化され、スケーラブルなハーネス構築を実現する。 OSS-Fuzzプロジェクトと178のC++プロジェクトから243のターゲット関数に対してHarnessAgentを評価する。
  論文  参考訳（メタデータ） (2025-12-03T03:55:09Z)
• A Reality Check on SBOM-based Vulnerability Management: An Empirical Study and A Path Forward [3.986606517552206]
  Software Bill of Materials (SBOM)は、ソフトウェアサプライチェーン(SSC)を確保するための重要なツールである。 本稿では,2,414のオープンソースリポジトリに関する大規模な実証的研究を行い,これらの課題を現実的な観点から考察する。
  論文  参考訳（メタデータ） (2025-11-25T13:52:16Z)
• STAC: When Innocent Tools Form Dangerous Chains to Jailbreak LLM Agents [38.755035623707656]
  本稿では,エージェントツールの利用を生かした新しいマルチターンアタックフレームワークSTACについて紹介する。 我々は,483のSTACケースを自動生成し,評価するために,1,352セットのユーザエージェント環境相互作用を特徴とするフレームワークを適用した。 GPT-4.1を含む最先端のLSMエージェントはSTACに対して極めて脆弱であり,攻撃成功率(ASR)は90%以上である。
  論文  参考訳（メタデータ） (2025-09-30T00:31:44Z)
• AgenTracer: Who Is Inducing Failure in the LLM Agentic Systems? [71.21547572568655]
  AgenTracer-8Bは、マルチグラニュラ強化学習で訓練された軽量障害トレーサである。 Who&Whenベンチマークでは、AgenTracer-8BはGemini-2.5-ProやClaude-4-Sonnetのような巨大なLLMを最大18.18%上回っている。 AgenTracer-8BはMetaGPTやMAASのような市販のマルチエージェントシステムに4.8-14.2%の性能向上をもたらす。
  論文  参考訳（メタデータ） (2025-09-03T13:42:14Z)
• T^2Agent A Tool-augmented Multimodal Misinformation Detection Agent with Monte Carlo Tree Search [51.91311158085973]
  多重モーダル誤報は、しばしば混合偽造源から発生し、動的推論と適応的検証を必要とする。 我々はモンテカルロ木探索を用いたツールキットを組み込んだ新しい誤情報検出剤T2Agentを提案する。 大規模な実験により、T2Agentは、混在するマルチモーダル誤報ベンチマークにおいて、既存のベースラインを一貫して上回っていることが示されている。
  論文  参考訳（メタデータ） (2025-05-26T09:50:55Z)
• Backdoor Cleaning without External Guidance in MLLM Fine-tuning [76.82121084745785]
  Believe Your Eyes (BYE)は、アテンションエントロピーパターンを自己教師信号として活用して、バックドアサンプルを特定してフィルタリングするデータフィルタリングフレームワークである。 クリーンタスクのパフォーマンスを維持しながら、ほぼゼロの攻撃成功率を達成する。
  論文  参考訳（メタデータ） (2025-05-22T17:11:58Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。