Fugu-MT 論文翻訳(概要): Agent Privilege Separation in OpenClaw: A Structural Defense Against Prompt Injection

論文の概要: Agent Privilege Separation in OpenClaw: A Structural Defense Against Prompt Injection

arxiv url: http://arxiv.org/abs/2603.13424v1
Date: Fri, 13 Mar 2026 02:03:00 GMT
ステータス: 翻訳完了
システム内更新日: 2026-03-17 16:19:35.18985
Title: Agent Privilege Separation in OpenClaw: A Structural Defense Against Prompt Injection
Title（参考訳）: OpenClawにおけるエージェントの分離 : プロンプト注入に対する構造的防御
Authors: Darren Cheng, Wen-Kwang Tsao,
Abstract要約: オープンソースマルチツールエージェントプラットフォームであるOpenClaw内で動作している現在の世代モデルに対して、Microsoft LLMail-Injectベンチマークを複製します。提案する防御機構は,エージェント分離を特権分離した2エージェントパイプラインとして実装したツールパーティショニングと,アクションエージェントが処理する前にパーサシブフレーミングを除去する構造化された出力を生成するフォーマッティングの2つを組み合わせたものである。
参考スコア（独自算出の注目度）: 0.0
License: http://creativecommons.org/licenses/by/4.0/
Abstract: Prompt injection remains one of the most practical attack vectors against LLM-integrated applications. We replicate the Microsoft LLMail-Inject benchmark (Greshake et al., 2024) against current generation models running inside OpenClaw, an open source multitool agent platform. Our proposed defense combines two mechanisms: agent isolation, implemented as a privilege separated two-agent pipeline with tool partitioning, and JSON formatting, which produces structured output that strips persuasive framing before the action agent processes it. We run four experiments on the same 649 attacks that succeeded against our single-agent baseline. The full pipeline achieves 0 percent attack success rate (ASR) on the evaluated benchmark. Agent isolation alone achieves 0.31 percent ASR, approximately 323 times lower than the baseline. JSON formatting alone achieves 14.18 percent ASR, about 7.1 times lower. Our ablation study confirms that agent isolation is the dominant mechanism. JSON formatting provides additional hardening but is not sufficient on its own. The defense is structural: the action agent never receives raw injection content regardless of model behavior on any individual input.
Abstract（参考訳）: プロンプトインジェクションは、LLM統合アプリケーションに対する最も実用的な攻撃ベクトルの1つである。私たちはMicrosoft LLMail-Injectベンチマーク(Greshake et al , 2024)を、オープンソースのマルチツールエージェントプラットフォームであるOpenClaw内で実行されている現在の世代モデルに対して複製します。エージェント分離は、特権分離された2エージェントパイプラインとして実装され、ツールパーティショニングとJSONフォーマッティングの2つのメカニズムを組み合わせることで、アクションエージェントがそれを処理する前に、説得力のあるフレーミングを取り除く構造的な出力を生成する。単エージェントベースラインに対して成功したのと同じ649回の攻撃で4つの実験を実行しました。完全なパイプラインは、評価されたベンチマークで0パーセントのアタック成功率(ASR)を達成する。エージェント分離単独では、ベースラインの約323倍のASRが0.31パーセントに達する。 JSONフォーマッティングだけでも14.18パーセントのASRを実現しており、約7.1倍低い。我々のアブレーション研究は、薬剤の分離が支配的なメカニズムであることを確認した。 JSONフォーマッティングは、さらなるハードニングを提供するが、それ自体では不十分である。アクションエージェントは、個々の入力に対するモデル動作にかかわらず、生の注入内容を受け取らない。

関連論文リスト

ReasAlign: Reasoning Enhanced Safety Alignment against Prompt Injection Attack [52.17935054046577]
本稿では、間接的インジェクション攻撃に対する安全性アライメントを改善するためのモデルレベルのソリューションであるReasAlignを提案する。 ReasAlignには、ユーザクエリの分析、競合する命令の検出、ユーザの意図したタスクの継続性を維持するための構造化された推論ステップが組み込まれている。
論文参考訳（メタデータ） (2026-01-15T08:23:38Z)
BackdoorAgent: A Unified Framework for Backdoor Attacks on LLM-based Agents [58.83028403414688]
大規模言語モデル(LLM)エージェントは、計画、メモリ、ツールの使用を組み合わせた多段階ワークフローを通じてタスクを実行する。エージェントワークフローの特定のステージに注入されたバックドアトリガーは、複数の中間状態を通して持続し、下流出力に悪影響を及ぼす可能性がある。 LLMエージェントにおけるバックドア脅威を統一したエージェント中心のビューを提供するモジュールおよびステージアウェアフレームワークである textbfBackdoorAgent を提案する。
論文参考訳（メタデータ） (2026-01-08T03:49:39Z)
AI Security Beyond Core Domains: Resume Screening as a Case Study of Adversarial Vulnerabilities in Specialized LLM Applications [71.27518152526686]
大きな言語モデル(LLM)はテキストの理解と生成に優れており、コードレビューやコンテンツモデレーションといった自動タスクに最適である。 LLMは履歴書やコードなどの入力データに隠された「逆命令」で操作でき、意図したタスクから逸脱する。本稿では,特定の攻撃タイプに対して80%以上の攻撃成功率を示すとともに,この脆弱性を再開スクリーニングで評価するためのベンチマークを提案する。
論文参考訳（メタデータ） (2025-12-23T08:42:09Z)
Breaking the Code: Security Assessment of AI Code Agents Through Systematic Jailbreaking Attacks [11.371490212283383]
コード対応の大規模言語モデル(LLM)エージェントはソフトウェア工学に組み込まれ、コードを読み、書き、実行することができる。 JAWS-BENCHは、3つのエスカレーションワークスペースにまたがるベンチマークであり、攻撃能力を反映している。 JAWS-0のプロンプトのみの条件下では、コードエージェントは平均して61%の攻撃を受けており、58%が有害、52%がパース、27%がエンドツーエンドで実行される。
論文参考訳（メタデータ） (2025-10-01T18:38:20Z)
A Multi-Agent LLM Defense Pipeline Against Prompt Injection Attacks [1.1435139523855764]
本稿では,インジェクション攻撃をリアルタイムに検出・中和する新しいマルチエージェント・ディフェンス・フレームワークを提案する。我々は2つの異なるアーキテクチャ、シーケンシャル・チェーン・オブ・エージェント・パイプラインと階層的コーディネータ・ベース・システムを用いてアプローチを評価した。
論文参考訳（メタデータ） (2025-09-16T19:11:28Z)
AegisLLM: Scaling Agentic Systems for Self-Reflective Defense in LLM Security [74.22452069013289]
AegisLLMは、敵の攻撃や情報漏洩に対する協調的なマルチエージェント防御である。テスト時のエージェント推論システムのスケーリングは,モデルの有用性を損なうことなく,ロバスト性を大幅に向上させることを示す。アンラーニングやジェイルブレイクを含む主要な脅威シナリオに対する総合的な評価は、AegisLLMの有効性を示している。
論文参考訳（メタデータ） (2025-04-29T17:36:05Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。