論文の概要: ClawWorm: Self-Propagating Attacks Across LLM Agent Ecosystems
- arxiv url: http://arxiv.org/abs/2603.15727v1
- Date: Mon, 16 Mar 2026 17:55:43 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-03-18 17:42:06.91546
- Title: ClawWorm: Self-Propagating Attacks Across LLM Agent Ecosystems
- Title(参考訳): ClawWorm: LLMエージェントエコシステム全体でのセルフプロパゲーション攻撃
- Authors: Yihao Zhang, Zeming Wei, Xiaokun Luan, Chengcan Wu, Zhixin Zhang, Jiangrong Wu, Haolin Wu, Huanran Chen, Jun Sun, Meng Sun,
- Abstract要約: ClawWormは、プロダクションスケールのエージェントフレームワークに対する最初の自己複製ワーム攻撃である。
エンド・ツー・エンド感染, マルチホップの持続伝播, ワーム機構からのペイロード独立性において高い成功率を示す。
- 参考スコア(独自算出の注目度): 18.180880919825082
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Autonomous LLM-based agents increasingly operate as long-running processes forming densely interconnected multi-agent ecosystems, whose security properties remain largely unexplored. In particular, OpenClaw, an open-source platform with over 40{,}000 active instances, has stood out recently with its persistent configurations, tool-execution privileges, and cross-platform messaging capabilities. In this work, we present ClawWorm, the first self-replicating worm attack against a production-scale agent framework, achieving a fully autonomous infection cycle initiated by a single message: the worm first hijacks the victim's core configuration to establish persistent presence across session restarts, then executes an arbitrary payload upon each reboot, and finally propagates itself to every newly encountered peer without further attacker intervention. We evaluate the attack on a controlled testbed across three distinct infection vectors and three payload types, demonstrating high success rates in end-to-end infection, sustained multi-hop propagation, and payload independence from the worm mechanism. We analyse the architectural root causes underlying these vulnerabilities and propose defence strategies targeting each identified trust boundary. Code and samples will be released upon completion of responsible disclosure.
- Abstract(参考訳): 自律的なLSMベースのエージェントは、密接な相互接続されたマルチエージェントエコシステムを形成する長期的なプロセスとして機能し、そのセキュリティ特性はほとんど探索されていないままである。
特に、40{,}000のアクティブインスタンスを持つオープンソースのプラットフォームであるOpenClawは、最近、永続的なコンフィギュレーション、ツール実行権限、クロスプラットフォームメッセージング機能で際立っている。
ワームは、まず、被害者のコア構成をハイジャックし、セッション再起動中に永続的な存在を確立し、その後、各リブートに対して任意のペイロードを実行し、最後に、攻撃の介入なしに新しく遭遇したすべてのピアに伝播する。
3つの異なる感染ベクターと3つのペイロードタイプにまたがるコントロールされたテストベッドに対する攻撃を評価し、エンド・ツー・エンドの感染の成功率、持続的なマルチホップ伝播、およびワーム機構からのペイロード独立性を実証した。
我々はこれらの脆弱性の根本原因となるアーキテクチャの根本原因を分析し、識別された信頼境界を対象とする防衛戦略を提案する。
コードとサンプルは、責任のある開示が完了するとリリースされる。
関連論文リスト
- Zombie Agents: Persistent Control of Self-Evolving LLM Agents via Self-Reinforcing Injections [57.64370755825839]
セルフ進化エージェントはセッション間で内部状態を更新する。
我々はこのリスクを調査し、Zombie Agentと呼ばれる永続的な攻撃を形式化する。
我々は,攻撃者が制御するWebコンテンツを通じて間接的露光のみを使用するブラックボックス攻撃フレームワークを提案する。
論文 参考訳(メタデータ) (2026-02-17T15:28:24Z) - INFA-Guard: Mitigating Malicious Propagation via Infection-Aware Safeguarding in LLM-Based Multi-Agent Systems [70.37731999972785]
本稿では,感染防止対策の枠組みであるINFA-Guardを提案する。
修復中、INFA-Guardは攻撃者を置き換え、感染した者を修復し、トポロジカルな整合性を維持しながら悪意のある伝播を避ける。
論文 参考訳(メタデータ) (2026-01-21T05:27:08Z) - BackdoorAgent: A Unified Framework for Backdoor Attacks on LLM-based Agents [58.83028403414688]
大規模言語モデル(LLM)エージェントは、計画、メモリ、ツールの使用を組み合わせた多段階ワークフローを通じてタスクを実行する。
エージェントワークフローの特定のステージに注入されたバックドアトリガーは、複数の中間状態を通して持続し、下流出力に悪影響を及ぼす可能性がある。
LLMエージェントにおけるバックドア脅威を統一したエージェント中心のビューを提供するモジュールおよびステージアウェアフレームワークである textbfBackdoorAgent を提案する。
論文 参考訳(メタデータ) (2026-01-08T03:49:39Z) - Collaborative Shadows: Distributed Backdoor Attacks in LLM-Based Multi-Agent Systems [30.50143789643111]
マルチエージェントシステム(MAS)に対応した最初の分散バックドアアタックを提示する。
我々の攻撃は、良質なタスクの性能を低下させることなく、95%以上の攻撃成功率を達成する。
この作業は、エージェントのコラボレーションを活用する新しいバックドアアタックサーフェスを公開し、単一エージェント保護を超えた移動の必要性を強調している。
論文 参考訳(メタデータ) (2025-10-13T10:34:05Z) - Malice in Agentland: Down the Rabbit Hole of Backdoors in the AI Supply Chain [82.98626829232899]
自分自身のインタラクションからのデータに対する微調整のAIエージェントは、AIサプライチェーン内の重要なセキュリティ脆弱性を導入している。
敵は容易にデータ収集パイプラインに毒を盛り、検出しにくいバックドアを埋め込むことができる。
論文 参考訳(メタデータ) (2025-10-03T12:47:21Z) - STAC: When Innocent Tools Form Dangerous Chains to Jailbreak LLM Agents [38.755035623707656]
本稿では,エージェントツールの利用を生かした新しいマルチターンアタックフレームワークSTACについて紹介する。
我々は,483のSTACケースを自動生成し,評価するために,1,352セットのユーザエージェント環境相互作用を特徴とするフレームワークを適用した。
GPT-4.1を含む最先端のLSMエージェントはSTACに対して極めて脆弱であり,攻撃成功率(ASR)は90%以上である。
論文 参考訳(メタデータ) (2025-09-30T00:31:44Z) - BlindGuard: Safeguarding LLM-based Multi-Agent Systems under Unknown Attacks [58.959622170433725]
BlindGuardは、攻撃固有のラベルや悪意のある振る舞いに関する事前の知識を必要とせずに学習する、教師なしの防御方法である。
BlindGuardはマルチエージェントシステムにまたがる多様な攻撃タイプ(即時注入、メモリ中毒、ツール攻撃)を効果的に検出する。
論文 参考訳(メタデータ) (2025-08-11T16:04:47Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。