論文の概要: ClawWorm: Self-Propagating Attacks Across LLM Agent Ecosystems

• arxiv url: http://arxiv.org/abs/2603.15727v2
• Date: Fri, 20 Mar 2026 15:43:24 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-03-23 15:23:15.642427
• Title: ClawWorm: Self-Propagating Attacks Across LLM Agent Ecosystems
• Title（参考訳）: ClawWorm: LLMエージェントエコシステム全体でのセルフプロパゲーション攻撃
• Authors: Yihao Zhang, Zeming Wei, Xiaokun Luan, Chengcan Wu, Zhixin Zhang, Jiangrong Wu, Haolin Wu, Huanran Chen, Jun Sun, Meng Sun,
• Abstract要約: ClawWormは、プロダクションスケールのエージェントフレームワークに対する最初の自己複製ワーム攻撃である。 我々は、64.5%の総攻撃成功率、マルチホップ伝播の持続、およびモデルセキュリティ姿勢におけるスタークの相違を明らかにする。
• 参考スコア（独自算出の注目度）: 18.180880919825082
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Autonomous LLM-based agents increasingly operate as long-running processes forming densely interconnected multi-agent ecosystems, whose security properties remain largely unexplored. In particular, OpenClaw, an open-source platform with over 40,000 active instances, has stood out recently with its persistent configurations, tool-execution privileges, and cross-platform messaging capabilities. In this work, we present ClawWorm, the first self-replicating worm attack against a production-scale agent framework, achieving a fully autonomous infection cycle initiated by a single message: the worm first hijacks the victim's core configuration to establish persistent presence across session restarts, then executes an arbitrary payload upon each reboot, and finally propagates itself to every newly encountered peer without further attacker intervention. We evaluate the attack on a controlled testbed across four distinct LLM backends, three infection vectors, and three payload types (1,800 total trials). We demonstrate a 64.5\% aggregate attack success rate, sustained multi-hop propagation, and reveal stark divergences in model security postures -- highlighting that while execution-level filtering effectively mitigates dormant payloads, skill supply chains remain universally vulnerable. We analyse the architectural root causes underlying these vulnerabilities and propose defence strategies targeting each identified trust boundary. Code and samples will be released upon completion of responsible disclosure.
• Abstract（参考訳）: 自律的なLSMベースのエージェントは、密接な相互接続されたマルチエージェントエコシステムを形成する長期的なプロセスとして機能し、そのセキュリティ特性はほとんど探索されていないままである。 特に、4万以上のアクティブインスタンスを持つオープンソースプラットフォームであるOpenClawは、最近、永続的なコンフィギュレーション、ツール実行権限、クロスプラットフォームメッセージング機能で注目されている。 ワームは、まず、被害者のコア構成をハイジャックし、セッション再起動中に永続的な存在を確立し、その後、各リブートに対して任意のペイロードを実行し、最後に、攻撃の介入なしに新しく遭遇したすべてのピアに伝播する。 4つの異なるLSMバックエンド,3つの感染ベクター,3つのペイロードタイプ(合計1,800回)にわたるテストベッドに対する攻撃を評価した。 64.5\%のアタック成功率、持続的なマルチホップ伝搬、モデルセキュリティ姿勢におけるスタークのばらつきなどを示します -- 実行レベルのフィルタリングは、休眠ペイロードを効果的に軽減しますが、スキルサプライチェーンは、普遍的に脆弱であることを強調します。 我々はこれらの脆弱性の根本原因となるアーキテクチャの根本原因を分析し、識別された信頼境界を対象とする防衛戦略を提案する。 コードとサンプルは、責任のある開示が完了するとリリースされる。

関連論文リスト

• Zombie Agents: Persistent Control of Self-Evolving LLM Agents via Self-Reinforcing Injections [57.64370755825839]
  セルフ進化エージェントはセッション間で内部状態を更新する。 我々はこのリスクを調査し、Zombie Agentと呼ばれる永続的な攻撃を形式化する。 我々は,攻撃者が制御するWebコンテンツを通じて間接的露光のみを使用するブラックボックス攻撃フレームワークを提案する。
  論文  参考訳（メタデータ） (2026-02-17T15:28:24Z)
• INFA-Guard: Mitigating Malicious Propagation via Infection-Aware Safeguarding in LLM-Based Multi-Agent Systems [70.37731999972785]
  本稿では,感染防止対策の枠組みであるINFA-Guardを提案する。 修復中、INFA-Guardは攻撃者を置き換え、感染した者を修復し、トポロジカルな整合性を維持しながら悪意のある伝播を避ける。
  論文  参考訳（メタデータ） (2026-01-21T05:27:08Z)
• BackdoorAgent: A Unified Framework for Backdoor Attacks on LLM-based Agents [58.83028403414688]
  大規模言語モデル(LLM)エージェントは、計画、メモリ、ツールの使用を組み合わせた多段階ワークフローを通じてタスクを実行する。 エージェントワークフローの特定のステージに注入されたバックドアトリガーは、複数の中間状態を通して持続し、下流出力に悪影響を及ぼす可能性がある。 LLMエージェントにおけるバックドア脅威を統一したエージェント中心のビューを提供するモジュールおよびステージアウェアフレームワークである textbfBackdoorAgent を提案する。
  論文  参考訳（メタデータ） (2026-01-08T03:49:39Z)
• Collaborative Shadows: Distributed Backdoor Attacks in LLM-Based Multi-Agent Systems [30.50143789643111]
  マルチエージェントシステム(MAS)に対応した最初の分散バックドアアタックを提示する。 我々の攻撃は、良質なタスクの性能を低下させることなく、95%以上の攻撃成功率を達成する。 この作業は、エージェントのコラボレーションを活用する新しいバックドアアタックサーフェスを公開し、単一エージェント保護を超えた移動の必要性を強調している。
  論文  参考訳（メタデータ） (2025-10-13T10:34:05Z)
• Malice in Agentland: Down the Rabbit Hole of Backdoors in the AI Supply Chain [82.98626829232899]
  自分自身のインタラクションからのデータに対する微調整のAIエージェントは、AIサプライチェーン内の重要なセキュリティ脆弱性を導入している。 敵は容易にデータ収集パイプラインに毒を盛り、検出しにくいバックドアを埋め込むことができる。
  論文  参考訳（メタデータ） (2025-10-03T12:47:21Z)
• STAC: When Innocent Tools Form Dangerous Chains to Jailbreak LLM Agents [38.755035623707656]
  本稿では,エージェントツールの利用を生かした新しいマルチターンアタックフレームワークSTACについて紹介する。 我々は,483のSTACケースを自動生成し,評価するために,1,352セットのユーザエージェント環境相互作用を特徴とするフレームワークを適用した。 GPT-4.1を含む最先端のLSMエージェントはSTACに対して極めて脆弱であり,攻撃成功率(ASR)は90%以上である。
  論文  参考訳（メタデータ） (2025-09-30T00:31:44Z)
• BlindGuard: Safeguarding LLM-based Multi-Agent Systems under Unknown Attacks [58.959622170433725]
  BlindGuardは、攻撃固有のラベルや悪意のある振る舞いに関する事前の知識を必要とせずに学習する、教師なしの防御方法である。 BlindGuardはマルチエージェントシステムにまたがる多様な攻撃タイプ(即時注入、メモリ中毒、ツール攻撃)を効果的に検出する。
  論文  参考訳（メタデータ） (2025-08-11T16:04:47Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。