論文の概要: LAAF: Logic-layer Automated Attack Framework A Systematic Red-Teaming Methodology for LPCI Vulnerabilities in Agentic Large Language Model Systems

• arxiv url: http://arxiv.org/abs/2603.17239v1
• Date: Wed, 18 Mar 2026 00:51:36 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-03-19 18:32:57.460278
• Title: LAAF: Logic-layer Automated Attack Framework A Systematic Red-Teaming Methodology for LPCI Vulnerabilities in Agentic Large Language Model Systems
• Title（参考訳）: LAAF: 論理層自動攻撃フレームワーク エージェント型大規模言語モデルシステムにおけるLPCI脆弱性に対するシステム的再チーム化手法
• Authors: Hammad Atta, Ken Huang, Kyriakos Rock Lambros, Yasir Mehmood, Zeeshan Baig, Mohamed Abdur Rahman, Manish Bhatt, M. Aziz Ul Haq, Muhammad Aatif, Nadeem Shahzad, Kamal Noor, Vineeth Sai Narajala, Hazem Ali, Jamel Abed,
• Abstract要約: LAAFは、LPCI固有のテクニックと段階的なシードエスカレーションを組み合わせた最初の自動化赤チームフレームワークである。 LAAFは単技術ランダムテストよりも高いステージブレークスルー効率が得られることを示す。
• 参考スコア（独自算出の注目度）: 0.39875976220956705
• License: http://creativecommons.org/licenses/by-nc-sa/4.0/
• Abstract: Agentic LLM systems equipped with persistent memory, RAG pipelines, and external tool connectors face a class of attacks - Logic-layer Prompt Control Injection (LPCI) - for which no automated red-teaming instrument existed. We present LAAF (Logic-layer Automated Attack Framework), the first automated red-teaming framework to combine an LPCI-specific technique taxonomy with stage-sequential seed escalation - two capabilities absent from existing tools: Garak lacks memory-persistence and cross-session triggering; PyRIT supports multi-turn testing but treats turns independently, without seeding each stage from the prior breakthrough. LAAF provides: (i) a 49-technique taxonomy spanning six attack categories (Encoding~11, Structural~8, Semantic~8, Layered~5, Trigger~12, Exfiltration~5; see Table 1), combinable across 5 variants per technique and 6 lifecycle stages, yielding a theoretical maximum of 2,822,400 unique payloads ($49 \times 5 \times 1{,}920 \times 6$; SHA-256 deduplicated at generation time); and (ii) a Persistent Stage Breaker (PSB) that drives payload mutation stage-by-stage: on each breakthrough, the PSB seeds the next stage with a mutated form of the winning payload, mirroring real adversarial escalation. Evaluation on five production LLM platforms across three independent runs demonstrates that LAAF achieves higher stage-breakthrough efficiency than single-technique random testing, with a mean aggregate breakthrough rate of 84\% (range 83--86\%) and platform-level rates stable within 17 percentage points across runs. Layered combinations and semantic reframing are the highest-effectiveness technique categories, with layered payloads outperforming encoding on well-defended platforms.
• Abstract（参考訳）: 永続メモリ、RAGパイプライン、外部ツールコネクタを備えたエージェントLLMシステムは、自動リピート装置が存在しない、論理層プロンプト制御インジェクション(LPCI)と呼ばれる一連の攻撃に直面している。 LAAF(Logic-layer Automated Attack Framework)は、LPCI固有のテクニックとステージシークエンシャルなシードエスカレーションを組み合わせた最初の自動化赤チームフレームワークである。 LAAFが提供します。 (i)6つの攻撃カテゴリ(エンコーディング〜11, 構造〜8, セマンティック〜8, レイヤー〜5, トリガー〜12, エクスフィル〜5; 表1)にまたがる49の技術的分類で、技術毎の5つの変種と6つのライフサイクルステージに結合可能で、理論的最大2,822,400個のユニークなペイロード(49 \times 5 \times 1{,}920 \times 6$; SHA-256 deduplicated)を出力する。 (ii) ペイロードの突然変異を段階ごとに駆動する永続ステージブレーカー(PSB) - 各ブレークスルーにおいて、PSBは勝利ペイロードの変異形で次のステージにシードし、実際の敵エスカレーションを反映する。 3つの独立ランにわたる5つのLLMプラットフォームの評価は、LAAFが1つの技術的ランダムテストよりも高いステージブレークスルー効率を達成し、平均総ブレークスルーレートは84\%(範囲83-86\%)、プラットフォームレベルレートは17ポイント以内に安定していることを示している。 階層化組み合わせとセマンティックリフレーミングは最も効果的なテクニックカテゴリであり、層化ペイロードはよく定義されたプラットフォームでのエンコーディングよりも優れています。

関連論文リスト

• CLASP: Defending Hybrid Large Language Models Against Hidden State Poisoning Attacks [48.54598003197356]
  Mambaのような状態空間モデル(SSM)はトランスフォーマーの効率的な代替品として大きな注目を集めている。 HiSPAsは、最近発見された脆弱性で、敵対する文字列を通じてSSMメモリを破損させる。 この脅威に対して防御するためのCLASPモデルを紹介します。
  論文  参考訳（メタデータ） (2026-03-12T17:29:55Z)
• AWE: Adaptive Agents for Dynamic Web Penetration Testing [0.0]
  AWEは、自動Web侵入テストのためのメモリ拡張マルチエージェントフレームワークである。 軽量なLLMオーケストレーション層に、構造化された脆弱性固有の分析パイプラインを組み込む。 AWEはインジェクションクラスの脆弱性を大幅に向上させる。
  論文  参考訳（メタデータ） (2026-03-01T07:32:42Z)
• Towards a Science of Scaling Agent Systems [79.64446272302287]
  エージェント評価の定義を定式化し,エージェント量,コーディネーション構造,モデル,タスク特性の相互作用として,スケーリング法則を特徴付ける。 協調指標を用いて予測モデルを導出し,R2=0をクロスバリデーションし,未知のタスク領域の予測を可能にする。 ツールコーディネーショントレードオフ: 固定的な計算予算の下では, ツールヘビータスクはマルチエージェントのオーバーヘッドから不均衡に悩まされ, 2) 能力飽和: 調整が減少または負のリターンを, 単一エージェントのベースラインが45%を超えると達成できる。
  論文  参考訳（メタデータ） (2025-12-09T06:52:21Z)
• Dyadic-Chaotic Lifting S-Boxes for Enhanced Physical-Layer Security within 6G Networks [1.5469452301122173]
  第6世代(6G)無線ネットワークは、何十億ものリソース制限されたデバイスと時間クリティカルなサービスを相互接続する。 物理層セキュリティ(PLS)は、軽量で情報理論的な保護を提供するために重要である。 PLSのための最初のカオスリフト置換箱(S-box)を紹介する。
  論文  参考訳（メタデータ） (2025-11-15T19:00:29Z)
• A Multi-Agent LLM Defense Pipeline Against Prompt Injection Attacks [1.1435139523855764]
  本稿では,インジェクション攻撃をリアルタイムに検出・中和する新しいマルチエージェント・ディフェンス・フレームワークを提案する。 我々は2つの異なるアーキテクチャ、シーケンシャル・チェーン・オブ・エージェント・パイプラインと階層的コーディネータ・ベース・システムを用いてアプローチを評価した。
  論文  参考訳（メタデータ） (2025-09-16T19:11:28Z)
• DeltaLLM: A Training-Free Framework Exploiting Temporal Sparsity for Efficient Edge LLM Inference [19.987309147268586]
  デルタLLMは、リソース制約エッジデバイス上での効率的なLCM推論を実現するために、注意パターンの時間的間隔を利用する訓練不要のフレームワークである。 我々は、エッジデバイスフレンドリーなBitNet-b1.58-2B-4TモデルとLlama3.2-1B-Instructモデルについて、様々な言語タスクで評価する。
  論文  参考訳（メタデータ） (2025-07-25T18:23:18Z)
• AegisLLM: Scaling Agentic Systems for Self-Reflective Defense in LLM Security [74.22452069013289]
  AegisLLMは、敵の攻撃や情報漏洩に対する協調的なマルチエージェント防御である。 テスト時のエージェント推論システムのスケーリングは,モデルの有用性を損なうことなく,ロバスト性を大幅に向上させることを示す。 アンラーニングやジェイルブレイクを含む主要な脅威シナリオに対する総合的な評価は、AegisLLMの有効性を示している。
  論文  参考訳（メタデータ） (2025-04-29T17:36:05Z)
• Learning Adaptive Parallel Reasoning with Language Models [70.1745752819628]
  本稿では,適応並列推論(Adaptive Parallel Reasoning, APR)を提案する。 APRは、spawn()とjoin()操作を使用して適応的なマルチスレッド推論を可能にすることで、既存の推論メソッドを一般化する。 鍵となる革新は、親と子の両方の推論スレッドを最適化して、事前に定義された推論構造を必要とせずにタスクの成功率を高める、エンドツーエンドの強化学習戦略である。
  論文  参考訳（メタデータ） (2025-04-21T22:29:02Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。