論文の概要: Are AI-assisted Development Tools Immune to Prompt Injection?
- arxiv url: http://arxiv.org/abs/2603.21642v1
- Date: Mon, 23 Mar 2026 07:24:11 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-03-24 19:11:39.537716
- Title: Are AI-assisted Development Tools Immune to Prompt Injection?
- Title(参考訳): AI支援開発ツールはプロンプトインジェクションに免疫があるか?
- Authors: Charoes Huang, Xin Huang, Amin Milani Fard,
- Abstract要約: 本報告では,広く使用されている7つのMPPクライアントにまたがるツール・ポゾン・脆弱性によるインジェクションの初回経験的解析について述べる。
我々は,それらの検出・緩和機構と,セキュリティ機能のカバレッジを識別する。
我々は,セキュアなAI支援開発の構築を目指すMPP実装者とソフトウェアエンジニアリングコミュニティに対して,実用的なガイダンスを提供する。
- 参考スコア(独自算出の注目度): 3.2885785438874358
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Prompt injection is listed as the number-one vulnerability class in the OWASP Top 10 for LLM Applications that can subvert LLM guardrails, disclose sensitive data, and trigger unauthorized tool use. Developers are rapidly adopting AI-assisted development tools built on the Model Context Protocol (MCP). However, their convenience comes with security risks, especially prompt-injection attacks delivered via tool-poisoning vectors. While prior research has studied prompt injection in LLMs, the security posture of real-world MCP clients remains underexplored. We present the first empirical analysis of prompt injection with the tool-poisoning vulnerability across seven widely used MCP clients: Claude Desktop, Claude Code, Cursor, Cline, Continue, Gemini CLI, and Langflow. We identify their detection and mitigation mechanisms, as well as the coverage of security features, including static validation, parameter visibility, injection detection, user warnings, execution sandboxing, and audit logging. Our evaluation reveals significant disparities. While some clients, such as Claude Desktop, implement strong guardrails, others, such as Cursor, exhibit high susceptibility to cross-tool poisoning, hidden parameter exploitation, and unauthorized tool invocation. We further provide actionable guidance for MCP implementers and the software engineering community seeking to build secure AI-assisted development workflows.
- Abstract(参考訳): プロンプトインジェクションは、LLMアプリケーション用のOWASP Top 10のナンバーワンの脆弱性クラスとしてリストされている。
開発者は、モデルコンテキストプロトコル(MCP)上に構築されたAI支援開発ツールを急速に採用している。
しかし、その利便性にはセキュリティリスク、特にツールポゾンベクターによる迅速なインジェクション攻撃が伴う。
従来の研究ではLSMの即時注入が研究されているが、実際のMSPクライアントのセキュリティ姿勢はいまだに未調査である。
我々は,Claude Desktop,Claude Code,Cursor,Cline,Continue,Gemini CLI,Langflowという,広く使用されている7つのMPPクライアントに対して,ツールポゾンの脆弱性によるプロンプトインジェクションの最初の経験的分析を行った。
静的バリデーション、パラメータの可視性、インジェクション検出、ユーザ警告、実行サンドボックス、監査ログなどのセキュリティ機能についても、検出と緩和のメカニズムを特定します。
私たちの評価には大きな相違点が浮かび上がっている。
Claude Desktopのような一部のクライアントは強力なガードレールを実装しているが、Cursorのようなクライアントは、クロスツール中毒、隠されたパラメータのエクスプロイト、不正なツール呼び出しに対する高い感受性を示している。
セキュアなAI支援開発ワークフローの構築を目指す,MPP実装者やソフトウェアエンジニアリングコミュニティに対して,実行可能なガイダンスも提供しています。
関連論文リスト
- Skill-Inject: Measuring Agent Vulnerability to Skill File Attacks [27.120130204872325]
SkillInjectは、広く使われているLLMエージェントの、スキルファイルによるインジェクションに対する感受性を評価するベンチマークである。
SkillInjectには、明らかに悪意のあるインジェクションから、その他の正当な命令に隠された微妙なコンテキスト依存的なアタックまで、202のインジェクションタスクペアが含まれている。
以上の結果から,今日のエージェントは,フロンティアモデルによる攻撃成功率の最大80%に対して,非常に脆弱であることが示唆された。
論文 参考訳(メタデータ) (2026-02-23T18:59:27Z) - SkillJect: Automating Stealthy Skill-Based Prompt Injection for Coding Agents with Trace-Driven Closed-Loop Refinement [120.52289344734415]
エージェントスキルに適したステルスプロンプトインジェクションのための自動フレームワークを提案する。
フレームワークは、明示的なステルス制約の下でインジェクションスキルを合成するアタックエージェント、インジェクションされたスキルを使用してタスクを実行するコードエージェント、アクショントレースをログする評価エージェントの3つのエージェントでクローズドループを形成する。
本手法は,現実的な環境下で高い攻撃成功率を達成する。
論文 参考訳(メタデータ) (2026-02-15T16:09:48Z) - MalTool: Malicious Tool Attacks on LLM Agents [52.01975462609959]
MalToolはLLMベースのフレームワークで、特定の悪意のある振る舞いを示すツールを合成する。
MalTool は LLM のコーディングが安全に対応している場合でも非常に有効であることを示す。
論文 参考訳(メタデータ) (2026-02-12T17:27:43Z) - ToolSafe: Enhancing Tool Invocation Safety of LLM-based agents via Proactive Step-level Guardrail and Feedback [53.2744585868162]
エージェントのデプロイには、ステップレベルのツールの実行動作をリアルタイムで監視することが不可欠だ。
LLMエージェントにおけるステップレベルツール起動安全検出のための新しいベンチマークであるTS-Benchを構築した。
次に,マルチタスク強化学習を用いたガードレールモデルTS-Guardを開発した。
論文 参考訳(メタデータ) (2026-01-15T07:54:32Z) - Defense Against Indirect Prompt Injection via Tool Result Parsing [5.69701430275527]
LLMエージェントは間接的なプロンプトインジェクションからエスカレートする脅威に直面している。
この脆弱性は、エージェントが物理的な環境をより直接的に制御するようになると、重大なリスクをもたらす。
そこで本稿では,LLMに対してツール解析による正確なデータを提供するとともに,注入された悪意のあるコードを効果的にフィルタリングする手法を提案する。
論文 参考訳(メタデータ) (2026-01-08T10:21:56Z) - QueryIPI: Query-agnostic Indirect Prompt Injection on Coding Agents [13.098854359317523]
コーディングエージェントのための最初のクエリ非依存IPI手法であるQueryIPIを提案する。
リークされた内部プロンプトによって通知される反復的かつプロンプトベースのプロセスを通じて、悪意のあるツール記述を洗練する。
5つのシミュレーションエージェントの実験は、QueryIPIが最大で87%の成功を達成していることを示している。
論文 参考訳(メタデータ) (2025-10-27T07:04:08Z) - AgentVigil: Generic Black-Box Red-teaming for Indirect Prompt Injection against LLM Agents [54.29555239363013]
本稿では,間接的なインジェクション脆弱性を自動的に検出し,悪用するための汎用的なブラックボックスファジリングフレームワークであるAgentVigilを提案する。
我々はAgentVigilをAgentDojoとVWA-advの2つの公開ベンチマークで評価し、o3-miniとGPT-4oに基づくエージェントに対して71%と70%の成功率を達成した。
攻撃を現実世界の環境に適用し、悪質なサイトを含む任意のURLに誘導するエージェントをうまく誘導する。
論文 参考訳(メタデータ) (2025-05-09T07:40:17Z) - Not what you've signed up for: Compromising Real-World LLM-Integrated
Applications with Indirect Prompt Injection [64.67495502772866]
大規模言語モデル(LLM)は、様々なアプリケーションに統合されつつある。
本稿では、プロンプトインジェクション攻撃を用いて、攻撃者が元の命令をオーバーライドし、制御を採用する方法を示す。
我々は、コンピュータセキュリティの観点から、影響や脆弱性を体系的に調査する包括的な分類法を導出する。
論文 参考訳(メタデータ) (2023-02-23T17:14:38Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。