論文の概要: A Systematic Taxonomy of Security Vulnerabilities in the OpenClaw AI Agent Framework
- arxiv url: http://arxiv.org/abs/2603.27517v1
- Date: Sun, 29 Mar 2026 04:51:27 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-03-31 23:18:44.997141
- Title: A Systematic Taxonomy of Security Vulnerabilities in the OpenClaw AI Agent Framework
- Title(参考訳): OpenClaw AI Agent Frameworkにおけるセキュリティ脆弱性の系統分類
- Authors: Surada Suwansathit, Yuxuan Zhang, Guofei Gu,
- Abstract要約: 脆弱性は、(1)アーキテクチャレイヤ(実行ポリシー、ゲートウェイ、チャネル、サンドボックス、ブラウザ、プラグイン、エージェント/プロンプト)を反映するシステム軸、(2)攻撃軸、(アイデンティティスプーフィング、ポリシーバイパス、クロスレイヤー構成、即時注入、サプライチェーンエスカレーション)敵のテクニックを反映する。
我々は、アーキテクチャ層と信頼侵害タイプによって組織されたオープンソースのAIエージェントランタイムOpenClawに対して、190の勧告を提出した系統分類を提示する。
- 参考スコア(独自算出の注目度): 9.723337441030283
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: AI agent frameworks connecting large language model (LLM) reasoning to host execution surfaces--shell, filesystem, containers, and messaging--introduce security challenges structurally distinct from conventional software. We present a systematic taxonomy of 190 advisories filed against OpenClaw, an open-source AI agent runtime, organized by architectural layer and trust-violation type. Vulnerabilities cluster along two orthogonal axes: (1) the system axis, reflecting the architectural layer (exec policy, gateway, channel, sandbox, browser, plugin, agent/prompt); and (2) the attack axis, reflecting adversarial techniques (identity spoofing, policy bypass, cross-layer composition, prompt injection, supply-chain escalation). Patch-differential evidence yields three principal findings. First, three Moderate- or High-severity advisories in the Gateway and Node-Host subsystems compose into a complete unauthenticated remote code execution (RCE) path--spanning delivery, exploitation, and command-and-control--from an LLM tool call to the host process. Second, the exec allowlist, the primary command-filtering mechanism, relies on a closed-world assumption that command identity is recoverable via lexical parsing. This is invalidated by shell line continuation, busybox multiplexing, and GNU option abbreviation. Third, a malicious skill distributed via the plugin channel executed a two-stage dropper within the LLM context, bypassing the exec pipeline and demonstrating that the skill distribution surface lacks runtime policy enforcement. The dominant structural weakness is per-layer trust enforcement rather than unified policy boundaries, making cross-layer attacks resilient to local remediation.
- Abstract(参考訳): AIエージェントフレームワークは、大規模言語モデル(LLM)推論をホスト実行サーフェス(シェル、ファイルシステム、コンテナ、メッセージング)に接続する。
我々は、アーキテクチャ層と信頼侵害タイプによって組織されたオープンソースのAIエージェントランタイムOpenClawに対して、190の勧告を提出した系統分類を提示する。
脆弱性は、(1)アーキテクチャレイヤ(実行ポリシー、ゲートウェイ、チャネル、サンドボックス、ブラウザ、プラグイン、エージェント/プロンプト)を反映するシステム軸、(2)敵のテクニック(アイデンティティスプーフィング、ポリシーバイパス、クロス層構成、即時注入、サプライチェーンエスカレーション)を反映する攻撃軸の2つの直交軸に沿ってクラスタされる。
パッチ差分証拠は3つの主要な発見をもたらす。
まず、ゲートウェイとNode-Hostサブシステムにおける3つのModerate- or High-severityアドバイザリは、完全な認証されていないリモートコード実行(RCE)パスを構成する。
第二に、主要なコマンドフィルタリングメカニズムであるexec allowlistは、コマンドIDが語彙解析によって回復可能であるというクローズドワールドの仮定に依存している。
これはシェルラインの継続、ビックボックスの多重化、GNUオプションの省略によって無効化される。
第3に、プラグインチャネルを介して配布される悪意のあるスキルは、実行パイプラインをバイパスし、実行時ポリシーの強制力に欠けることを示す、LLMコンテキスト内で2段階のドロップパを実行した。
主要な構造的弱点は、統一された政策境界ではなく、階層単位の信頼の執行であり、局所的な修復に抗する層間攻撃である。
関連論文リスト
- ClawKeeper: Comprehensive Safety Protection for OpenClaw Agents Through Skills, Plugins, and Watchers [32.10899571321103]
ClawKeeperは3つの補完的なアーキテクチャ層にまたがって多次元保護機構を統合するリアルタイムセキュリティフレームワークである。
我々は、このWatcherパラダイムが、次世代の自律エージェントシステムを保護するための基礎的なビルディングブロックとして機能する可能性を持っていると論じる。
論文 参考訳(メタデータ) (2026-03-25T15:27:54Z) - Just Ask: Curious Code Agents Reveal System Prompts in Frontier LLMs [65.6660735371212]
textbftextscJustAskは,インタラクションのみで効果的な抽出戦略を自律的に発見するフレームワークである。
これは、アッパー信頼境界に基づく戦略選択と、原子プローブと高レベルのオーケストレーションにまたがる階層的なスキル空間を用いて、オンライン探索問題として抽出を定式化する。
この結果から,現代のエージェントシステムにおいて,システムプロンプトは致命的ではあるがほぼ無防備な攻撃面であることがわかった。
論文 参考訳(メタデータ) (2026-01-29T03:53:25Z) - BackdoorAgent: A Unified Framework for Backdoor Attacks on LLM-based Agents [58.83028403414688]
大規模言語モデル(LLM)エージェントは、計画、メモリ、ツールの使用を組み合わせた多段階ワークフローを通じてタスクを実行する。
エージェントワークフローの特定のステージに注入されたバックドアトリガーは、複数の中間状態を通して持続し、下流出力に悪影響を及ぼす可能性がある。
LLMエージェントにおけるバックドア脅威を統一したエージェント中心のビューを提供するモジュールおよびステージアウェアフレームワークである textbfBackdoorAgent を提案する。
論文 参考訳(メタデータ) (2026-01-08T03:49:39Z) - The Trojan Knowledge: Bypassing Commercial LLM Guardrails via Harmless Prompt Weaving and Adaptive Tree Search [58.8834056209347]
大規模言語モデル(LLM)は、有害な出力を誘導するために安全ガードレールをバイパスするジェイルブレイク攻撃に弱いままである。
CKA-Agent(Correlated Knowledge Attack Agent)は、ターゲットモデルの知識基盤の適応的木構造探索としてジェイルブレイクを再構成する動的フレームワークである。
論文 参考訳(メタデータ) (2025-12-01T07:05:23Z) - Towards Agentic OS: An LLM Agent Framework for Linux Schedulers [3.8068085728995307]
我々は、完全に自律的な大規模言語モデル(LLM)エージェントが、人間の関与なしにLinuxスケジューラを安全かつ効率的に最適化できる、最初のフレームワークであるSchedCPを紹介した。
評価の結果,SchedCPの性能改善は最大1.79倍,コスト削減は有意なエージェントアプローチに比べて13倍であることがわかった。
論文 参考訳(メタデータ) (2025-09-01T08:38:49Z) - A Systematization of Security Vulnerabilities in Computer Use Agents [1.3560089220432787]
我々は、現実のCUAのシステム的脅威分析と、敵条件下でのテストを行う。
CUAパラダイム特有のリスクのクラスを7つ同定し、3つの具体的なエクスプロイトシナリオを詳細に分析する。
これらのケーススタディは、現在のCUA実装にまたがるより深いアーキテクチャ上の欠陥を明らかにします。
論文 参考訳(メタデータ) (2025-07-07T19:50:21Z) - DRIFT: Dynamic Rule-Based Defense with Injection Isolation for Securing LLM Agents [52.92354372596197]
大規模言語モデル(LLM)は、強力な推論と計画能力のため、エージェントシステムの中心となってきています。
この相互作用は、外部ソースからの悪意のある入力がエージェントの振る舞いを誤解させる可能性がある、インジェクション攻撃のリスクも引き起こす。
本稿では,信頼に値するエージェントシステムのための動的ルールベースの分離フレームワークを提案する。
論文 参考訳(メタデータ) (2025-06-13T05:01:09Z) - SentinelAgent: Graph-based Anomaly Detection in Multi-Agent Systems [11.497269773189254]
大規模言語モデル(LLM)に基づくマルチエージェントシステム(MAS)に適したシステムレベルの異常検出フレームワークを提案する。
本稿では,エージェント間相互作用を動的実行グラフとしてモデル化し,ノード,エッジ,パスレベルでの意味的異常検出を可能にするグラフベースのフレームワークを提案する。
第2に,セキュリティポリシとコンテキスト推論に基づくMAS実行の監視,解析,介入を行うLLMによる監視エージェントである,プラグイン可能なSentinelAgentを導入する。
論文 参考訳(メタデータ) (2025-05-30T04:25:19Z) - AgentVigil: Generic Black-Box Red-teaming for Indirect Prompt Injection against LLM Agents [54.29555239363013]
本稿では,間接的なインジェクション脆弱性を自動的に検出し,悪用するための汎用的なブラックボックスファジリングフレームワークであるAgentVigilを提案する。
我々はAgentVigilをAgentDojoとVWA-advの2つの公開ベンチマークで評価し、o3-miniとGPT-4oに基づくエージェントに対して71%と70%の成功率を達成した。
攻撃を現実世界の環境に適用し、悪質なサイトを含む任意のURLに誘導するエージェントをうまく誘導する。
論文 参考訳(メタデータ) (2025-05-09T07:40:17Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。