論文の概要: No Attacker Needed: Unintentional Cross-User Contamination in Shared-State LLM Agents
- arxiv url: http://arxiv.org/abs/2604.01350v1
- Date: Wed, 01 Apr 2026 20:03:56 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-04-03 14:21:09.87134
- Title: No Attacker Needed: Unintentional Cross-User Contamination in Shared-State LLM Agents
- Title(参考訳): 攻撃者不要:共有状態LLMエージェントにおける意図しないクロスユーザー汚染
- Authors: Tiankai Yang, Jiate Li, Yi Nian, Shen Dong, Ruiyao Xu, Ryan Rossi, Kaize Ding, Yue Zhao,
- Abstract要約: 多くのデプロイメントでは、単一のエージェントがチームや組織内の複数のユーザに対して、ユーザID間で共有知識レイヤを再利用する。
この共有永続化は、障害面を拡張します。あるユーザがローカルに有効である情報は、エージェントがスコープを考慮せずに再適用した場合に、他のユーザの結果を静かに劣化させることができます。
我々は、この障害モードを意図しないクロスユーザー汚染(UCC)と呼ぶ。
敵のメモリ中毒とは異なり、UCCは攻撃者を必要としず、スコープに縛られたアーティファクトが持続し、後に誤適用される良性相互作用から生じる。
- 参考スコア(独自算出の注目度): 30.33705025907034
- License: http://creativecommons.org/licenses/by-nc-sa/4.0/
- Abstract: LLM-based agents increasingly operate across repeated sessions, maintaining task states to ensure continuity. In many deployments, a single agent serves multiple users within a team or organization, reusing a shared knowledge layer across user identities. This shared persistence expands the failure surface: information that is locally valid for one user can silently degrade another user's outcome when the agent reapplies it without regard for scope. We refer to this failure mode as unintentional cross-user contamination (UCC). Unlike adversarial memory poisoning, UCC requires no attacker; it arises from benign interactions whose scope-bound artifacts persist and are later misapplied. We formalize UCC through a controlled evaluation protocol, introduce a taxonomy of three contamination types, and evaluate the problem in two shared-state mechanisms. Under raw shared state, benign interactions alone produce contamination rates of 57--71%. A write-time sanitization is effective when shared state is conversational, but leaves substantial residual risk when shared state includes executable artifacts, with contamination often manifesting as silent wrong answers. These results indicate that shared-state agents need artifact-level defenses beyond text-level sanitization to prevent silent cross-user failures.
- Abstract(参考訳): LLMベースのエージェントは、継続性を確保するためにタスク状態を維持しながら、繰り返しセッションをまたいで運用されるようになっている。
多くのデプロイメントでは、単一のエージェントがチームや組織内の複数のユーザに対して、ユーザID間で共有知識レイヤを再利用する。
この共有永続化は、障害面を拡張します。あるユーザがローカルに有効である情報は、エージェントがスコープを考慮せずに再適用した場合に、他のユーザの結果を静かに劣化させることができます。
我々は、この障害モードを意図しないクロスユーザー汚染(UCC)と呼ぶ。
敵のメモリ中毒とは異なり、UCCは攻撃者を必要としず、スコープに縛られたアーティファクトが持続し、後に誤適用される良性相互作用から生じる。
制御された評価プロトコルを用いてUCCを形式化し、3種類の汚染型の分類を導入し、2つの共有状態機構で問題を評価した。
生の共有状態下では、良性相互作用だけで57~71%の汚染率が得られる。
書き込み時の衛生は、共有状態が会話的である場合に有効であるが、共有状態が実行可能アーティファクトを含む場合、かなりのリスクが残る。
これらの結果から, 共有状態エージェントは, サイレントなユーザ間の障害を防止するために, テキストレベルの衛生以外に, アーティファクトレベルの防御が必要であることが示唆された。
関連論文リスト
- Beyond Preset Identities: How Agents Form Stances and Boundaries in Generative Societies [28.436766185842767]
本稿では,計算仮想エスノグラフィーと定量的社会認知プロファイリングを組み合わせた新しい混合メソドックスフレームワークを提案する。
Innate Value Bias (IVB)、Persuasion Sensitivity、Trust-Action Decoupling (TAD)の3つの新しいメトリクスを形式化する。
発見は静的なプロンプトエンジニアリングの脆弱さを明らかにし、人間とエージェントのハイブリッド社会における動的アライメントの方法論的かつ定量的基盤を提供する。
論文 参考訳(メタデータ) (2026-03-24T16:38:46Z) - Mind Your HEARTBEAT! Claw Background Execution Inherently Enables Silent Memory Pollution [55.87577638514179]
この脆弱性はClawエコシステム全体で共有されるアーキテクチャ設計から生じる。
外部ソースから取り込まれたコンテンツは、フォアグラウンドインタラクションに使用される同じメモリコンテキストに入ることができる。
私たちはMissClawを使ってエージェントネイティブな社会設定でこの経路をインスタンス化する。
論文 参考訳(メタデータ) (2026-03-24T11:01:09Z) - Differential Harm Propensity in Personalized LLM Agents: The Curious Case of Mental Health Disclosure [5.511540698163254]
大規模言語モデル(LLM)はツール使用エージェントとしてますます普及し、安全上の懸念を有害なテキスト生成から有害なタスク完了へとシフトさせる。
本研究は,知的健康開示がエージェント環境における有害な行動にどのように影響するかを検討した。
以上の結果から,人格化は薬剤的誤用設定において弱い保護要因となるが,最小対向圧下では脆弱であることが示唆された。
論文 参考訳(メタデータ) (2026-03-17T16:16:35Z) - Agents of Chaos [50.53354213047402]
実験室環境に展開する自律言語モデルを用いたエージェントの探索的再チームの研究を報告する。
20人のAI研究者が、良心的および敵対的な条件下でエージェントと対話した。
我々の発見は、現実的なデプロイメント設定におけるセキュリティ、プライバシ、ガバナンスに関連する脆弱性の存在を確立します。
論文 参考訳(メタデータ) (2026-02-23T16:28:48Z) - CausalArmor: Efficient Indirect Prompt Injection Guardrails via Causal Attribution [49.689452243966315]
ツールコール機能を備えたAIエージェントは、IPI(Indirect Prompt Injection)攻撃の影響を受けやすい。
本稿では,選択防衛フレームワークCausalArmorを提案する。
AgentDojoとDoomArenaの実験は、CausalArmorが攻撃的な防御のセキュリティと一致することを示した。
論文 参考訳(メタデータ) (2026-02-08T11:34:08Z) - AI Agents Need Memory Control Over More Context [0.0]
そこで本研究では,書き起こしのリプレイを,各ターンにオンライン更新された有界な内部状態に置き換えるバイオインスパイアされたメモリコントローラを提案する。
ACCは境界メモリを一貫して維持し、より安定したマルチターン動作を示す。
その結果,認知的圧縮は,長期的AIエージェントにおいて,信頼性の高い記憶制御のための実用的で効果的な基礎を提供することが示された。
論文 参考訳(メタデータ) (2026-01-15T18:01:59Z) - When Disagreements Elicit Robustness: Investigating Self-Repair Capabilities under LLM Multi-Agent Disagreements [56.29265568399648]
我々は、不一致が早期のコンセンサスを防ぎ、探索されたソリューション空間を拡張することを主張する。
タスククリティカルなステップの相違は、ソリューションパスのトポロジによってコラボレーションを損なう可能性がある。
論文 参考訳(メタデータ) (2025-02-21T02:24:43Z) - On the Use and Misuse of Absorbing States in Multi-agent Reinforcement
Learning [55.95253619768565]
現在のMARLアルゴリズムは、実験を通してグループ内のエージェントの数が固定されていると仮定している。
多くの実践的な問題において、エージェントはチームメイトの前に終了する可能性がある。
本稿では,吸収状態を持つ完全連結層ではなく,注意を用いた既存の最先端MARLアルゴリズムのアーキテクチャを提案する。
論文 参考訳(メタデータ) (2021-11-10T23:45:08Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。