論文の概要: Your LLM Agent Can Leak Your Data: Data Exfiltration via Backdoored Tool Use
- arxiv url: http://arxiv.org/abs/2604.05432v1
- Date: Tue, 07 Apr 2026 04:58:01 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-04-08 17:42:09.63318
- Title: Your LLM Agent Can Leak Your Data: Data Exfiltration via Backdoored Tool Use
- Title(参考訳): LLMエージェントがデータを漏洩する:バックドアツールによるデータ抽出
- Authors: Wuyang Zhang, Shichao Pei,
- Abstract要約: Back-Revealは、セマンティックトリガーを細調整されたツール使用大型言語モデル(LLM)エージェントに埋め込むデータエクスプロイト攻撃である。
起動すると、バックドアされたエージェントはメモリアクセスツールコールを起動し、格納されたユーザコンテキストを検索し、偽装された検索ツールコールを介してそれを出力する。
- 参考スコア(独自算出の注目度): 12.088272012448328
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Tool-use large language model (LLM) agents are increasingly deployed to support sensitive workflows, relying on tool calls for retrieval, external API access, and session memory management. While prior research has examined various threats, the risk of systematic data exfiltration by backdoored agents remains underexplored. In this work, we present Back-Reveal, a data exfiltration attack that embeds semantic triggers into fine-tuned LLM agents. When triggered, the backdoored agent invokes memory-access tool calls to retrieve stored user context and exfiltrates it via disguised retrieval tool calls. We further demonstrate that multi-turn interaction amplifies the impact of data exfiltration, as attacker-controlled retrieval responses can subtly steer subsequent agent behavior and user interactions, enabling sustained and cumulative information leakage over time. Our experimental results expose a critical vulnerability in LLM agents with tool access and highlight the need for defenses against exfiltration-oriented backdoors.
- Abstract(参考訳): ツール使用の大規模言語モデル(LLM)エージェントは、検索のためのツールコール、外部APIアクセス、セッションメモリ管理に依存して、センシティブなワークフローをサポートするようにデプロイされている。
先行研究は様々な脅威を調査してきたが、バックドアエージェントによる系統的なデータ流出のリスクは未解明のままである。
本研究では、セマンティックトリガを微調整LDMエージェントに埋め込むデータ抽出攻撃であるBack-Revealを提案する。
起動すると、バックドアされたエージェントはメモリアクセスツールコールを起動し、格納されたユーザコンテキストを検索し、偽装された検索ツールコールを介してそれを出力する。
さらに,攻撃者制御された検索応答がその後のエージェント動作やユーザインタラクションを微妙に制御し,持続的かつ累積的な情報漏洩を可能にすることにより,マルチターンインタラクションがデータ流出の影響を増幅することを示した。
実験の結果,LLMエージェントのツールアクセスに対する重大な脆弱性を明らかにし,外ろ過指向のバックドアに対する防御の必要性を強調した。
関連論文リスト
- Silent Egress: When Implicit Prompt Injection Makes LLM Agents Leak Without a Trace [0.0]
自動生成されたURLプレビューに埋め込まれた敵対的命令は、サイレント・エクスプレスと呼ばれるシステムレベルのリスクをもたらす可能性があることを示す。
完全にローカルで再現可能なテストベッドを使用して、悪意のあるWebページがエージェントを誘導し、機密性の高いランタイムコンテキストを透過するアウトバウンドリクエストを発行できることを実証する。
qwen2.5:7bをベースとした480の実験では、攻撃は高い確率 (P (exress) =0.89) で成功し、95%の攻撃は出力ベースの安全チェックでは検出されない。
論文 参考訳(メタデータ) (2026-02-25T22:26:23Z) - Zombie Agents: Persistent Control of Self-Evolving LLM Agents via Self-Reinforcing Injections [57.64370755825839]
セルフ進化エージェントはセッション間で内部状態を更新する。
我々はこのリスクを調査し、Zombie Agentと呼ばれる永続的な攻撃を形式化する。
我々は,攻撃者が制御するWebコンテンツを通じて間接的露光のみを使用するブラックボックス攻撃フレームワークを提案する。
論文 参考訳(メタデータ) (2026-02-17T15:28:24Z) - Interact-RAG: Reason and Interact with the Corpus, Beyond Black-Box Retrieval [49.85856484781787]
本稿では,ILMエージェントを検索プロセスのアクティブマニピュレータに高める新しいパラダイムであるInteract-RAGを紹介する。
我々は、ゼロショット実行と相互作用軌跡の合成を可能にする推論強化ワークフローを開発する。
6つのベンチマーク実験により、Interact-RAGは他の高度な手法よりも大幅に優れていることが示された。
論文 参考訳(メタデータ) (2025-10-31T15:48:43Z) - Searching for Privacy Risks in LLM Agents via Simulation [61.229785851581504]
本稿では,プライバシクリティカルなエージェントインタラクションのシミュレーションを通じて,攻撃と防御戦略の改善を交互に行う検索ベースのフレームワークを提案する。
攻撃戦略は、直接の要求から、不正行為や同意偽造といった高度な戦術へとエスカレートする。
発見された攻撃と防御は、さまざまなシナリオやバックボーンモデルにまたがって伝達され、プライバシーに配慮したエージェントを構築するための強力な実用性を示している。
論文 参考訳(メタデータ) (2025-08-14T17:49:09Z) - Simple Prompt Injection Attacks Can Leak Personal Data Observed by LLM Agents During Task Execution [7.2497315292753415]
本稿では,タスク実行中に観察された個人データをツールコールエージェントが漏出させる要因について検討する。
架空の銀行エージェントを使用して、データフローベースの攻撃を開発し、エージェントセキュリティの最近のベンチマークであるAgentDojoに統合します。
論文 参考訳(メタデータ) (2025-06-01T15:48:06Z) - Towards Action Hijacking of Large Language Model-based Agent [23.13653350521422]
LLMベースのアプリケーションのアクションプランを操作するための新しい攻撃であるAI$mathbf2$を紹介する。
まず、被害者のアプリケーションからアクション認識の知識を収集する。
このような知識に基づいて、攻撃者は誤解を招く入力を生成することができ、LLMを誤解して有害なアクションプランを生成することができる。
論文 参考訳(メタデータ) (2024-12-14T12:11:26Z) - Get my drift? Catching LLM Task Drift with Activation Deltas [55.75645403965326]
タスクドリフトは攻撃者がデータを流出させたり、LLMの出力に影響を与えたりすることを可能にする。
そこで, 簡易線形分類器は, 分布外テストセット上で, ほぼ完全なLOC AUCでドリフトを検出することができることを示す。
このアプローチは、プロンプトインジェクション、ジェイルブレイク、悪意のある指示など、目に見えないタスクドメインに対して驚くほどうまく一般化する。
論文 参考訳(メタデータ) (2024-06-02T16:53:21Z) - Watch Out for Your Agents! Investigating Backdoor Threats to LLM-Based Agents [47.219047422240145]
我々は、LSMベースのエージェントに対して、典型的な安全脅威であるバックドアアタックの1つを調査する第一歩を踏み出した。
具体的には、ユーザ入力とモデル出力のみを操作できる従来のLDMに対するバックドア攻撃と比較して、エージェントバックドア攻撃はより多様で隠蔽的な形式を示す。
論文 参考訳(メタデータ) (2024-02-17T06:48:45Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。