論文の概要: LogJack: Indirect Prompt Injection Through Cloud Logs Against LLM Debugging Agents
- arxiv url: http://arxiv.org/abs/2604.15368v1
- Date: Wed, 15 Apr 2026 04:32:36 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-04-20 22:00:19.558222
- Title: LogJack: Indirect Prompt Injection Through Cloud Logs Against LLM Debugging Agents
- Title(参考訳): LogJack: LLMデバッグエージェントに対するクラウドログによる間接プロンプトインジェクション
- Authors: Harsh Shah,
- Abstract要約: 5つのクラウドログカテゴリにわたる42のペイロードのベンチマークであるLogJackを紹介します。
本研究は,3つの素早い条件下での8つの基礎モデルについて評価し,それぞれ5つの独立した試験を行った。
パッシブ命令(修正を実行しない)は、ほとんどのモデルを0%まで削減するが、Llamaは30.0%で実行している。
- 参考スコア(独自算出の注目度): 1.6921396880325779
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: LLM debugging agents that consume cloud logs and execute remediation commands are vulnerable to indirect prompt injection through log content. We present LogJack, a benchmark of 42 payloads across 5 cloud log categories, and evaluate 8 foundation models under 3 prompt conditions with 5 independent trials each (n = 160 per model per condition on 32 attack payloads). Under the active condition, verbatim command execution rates range from 0% (Claude Sonnet 4.6) to 86.2% (Llama 3.3 70B). Passive instructions ("do not execute fixes") reduce most models to 0% but Llama still executes at 30.0%. Remote code execution via curl | bash succeeds on 6 of 8 models. Guardrails from AWS, GCP, and Azure largely fail to detect log-embedded injections-Azure Prompt Shield detected only the most obvious payload (1/32), while GCP Model Armor detected none-though they detect identical payloads in isolation. We also observe a novel "sanitize and execute" behavior where a model detects and removes an obvious malicious component but still executes the remaining injected command. Benchmark and harness available at github.com/HarshShah1997/logjack.
- Abstract(参考訳): クラウドログを消費し、修復コマンドを実行するLLMデバッグエージェントは、ログコンテンツを通じて間接的なインジェクションに対して脆弱である。
5つのクラウドログカテゴリにわたる42のペイロードのベンチマークであるLogJackを,5つの独立したトライアル(32の攻撃ペイロードでは1つのモデル毎のn = 160)で,3つのプロンプト条件下で8つの基盤モデルを評価する。
アクティブな条件下では、動詞の命令実行率は0% (Claude Sonnet 4.6) から86.2% (Llama 3.3 70B) まで変化している。
パッシブ命令(修正を実行しない)は、ほとんどのモデルを0%まで削減するが、Llamaは30.0%で実行している。
curl | bashによるリモートコード実行は、8つのモデルのうち6つで成功する。
AWS、GCP、Azureのガードレールは、ログ埋め込みインジェクションの検出にほとんど失敗し、Azure Prompt Shieldは最も明白なペイロードのみを検出した(1/32)。
また、モデルが明らかな悪意のあるコンポーネントを検出し、削除するが、残りのインジェクションされたコマンドを実行している、新しい"衛生と実行"動作も観察する。
ベンチマークとハーネスはgithub.com/HarshShah1997/logjackで入手できる。
関連論文リスト
- Compiling Activation Steering into Weights via Null-Space Constraints for Stealthy Backdoors [48.881343993730844]
安全性に整合した大規模言語モデル(LLM)は、現実世界のパイプラインにますますデプロイされている。
敵は通常の評価では動作しないバックドアのチェックポイントを配布することができる。
最近のポストホック重み付け法は、そのようなバックドアを注入するための効率的なアプローチを提供する。
論文 参考訳(メタデータ) (2026-04-14T06:48:33Z) - Your Agent Is Mine: Measuring Malicious Intermediary Attacks on the LLM Supply Chain [6.142057368768942]
大規模言語モデル(LLM)エージェントは、ツール呼び出し要求のディスパッチにサードパーティのAPIルータに依存している。
本研究は,この攻撃面に関する最初の系統的研究である。
論文 参考訳(メタデータ) (2026-04-09T16:06:41Z) - AegisUI: Behavioral Anomaly Detection for Structured User Interface Protocols in AI Agent Systems [0.0]
現在のディフェンスは構文上停止する。このような動作ミスマッチをキャッチするために構築されることはない。
AegisUIは構造化されたUIペイロードを生成し、それらに現実的な攻撃を注入し、数値的特徴を抽出し、エンドツーエンドで異常検出をベンチマークする。
5つのアプリケーションドメインと5つのアタックファミリーにまたがる4000のラベル付きペイロードを生成しました。
論文 参考訳(メタデータ) (2026-03-05T10:24:43Z) - Self-Purification Mitigates Backdoors in Multimodal Diffusion Language Models [74.1970982768771]
確立されたデータポゾンパイプラインは,MDLMにバックドアを埋め込むことに成功した。
拡散自己浄化(Diffusion Self-Purification)と呼ばれるMDLMのバックドア防御フレームワークについて紹介する。
論文 参考訳(メタデータ) (2026-02-24T15:47:52Z) - AgentSys: Secure and Dynamic LLM Agents Through Explicit Hierarchical Memory Management [47.49917373646469]
既存の防御は肥大した記憶を与えられたまま扱い、回復力を維持することに集中する。
我々は、明示的なメモリ管理を通じて間接的なインジェクションを防御するフレームワークであるAgentSysを紹介する。
論文 参考訳(メタデータ) (2026-02-07T06:28:51Z) - Backdoor Collapse: Eliminating Unknown Threats via Known Backdoor Aggregation in Language Models [75.29749026964154]
Ourmethodは、複数のベンチマークで平均的な攻撃成功率を4.41%に下げる。
クリーンな精度と実用性はオリジナルのモデルの0.5%以内に保存される。
防衛はさまざまな種類のバックドアをまたいで一般化し、実際のデプロイメントシナリオにおける堅牢性を確認します。
論文 参考訳(メタデータ) (2025-10-11T15:47:35Z) - Defending against Indirect Prompt Injection by Instruction Detection [109.30156975159561]
InstructDetectorは、LLMの動作状態を利用して潜在的なIPI攻撃を特定する、新しい検出ベースのアプローチである。
InstructDetectorは、ドメイン内設定で99.60%、ドメイン外設定で96.90%の検出精度を達成し、攻撃成功率をBIPIAベンチマークで0.03%に下げる。
論文 参考訳(メタデータ) (2025-05-08T13:04:45Z) - InjecGuard: Benchmarking and Mitigating Over-defense in Prompt Injection Guardrail Models [7.186499635424984]
プロンプトインジェクション攻撃は大規模言語モデル(LLM)に重大な脅威をもたらす
プロンプトガードモデルは防御に有効であるが、単語バイアスの引き金として過防衛に苦しむ。
InjecGuardは、新しいトレーニング戦略であるMitigating Over-defense for Freeを取り入れた、新しいプロンプトガードモデルである。
論文 参考訳(メタデータ) (2024-10-30T07:39:42Z) - Self-Supervised Log Parsing [59.04636530383049]
大規模ソフトウェアシステムは、大量の半構造化ログレコードを生成する。
既存のアプローチは、ログ特化や手動ルール抽出に依存している。
本稿では,自己教師付き学習モデルを用いて解析タスクをマスク言語モデリングとして定式化するNuLogを提案する。
論文 参考訳(メタデータ) (2020-03-17T19:25:25Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。