論文の概要: Governed MCP: Kernel-Level Tool Governance for AI Agents via Logit-Based Safety Primitives

• arxiv url: http://arxiv.org/abs/2604.16870v1
• Date: Sat, 18 Apr 2026 06:40:20 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-04-22 14:04:47.909456
• Title: Governed MCP: Kernel-Level Tool Governance for AI Agents via Logit-Based Safety Primitives
• Title（参考訳）: Governed MCP: ログベースの安全プライミティブによるAIエージェントのためのカーネルレベルツールガバナンス
• Authors: Daeyeon Son,
• Abstract要約: Governed MCPは、ログベースの安全プリミティブ上に構築されたツールガバナンスゲートウェイである。 ゲートウェイは6層パイプライン内のすべてのMPPツールコールに介在する。 私は、約86,000行のRustのベアメタルx86_64 OSにGoverned MCPを実装しました。
• 参考スコア（独自算出の注目度）: 0.0
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: AI agents increasingly call external tools (file system, network, APIs) through the Model Context Protocol (MCP). These tool calls are the agent's syscalls -- privileged operations with side effects on shared state -- yet today's safety enforcement lives entirely in userspace, where a 10-line script can bypass it. I propose Governed MCP, a kernel-resident tool governance gateway built on a logit-based safety primitive (ProbeLogits, companion paper: arXiv:2604.11943). The gateway interposes on every MCP tool call in a 6-layer pipeline: schema validation, trust tier check, rate limit, adversarial pre-filter, ProbeLogits gate (the load-bearing semantic check), and constitutional policy match, with a Blake3-hashed audit chain. I implement Governed MCP in Anima OS, a bare-metal x86_64 OS in approximately 86,000 lines of Rust. The five non-inference layers add 65.3 microseconds of overhead per call; ProbeLogits adds 65 ms (per-token-class semantic decision) on 7B Q4_0. A 4-config ablation on a 101-prompt MCP-domain benchmark shows that removing the ProbeLogits layer collapses F1 from 0.773 to 0.327 (Delta F1 = -0.446) -- hand-rule firewalling alone is insufficient. All 15 WASM-to-system host functions in the runtime route through the gateway (complete mediation of the WASM ABI surface; the scope and caveats of this claim are stated in Section 4.6); a 10-LoC userspace bypass that defeats existing guardrail libraries is structurally impossible against the kernel-resident gate.
• Abstract（参考訳）: AIエージェントは、モデルコンテキストプロトコル(MCP)を通じて、外部ツール(ファイルシステム、ネットワーク、API)をますます呼び出す。 これらのツールコールはエージェントのsyscall -- 共有状態に副作用のある特権操作 -- である。 Governed MCPは、ロジットベースの安全プリミティブ(ProbeLogits、コンパニオンペーパー:arXiv:2604.1 1943)上に構築されたカーネルレジデントツールガバナンスゲートウェイである。 ゲートウェイは、スキーマバリデーション、信頼層チェック、レート制限、対逆前フィルタ、ProbeLogitsゲート(ロードバッキングセマンティックチェック)、コンスティチューションポリシマッチの6層パイプライン内のすべてのMPPツールコールをBlake3ハッシュ監査チェーンで介在する。 私は、約86,000行のRustでベアメタルのx86_64 OSであるAnima OSにGoverned MCPを実装しました。 5つのノン推論レイヤは、呼び出し毎に65.3マイクロ秒のオーバーヘッドを追加する。 101-promptのMPPベンチマークにおける4-config ablationは、プロベロジッツ層を0.773から0.327(Delta F1 = -0.446)に分解することは、手動のファイアウォールだけでは不十分であることを示している。 15のWASM-to-systemホストは、ゲートウェイ(WASM ABI表面の完全なメディエーション、この主張のスコープと注意事項はセクション4.6に記載されている)を介して実行時ルートで機能し、既存のガードレールライブラリを破る10-LoCのユーザー空間バイパスは、カーネル常駐ゲートに対して構造的に不可能である。

関連論文リスト

• ProbeLogits: Kernel-Level LLM Inference Primitives for AI-Native Operating Systems [0.0]
  LLM推論を内部で実行するOSカーネルは、任意のテキストが生成される前にロジット分布を読み取ることができる。 本稿では,シングルフォワードパスを実行するカーネルレベルの操作であるProbeLogitsについて述べる。
  論文  参考訳（メタデータ） (2026-04-13T18:32:02Z)
• LanG -- A Governance-Aware Agentic AI Platform for Unified Security Operations [2.1142550386295853]
  本稿では,LLM支援ネットワークガバナンス(LanG)について述べる。 プラットフォームはマルチテナントアイソレーション、ロールベースのアクセス、完全にローカルなデプロイメントをサポートする。 精密な異常検出と脅威検出は、侵入検出ベンチマークでそれぞれ99.0%と91.0%の重み付きF1スコアを達成する。
  論文  参考訳（メタデータ） (2026-04-07T05:22:25Z)
• ShieldNet: Network-Level Guardrails against Emerging Supply-Chain Injections in Agentic Systems [56.613157564882925]
  悪意のある行動は、一見良心的なツールに埋め込まれ、エージェントの実行を静かにハイジャックしたり、機密データをリークしたり、無許可のアクションをトリガーしたりする。 影響は拡大しているが、このような脅威を評価するための包括的なベンチマークは今のところ存在しない。 実ネットワークの相互作用を観測してサプライチェーン中毒を検出するネットワークレベルのガードレールフレームワークであるShieldNetを提案する。
  論文  参考訳（メタデータ） (2026-04-06T05:15:00Z)
• ML Defender (aRGus NDR): An Open-Source Embedded ML NIDS for Botnet and Anomalous Traffic Detection in Resource-Constrained Organizations [0.0]
  本稿では,C++20で構築された,150-200 USDのコモディティハードウェア上にデプロイ可能なオープンソースのネットワーク侵入検知システムを提案する。 ML Defenderは、eBPF/XDPパケットキャプチャ、ZeroMQトランスポート、Protocol Buffersシリアライゼーションの6成分パイプラインを実装している。 Ransomware Threat Winsポリシーは、ML推論を用いて両方のスコアの最大演算を選択し、偽陽性を抑える。
  論文  参考訳（メタデータ） (2026-04-03T05:20:13Z)
• Governing Dynamic Capabilities: Cryptographic Binding and Reproducibility Verification for AI Agent Tool Use [0.0]
  既存のセキュリティレイヤでは、AIエージェントに何ができるか、それが主張するものを実行したのか、マルチエージェントインタラクションで何が起きたのかを検証できない。 既存のフレームワークはこれら2つを詳述し、サイレントな能力のエスカレーションを可能にし、検証済みの証明なしに相互作用を残す。 我々は3つのエージェントガバナンス要件を導出する:能力の完全性(G1)、行動の妥当性(G2)、相互作用監査性(G3)。 基本(Ed25519, SHA-256; 97 us verify)と拡張(BBS+選択開示、Groth16 DV-SNARK; 13.8 ms)の2つの暗号に依存しないインスタンス化で検証する。
  論文  参考訳（メタデータ） (2026-03-15T11:46:57Z)
• CLASP: Defending Hybrid Large Language Models Against Hidden State Poisoning Attacks [48.54598003197356]
  Mambaのような状態空間モデル(SSM)はトランスフォーマーの効率的な代替品として大きな注目を集めている。 HiSPAsは、最近発見された脆弱性で、敵対する文字列を通じてSSMメモリを破損させる。 この脅威に対して防御するためのCLASPモデルを紹介します。
  論文  参考訳（メタデータ） (2026-03-12T17:29:55Z)
• Trace: Securing Smart Contract Repository Against Access Control Vulnerability [58.02691083789239]
  GitHubはソースコード、ドキュメント、設定ファイルを含む多数のスマートコントラクトリポジトリをホストしている。 サードパーティの開発者は、カスタム開発中にこれらのリポジトリからコードを参照、再利用、フォークすることが多い。 スマートコントラクトの脆弱性を検出する既存のツールは、複雑なリポジトリを扱う能力に制限されている。
  論文  参考訳（メタデータ） (2025-10-22T05:18:28Z)
• LiveMCPBench: Can Agents Navigate an Ocean of MCP Tools? [50.60770039016318]
  モデルコンテキストプロトコル(MCP)エージェントをベンチマークする最初の総合ベンチマークであるLiveMCPBenchを紹介する。 LiveMCPBenchは、MPPエコシステムに根ざした95の現実世界のタスクで構成されている。 評価は10の先行モデルを対象としており、最高の性能のモデルが78.95%の成功率に達した。
  論文  参考訳（メタデータ） (2025-08-03T14:36:42Z)
• DRIFT: Dynamic Rule-Based Defense with Injection Isolation for Securing LLM Agents [52.92354372596197]
  大規模言語モデル(LLM)は、強力な推論と計画能力のため、エージェントシステムの中心となってきています。 この相互作用は、外部ソースからの悪意のある入力がエージェントの振る舞いを誤解させる可能性がある、インジェクション攻撃のリスクも引き起こす。 本稿では,信頼に値するエージェントシステムのための動的ルールベースの分離フレームワークを提案する。
  論文  参考訳（メタデータ） (2025-06-13T05:01:09Z)
• SOPBench: Evaluating Language Agents at Following Standard Operating Procedures and Constraints [59.645885492637845]
  SOPBenchは、各サービス固有のSOPコードプログラムを実行可能な関数の有向グラフに変換する評価パイプラインである。 提案手法では,各サービス固有のSOPコードプログラムを実行可能関数の有向グラフに変換し,自然言語SOP記述に基づいてこれらの関数を呼び出しなければならない。 我々は18の先行モデルを評価し、上位モデルでさえタスクが困難であることを示す。
  論文  参考訳（メタデータ） (2025-03-11T17:53:02Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。