論文の概要: TrEEStealer: Stealing Decision Trees via Enclave Side Channels

• arxiv url: http://arxiv.org/abs/2604.18716v1
• Date: Mon, 20 Apr 2026 18:17:01 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-04-22 22:41:49.410035
• Title: TrEEStealer: Stealing Decision Trees via Enclave Side Channels
• Title（参考訳）: TrEEStealer: Enclaveサイドチャネルを介して決定木をステアリングする
• Authors: Jonas Sander, Anja Rabich, Nick Mahling, Felix Maurer, Jonah Heller, Qifan Wang, Thomas Eisenbarth, David Oswald,
• Abstract要約: 本稿では,TEE保護された決定木を盗むための高忠実抽出攻撃TrEEStealerを紹介する。 TrEEStealerはTEE固有のチャネルを利用して、API出力やDT構造に関する強い仮定なしに、DTを効率的に盗む。 我々の研究は、DT抽出のための新しい最先端技術を確立し、TEEが制御フローリークから保護できないことを確認します。
• 参考スコア（独自算出の注目度）: 31.767730885781777
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Today, machine learning is widely applied in sensitive, security-related, and financially lucrative applications. Model extraction attacks undermine current business models where a model owner sells model access, e.g., via MLaaS APIs. Additionally, stolen models can enable powerful white-box attacks, facilitating privacy attacks on sensitive training data, and model evasion. In this paper, we focus on Decision Trees (DT), which are widely deployed in practice. Existing black-box extraction attacks for DTs are either query-intensive, make strong assumptions about the DT structure, or rely on rich API information. To limit attacks to the black-box setting, CPU vendors introduced Trusted Execution Environments (TEE) that use hardware-mechanisms to isolate workloads from external parties, e.g., MLaaS providers. We introduce TrEEStealer, a high-fidelity extraction attack for stealing TEE-protected DTs. TrEEStealer exploits TEE-specific side-channels to steal DTs efficiently and without strong assumptions about the API output or DT structure. The extraction efficacy stems from a novel algorithm that maximizes the information derived from each query by coupling Control-Flow Information (CFI) with passive information tracking. We use two primitives to acquire CFI: for AMD SEV, we follow previous work using the SEV-Step framework and performance counters. For Intel SGX, we reproduce prior findings on current Xeon 6 CPUs and construct a new primitive to efficiently extract the branch history of inference runs through the Branch-History-Register. We found corresponding vulnerabilities in three popular libraries: OpenCV, mlpack, and emlearn. We show that TrEEStealer achieves superior efficiency and extraction fidelity compared to prior attacks. Our work establishes a new state-of-the-art for DT extraction and confirms that TEEs fail to protect against control-flow leakage.
• Abstract（参考訳）: 今日では、機械学習は、敏感でセキュリティにかかわる、経済的に有利なアプリケーションに広く応用されている。 モデル抽出攻撃は、モデル所有者がMLaaS API経由でモデルアクセスを販売している現在のビジネスモデルを損なう。 さらに、盗まれたモデルは強力なホワイトボックス攻撃を可能にし、センシティブなトレーニングデータに対するプライバシ攻撃を促進し、モデル回避を可能にする。 本稿では,実際に広く展開されている決定木(DT)に焦点を当てる。 既存のDTのブラックボックス抽出攻撃は、クエリに重きを置くか、DT構造について強い仮定をするか、リッチなAPI情報に依存するかのどちらかです。 ブラックボックス設定に対する攻撃を制限するため、CPUベンダはTrusted Execution Environments (TEE)を導入した。 本稿では,TEE保護DTを盗むための高忠実性抽出攻撃TrEEStealerを紹介する。 TrEEStealerは、TEE固有のサイドチャネルを利用して、API出力やDT構造に関する強い仮定なしに、DTを効率的に盗む。 抽出効率は、受動的情報追跡と制御フロー情報(CFI)を結合することにより、各クエリから得られる情報を最大化する新しいアルゴリズムに由来する。 我々はCFIの取得に2つのプリミティブを使用し、AMD SEVではSEV-Stepフレームワークとパフォーマンスカウンタを使用した以前の作業に従う。 Intel SGX では、現在の Xeon 6 CPU の事前発見を再現し、分岐履歴を効率的に抽出する新しいプリミティブを構築した。 OpenCV, mlpack, emlearnの3つの人気ライブラリに,対応する脆弱性が見つかった。 TrEEStealerは,前回の攻撃に比べ,効率と抽出精度が優れていることを示す。 我々の研究は、DT抽出のための新しい最先端技術を確立し、TEEが制御フローリークから保護できないことを確認します。

関連論文リスト

• dataRLsec: Safety, Security, and Reliability With Robust Offline Reinforcement Learning for DPAs [0.0]
  データ中毒攻撃(DPA)は、人工知能(AI)アルゴリズム、機械学習(ML)アルゴリズム、人工知能(AI)時代のディープラーニング(DL)アルゴリズムとして人気を集めている。 ハッカーやテスタは、トレーニングデータ(およびテストデータも)に悪意のあるコンテンツを注入しています。 我々は, DPAの安全性, 安全性, 対策に使用されているいくつかの技術について分析を行った。
  論文  参考訳（メタデータ） (2026-01-03T21:28:17Z)
• VulnLLM-R: Specialized Reasoning LLM with Agent Scaffold for Vulnerability Detection [45.69684471143409]
  VulnLLM-R は脆弱性検出のための LLM を最優先の推論である。 私たちは70億のパラメータを持つ推論モデルをトレーニングします。 VulnLLM-R は SOTA 静的解析ツールよりも有効性と効率が優れていることを示す。
  論文  参考訳（メタデータ） (2025-12-08T13:06:23Z)
• The Trojan Knowledge: Bypassing Commercial LLM Guardrails via Harmless Prompt Weaving and Adaptive Tree Search [58.8834056209347]
  大規模言語モデル(LLM)は、有害な出力を誘導するために安全ガードレールをバイパスするジェイルブレイク攻撃に弱いままである。 CKA-Agent(Correlated Knowledge Attack Agent)は、ターゲットモデルの知識基盤の適応的木構造探索としてジェイルブレイクを再構成する動的フレームワークである。
  論文  参考訳（メタデータ） (2025-12-01T07:05:23Z)
• External Data Extraction Attacks against Retrieval-Augmented Large Language Models [70.47869786522782]
  RAGは、大規模言語モデル(LLM)を拡張するための重要なパラダイムとして登場した。 RAGは外部データ抽出攻撃(EDEA)の新たなリスクを導入している。 本研究は, EDEA を検索拡張 LLM に対して形式化する最初の総合的研究である。
  論文  参考訳（メタデータ） (2025-10-03T12:53:45Z)
• Malice in Agentland: Down the Rabbit Hole of Backdoors in the AI Supply Chain [82.98626829232899]
  自分自身のインタラクションからのデータに対する微調整のAIエージェントは、AIサプライチェーン内の重要なセキュリティ脆弱性を導入している。 敵は容易にデータ収集パイプラインに毒を盛り、検出しにくいバックドアを埋め込むことができる。
  論文  参考訳（メタデータ） (2025-10-03T12:47:21Z)
• DRIFT: Dynamic Rule-Based Defense with Injection Isolation for Securing LLM Agents [52.92354372596197]
  大規模言語モデル(LLM)は、強力な推論と計画能力のため、エージェントシステムの中心となってきています。 この相互作用は、外部ソースからの悪意のある入力がエージェントの振る舞いを誤解させる可能性がある、インジェクション攻撃のリスクも引き起こす。 本稿では,信頼に値するエージェントシステムのための動的ルールベースの分離フレームワークを提案する。
  論文  参考訳（メタデータ） (2025-06-13T05:01:09Z)
• Learning to Poison Large Language Models for Downstream Manipulation [12.521338629194503]
  この研究は、教師付き微調整プロセスを利用するのに適した新しいデータ中毒攻撃を設計することで、LLM(Large Language Models)のさらなるセキュリティリスクを特定する。 本稿では,逆方向誘導学習(GBTL)アルゴリズムを提案する。 In-context Learning(ICL)とContinuous Learning(CL)の2つの防衛戦略を提案する。
  論文  参考訳（メタデータ） (2024-02-21T01:30:03Z)
• Kellect: a Kernel-Based Efficient and Lossless Event Log Collector for Windows Security [5.043058252123722]
  ETW for Windows上に構築されている既存のログ収集ツールは、データ損失、オーバーヘッドの増大、リアルタイムのパフォーマンスの低下など、作業不足に悩まされている。 本稿では, www.kellect.orgでオープンソースプロジェクトをオープンソース化したKellectという,効率的でロスレスなカーネルログコレクタを提案する。
  論文  参考訳（メタデータ） (2022-07-23T14:38:43Z)
• DeepTaskAPT: Insider APT detection using Task-tree based Deep Learning [1.5026200429729288]
  本稿では,タスク列に基づくベースラインモデルを構築するための,異種タスクツリーに基づくディープラーニング手法を提案する。 DeepTaskAPTは、シーケンシャルなログエントリに直接モデルを適用するのではなく、プロセスツリーベースのタスク生成メソッドを適用します。 知る限りでは、これは最近導入されたOPTCデータセットをサイバー脅威検出に使用するための最初の試みである。
  論文  参考訳（メタデータ） (2021-08-31T17:22:34Z)
• Adversarial EXEmples: A Survey and Experimental Evaluation of Practical Attacks on Machine Learning for Windows Malware Detection [67.53296659361598]
  EXEmplesは、比較的少ない入力バイトを摂動することで、機械学習に基づく検出をバイパスすることができる。 我々は、機械学習モデルに対する過去の攻撃を包含し、一般化するだけでなく、3つの新たな攻撃を含む統一フレームワークを開発する。 これらの攻撃はFull DOS、Extended、Shiftと呼ばれ、DOSヘッダをそれぞれ操作し、拡張し、第1セクションの内容を変更することで、敵のペイロードを注入する。
  論文  参考訳（メタデータ） (2020-08-17T07:16:57Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。