論文の概要: When Agents Handle Secrets: A Survey of Confidential Computing for Agentic AI

• arxiv url: http://arxiv.org/abs/2605.03213v1
• Date: Mon, 04 May 2026 23:09:16 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-05-06 19:35:43.676124
• Title: When Agents Handle Secrets: A Survey of Confidential Computing for Agentic AI
• Title（参考訳）: エージェントが秘密を扱うとき:エージェントAIの機密計算に関する調査
• Authors: Javad Forough, Marios Kogias, Hamed Haddadi,
• Abstract要約: ツールを計画し、実行し、永続的なメモリを保持し、タスクをピアエージェントに委譲するエージェントAIシステムは、スタンドアロンのモデル推論と実質的に異なる脅威表面を導入する。 Trusted Execution Environments (TEEs)は、エージェントコードとデータを特権システムソフトウェアから分離する。 本調査は, 設計空間を, (i) 展開の役割と業績のトレードオフをカバーする6つのTEEプラットフォームの統合分類, (ii) 認知,計画,記憶,行動,調整層を対象とするエージェント中心の脅威モデル, (iii) CCの比較調査の4つの部分で要約する。
• 参考スコア（独自算出の注目度）: 6.1511441479993225
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Agentic AI systems, specifically LLM-driven agents that plan, invoke tools, maintain persistent memory, and delegate tasks to peer agents via protocols such as MCP and A2A, introduce a threat surface that differs materially from standalone model inference. Agents accumulate sensitive context, hold credentials, and operate across pipelines no single party fully controls, enabling prompt injection, context exfiltration, credential theft, and inter-agent message poisoning. Current defenses operate entirely within the software stack and can be silently bypassed by a sufficiently privileged adversary such as a compromised cloud operator. Confidential computing (CC) offers a hardware-rooted alternative: Trusted Execution Environments (TEEs) isolate agent code and data from privileged system software, while remote attestation enables verifiable trust across distributed deployments. This survey synthesizes the design space in four parts: (i) a unified taxonomy of six TEE platforms (Intel SGX, Intel TDX, AMD SEV-SNP, ARM TrustZone, ARM CCA, and NVIDIA H100 CC) covering deployment roles and performance tradeoffs; (ii) an agent-centric threat model spanning perception, planning, memory, action, and coordination layers mapped to nine security goals; (iii) a comparative survey of CC-based defenses distinguishing findings that transfer from single-call inference versus what requires new agentic designs; and (iv) six open challenges including compound attestation for multi-hop agent chains and GPU-TEE performance at LLM scale. While several hardware trust primitives appear mature enough for targeted deployments, no broadly established end-to-end framework yet binds them into a coherent security substrate for production agentic AI.
• Abstract（参考訳）: エージェントAIシステム、特にLLM駆動エージェントは、ツールを計画し、起動し、永続的なメモリを保持し、MCPやA2Aなどのプロトコルを介してピアエージェントにタスクを委譲する。 エージェントはセンシティブなコンテキストを蓄積し、資格を保持し、パイプラインをまたいで運用する。 現在の防御はソフトウェアスタック内で完全に動作し、妥協されたクラウドオペレータのような十分な特権を持つ敵によってサイレントにバイパスされる。 Trusted Execution Environments (TEEs)は、エージェントコードとデータを特権システムソフトウェアから分離し、リモート認証は、分散デプロイメント全体にわたって検証可能な信頼を可能にする。 この調査は、設計空間を4つの部分で合成する。 i)6つのTEEプラットフォーム(Intel SGX, Intel TDX, AMD SEV-SNP, ARM TrustZone, ARM CCA, NVIDIA H100 CC)の統一分類法。 2 エージェント中心の脅威モデルであって、9つのセキュリティ目標にマッピングされた認識、計画、記憶、行動及び調整層にまたがるもの 三 単発推論から新たなエージェント設計を必要とするものへ移行する発見を区別するCCベースの防衛に関する比較調査及び (4) LLMスケールでのマルチホップエージェントチェーンの複合検定とGPU-TEE性能を含む6つのオープンな課題。 いくつかのハードウェア信頼プリミティブは、ターゲットのデプロイメントに十分成熟しているように見えるが、広く確立されたエンドツーエンドフレームワークはまだ、プロダクションエージェントAIのための一貫性のあるセキュリティ基板にそれらをバインドしていない。

関連論文リスト

• SafeAgent: A Runtime Protection Architecture for Agentic Systems [4.4767259565994495]
  本稿では,エージェントの安全性をステートフルな意思決定問題として扱うランタイムセキュリティアーキテクチャであるSafeAgentを提案する。 提案した設計は、セマンティックリスク推論から2つの調整されたコンポーネントを通して実行ガバナンスを分離する。 Agent Security Bench (ASB) と InjecAgent の実験は、SafeAgent がベースラインとテキストレベルのガードレールメソッドよりもロバスト性を一貫して改善していることを示している。
  論文  参考訳（メタデータ） (2026-04-19T18:02:21Z)
• AgenticCyOps: Securing Multi-Agentic AI Integration in Enterprise Cyber Operations [7.660803748903973]
  マルチエージェントシステム(MAS)は適応的で推論駆動の企業を約束するが、ツール、メモリ、通信の自律的な制御をエージェントに与えることで、決定論的パイプラインが欠如する攻撃面を導入する。 AgenticCyOpsは、コンポーネント層、調整層、プロトコル層にまたがる攻撃面を体系的に分解するフレームワークである。 このフレームワークをSecurity Operations Center(SOC)ワークフローに適用し、モデルコンテキストプロトコル(MCP)を構造基盤として採用する。
  論文  参考訳（メタデータ） (2026-03-10T03:15:36Z)
• OMNI-LEAK: Orchestrator Multi-Agent Network Induced Data Leakage [59.3826294523924]
  オーケストレータ設定として知られる,一般的なマルチエージェントパターンのセキュリティ脆弱性について検討する。 本報告では,フロンティアモデルの攻撃カテゴリに対する感受性を報告し,推論モデルと非推論モデルの両方が脆弱であることが確認された。
  論文  参考訳（メタデータ） (2026-02-13T21:32:32Z)
• CaMeLs Can Use Computers Too: System-level Security for Computer Use Agents [60.98294016925157]
  AIエージェントは、悪意のあるコンテンツがエージェントの行動をハイジャックして認証情報を盗んだり、金銭的損失を引き起こすような、インジェクション攻撃に弱い。 CUAのためのシングルショットプランニングでは、信頼できるプランナーが、潜在的に悪意のあるコンテンツを観察する前に、条件付きブランチで完全な実行グラフを生成する。 このアーキテクチャ分離は命令インジェクションを効果的に防止するが、ブランチステアリング攻撃を防ぐには追加の対策が必要であることを示す。
  論文  参考訳（メタデータ） (2026-01-14T23:06:35Z)
• Towards Verifiably Safe Tool Use for LLM Agents [53.55621104327779]
  大規模言語モデル(LLM)ベースのAIエージェントは、データソース、API、検索エンジン、コードサンドボックス、さらにはその他のエージェントなどのツールへのアクセスを可能にすることで、機能を拡張する。 LLMは意図しないツールインタラクションを起動し、機密データを漏洩したり、クリティカルレコードを上書きしたりするリスクを発生させる。 モデルベースセーフガードのようなリスクを軽減するための現在のアプローチは、エージェントの信頼性を高めるが、システムの安全性を保証することはできない。
  論文  参考訳（メタデータ） (2026-01-12T21:31:38Z)
• Agentic AI for Autonomous Defense in Software Supply Chain Security: Beyond Provenance to Vulnerability Mitigation [0.0]
  本論文は,自律型ソフトウェアサプライチェーンセキュリティに基づくエージェント人工知能(AI)の例を含む。 大規模言語モデル(LLM)ベースの推論、強化学習(RL)、マルチエージェント調整を組み合わせている。 その結果、エージェントAIは、自己防衛的で積極的なソフトウェアサプライチェーンへの移行を促進することが示されている。
  論文  参考訳（メタデータ） (2025-12-29T14:06:09Z)
• Trusted AI Agents in the Cloud [4.2366483628004366]
  Omegaは、エンドツーエンドのアイソレーションを強制することによって、信頼できるAIエージェントを可能にするシステムである。 クロスプリンシパル信頼確立による効率的なマルチエージェントオーケストレーションを提供する。 クラウドスケールでの高密度でポリシーに準拠したマルチエージェントデプロイメントを実現すると同時に、高いパフォーマンスを実現する。
  論文  参考訳（メタデータ） (2025-12-05T18:48:53Z)
• Sentinel Agents for Secure and Trustworthy Agentic AI in Multi-Agent Systems [0.42970700836450487]
  本稿では,マルチエージェントシステム(MAS)のセキュリティと信頼性向上を目的とした新しいアーキテクチャフレームワークを提案する。 このフレームワークの中心的なコンポーネントは、分散セキュリティ層として機能するSentinel Agentsのネットワークである。 このようなエージェントは、エージェント間のコミュニケーションを監督し、潜在的な脅威を特定し、プライバシーとアクセス制御を強制し、包括的な監査記録を維持することができる。
  論文  参考訳（メタデータ） (2025-09-18T13:39:59Z)
• DRIFT: Dynamic Rule-Based Defense with Injection Isolation for Securing LLM Agents [52.92354372596197]
  大規模言語モデル(LLM)は、強力な推論と計画能力のため、エージェントシステムの中心となってきています。 この相互作用は、外部ソースからの悪意のある入力がエージェントの振る舞いを誤解させる可能性がある、インジェクション攻撃のリスクも引き起こす。 本稿では,信頼に値するエージェントシステムのための動的ルールベースの分離フレームワークを提案する。
  論文  参考訳（メタデータ） (2025-06-13T05:01:09Z)
• CoTGuard: Using Chain-of-Thought Triggering for Copyright Protection in Multi-Agent LLM Systems [55.57181090183713]
  我々は、Chain-of-Thought推論内でトリガーベースの検出を活用する著作権保護のための新しいフレームワークであるCoTGuardを紹介する。 具体的には、特定のCoTセグメントをアクティベートし、特定のトリガクエリをエージェントプロンプトに埋め込むことで、未許可コンテンツ再生の中間的推論ステップを監視する。 このアプローチは、協調エージェントシナリオにおける著作権侵害の微細かつ解釈可能な検出を可能にする。
  論文  参考訳（メタデータ） (2025-05-26T01:42:37Z)
• HasTEE+ : Confidential Cloud Computing and Analytics with Haskell [50.994023665559496]
  信頼性コンピューティングは、Trusted Execution Environments(TEEs)と呼ばれる特別なハードウェア隔離ユニットを使用して、コテナントクラウドデプロイメントにおける機密コードとデータの保護を可能にする。 低レベルのC/C++ベースのツールチェーンを提供するTEEは、固有のメモリ安全性の脆弱性の影響を受けやすく、明示的で暗黙的な情報フローのリークを監視するための言語構造が欠如している。 私たちは、Haskellに埋め込まれたドメイン固有言語(cla)であるHasTEE+を使って、上記の問題に対処します。
  論文  参考訳（メタデータ） (2024-01-17T00:56:23Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。