論文の概要: Constraining Host-Level Abuse in Self-Hosted Computer-Use Agents via TEE-Backed Isolation

• arxiv url: http://arxiv.org/abs/2605.06393v1
• Date: Thu, 07 May 2026 15:08:40 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-05-08 22:27:11.931315
• Title: Constraining Host-Level Abuse in Self-Hosted Computer-Use Agents via TEE-Backed Isolation
• Title（参考訳）: TEE支援による自家用コンピュータエージェントのホストレベル乱用抑制
• Authors: Di Lu, Bo Zhang, Xiyuan Li, Yongzhi Liao, Xuewen Dong, Yulong Shen, Zhiquan Liu, Jianfeng Ma,
• Abstract要約: 自己ホスト型コンピュータ利用エージェント(SHCUA)は、自然言語によるインタラクションとホスト側のリソースへの直接アクセスを組み合わせる。 本稿では,SHCUA 操作のリスクベース抑止のための操作中心モデルを提案する。
• 参考スコア（独自算出の注目度）: 29.46902986541309
• License: http://creativecommons.org/licenses/by-nc-nd/4.0/
• Abstract: Self-hosted computer-use agents (SHCUAs), such as OpenClaw, combine natural-language interaction with direct access to host-side resources, including browsers, files, scripts, system commands, and external communication channels. While useful for automating real tasks, this capability also creates a host-level abuse surface: a legitimately deployed agent may be steered toward unsafe operations through malicious messages, indirect prompt injection, unsafe skills, or tampering along the host-side control path. We argue that such risks cannot be addressed by ad hoc blocking rules alone, because the security criticality of an operation depends jointly on its action type, target object, execution context, and potential effect. This paper presents an operation-centric model for risk-based confinement of SHCUA operations. The proposed design keeps ordinary functionality on the constrained REE path, while protecting security-critical classification, authorization, binding, evidence generation, and selected execution-control decisions inside a cloud-native TEE-backed trusted operation plane. We instantiate the architecture on OpenClaw using Intel TDX as the primary trusted backend, with remote terminal-side trusted components verifying TDX-audited commands before constrained local execution. The evaluation shows that the design can block unsafe or policy-disallowed operations before execution, preserve ordinary functionality for allowed workloads, and provide auditable evidence with deployment-dependent overhead.
• Abstract（参考訳）: OpenClawのような自己ホスト型コンピュータ利用エージェント(SHCUA)は、ブラウザ、ファイル、スクリプト、システムコマンド、外部通信チャネルなどのホスト側のリソースに直接アクセスする自然言語操作と組み合わせている。 正当にデプロイされたエージェントは、悪意のあるメッセージ、間接的なプロンプトインジェクション、安全でないスキル、ホスト側のコントロールパスに沿って改ざんされる可能性がある。 このようなリスクはアドホックなブロッキングルールだけでは対処できない、と我々は主張する。なぜなら、オペレーションのセキュリティ臨界は、そのアクションタイプ、ターゲットオブジェクト、実行コンテキスト、潜在的な影響に共同で依存するためである。 本稿では,SHCUA操作のリスクベース抑止のための操作中心モデルを提案する。 提案設計は、セキュリティクリティカルな分類、認可、バインディング、エビデンス生成、およびクラウドネイティブなTEE支援の信頼できる操作プレーン内の選択された実行制御決定を保護しながら、制約されたREEパスに通常の機能を保持する。 我々は,Intel TDXを主要な信頼できるバックエンドとして使用したOpenClaw上のアーキテクチャをインスタンス化し,ローカル実行の制約前にTDX監査コマンドをリモート端末側で検証する。 評価によると、設計は実行前に安全でない、あるいはポリシーに反する操作をブロックし、許可されたワークロードの通常の機能を保存し、デプロイメント依存のオーバーヘッドで監査可能なエビデンスを提供する。

関連論文リスト

• SafeAgent: A Runtime Protection Architecture for Agentic Systems [4.4767259565994495]
  本稿では,エージェントの安全性をステートフルな意思決定問題として扱うランタイムセキュリティアーキテクチャであるSafeAgentを提案する。 提案した設計は、セマンティックリスク推論から2つの調整されたコンポーネントを通して実行ガバナンスを分離する。 Agent Security Bench (ASB) と InjecAgent の実験は、SafeAgent がベースラインとテキストレベルのガードレールメソッドよりもロバスト性を一貫して改善していることを示している。
  論文  参考訳（メタデータ） (2026-04-19T18:02:21Z)
• CapSeal: Capability-Sealed Secret Mediation for Secure Agent Execution [1.9473631530390483]
  CapSealは、ダイレクトシークレットアクセスをローカルの信頼できるブローカによる制約付き呼び出しに置き換える、機能封入のシークレット仲介アーキテクチャである。 我々は、MPP対応アダプタと統合されたRustプロトタイプについて、非開示、制約された使用、リプレイ抵抗、監査可能性のための条件付きセキュリティ目標を定式化した。
  論文  参考訳（メタデータ） (2026-04-18T00:23:32Z)
• ClawGuard: A Runtime Security Framework for Tool-Augmented LLM Agents Against Indirect Prompt Injection [8.627671856044527]
  textscClawGuardは、すべてのツール呼び出し境界に設定されたユーザ確認ルールを強制する。 textscClawGuardは、モデル修正やインフラストラクチャの変更なしに、3つのインジェクションパスをすべてブロックする。 この研究は、安全なエージェントAIシステムのための効果的な防御メカニズムとして、決定論的ツールコール境界強制を確立する。
  論文  参考訳（メタデータ） (2026-04-13T17:55:11Z)
• OpenClaw PRISM: A Zero-Fork, Defense-in-Depth Runtime Security Layer for Tool-Augmented LLM Agents [6.185334606321749]
  OpenClawベースのエージェントゲートウェイ用のゼロフォークランタイムセキュリティ層であるOpenClaw PRISMを提案する。 PRISMはプロセス内プラグインとオプションのサイドカーサービスを組み合わせることで、10つのライフサイクルフックに強制力を分散する。 エージェントランタイム設定におけるセキュリティの有効性,偽陽性,レイヤコントリビューション,ランタイムオーバーヘッド,運用復旧性を評価するための評価手法とベンチマークパイプラインについて概説する。
  論文  参考訳（メタデータ） (2026-03-12T12:20:12Z)
• OAMAC: Origin-Aware Mandatory Access Control for Practical Post-Compromise Attack Surface Reduction [0.0]
  実行の起源は、現代のオペレーティングシステムのセキュリティモデルに欠けている抽象化である。 オリジン対応強制アクセス制御(OAMAC)を導入する。 OAMACは、実行元をファーストクラスのセキュリティ属性として扱う。
  論文  参考訳（メタデータ） (2026-01-20T14:40:26Z)
• CaMeLs Can Use Computers Too: System-level Security for Computer Use Agents [60.98294016925157]
  AIエージェントは、悪意のあるコンテンツがエージェントの行動をハイジャックして認証情報を盗んだり、金銭的損失を引き起こすような、インジェクション攻撃に弱い。 CUAのためのシングルショットプランニングでは、信頼できるプランナーが、潜在的に悪意のあるコンテンツを観察する前に、条件付きブランチで完全な実行グラフを生成する。 このアーキテクチャ分離は命令インジェクションを効果的に防止するが、ブランチステアリング攻撃を防ぐには追加の対策が必要であることを示す。
  論文  参考訳（メタデータ） (2026-01-14T23:06:35Z)
• Towards Verifiably Safe Tool Use for LLM Agents [53.55621104327779]
  大規模言語モデル(LLM)ベースのAIエージェントは、データソース、API、検索エンジン、コードサンドボックス、さらにはその他のエージェントなどのツールへのアクセスを可能にすることで、機能を拡張する。 LLMは意図しないツールインタラクションを起動し、機密データを漏洩したり、クリティカルレコードを上書きしたりするリスクを発生させる。 モデルベースセーフガードのようなリスクを軽減するための現在のアプローチは、エージェントの信頼性を高めるが、システムの安全性を保証することはできない。
  論文  参考訳（メタデータ） (2026-01-12T21:31:38Z)
• DRIFT: Dynamic Rule-Based Defense with Injection Isolation for Securing LLM Agents [52.92354372596197]
  大規模言語モデル(LLM)は、強力な推論と計画能力のため、エージェントシステムの中心となってきています。 この相互作用は、外部ソースからの悪意のある入力がエージェントの振る舞いを誤解させる可能性がある、インジェクション攻撃のリスクも引き起こす。 本稿では,信頼に値するエージェントシステムのための動的ルールベースの分離フレームワークを提案する。
  論文  参考訳（メタデータ） (2025-06-13T05:01:09Z)
• Progent: Programmable Privilege Control for LLM Agents [46.31581986508561]
  本稿では,大規模言語モデルエージェントをセキュアにするための最初の特権制御フレームワークであるProgentを紹介する。 Progentは、潜在的に悪意のあるものをブロックしながら、ユーザタスクに必要なツールコールの実行をエージェントに制限することで、ツールレベルでのセキュリティを強化する。 モジュール設計のおかげで、Progentの統合はエージェント内部を変更せず、既存のエージェントの実装に最小限の変更しか必要としません。
  論文  参考訳（メタデータ） (2025-04-16T01:58:40Z)
• HasTEE+ : Confidential Cloud Computing and Analytics with Haskell [50.994023665559496]
  信頼性コンピューティングは、Trusted Execution Environments(TEEs)と呼ばれる特別なハードウェア隔離ユニットを使用して、コテナントクラウドデプロイメントにおける機密コードとデータの保護を可能にする。 低レベルのC/C++ベースのツールチェーンを提供するTEEは、固有のメモリ安全性の脆弱性の影響を受けやすく、明示的で暗黙的な情報フローのリークを監視するための言語構造が欠如している。 私たちは、Haskellに埋め込まれたドメイン固有言語(cla)であるHasTEE+を使って、上記の問題に対処します。
  論文  参考訳（メタデータ） (2024-01-17T00:56:23Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。