論文の概要: Towards Security-Auditable LLM Agents: A Unified Graph Representation

• arxiv url: http://arxiv.org/abs/2605.06812v1
• Date: Thu, 07 May 2026 18:14:29 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-05-11 19:43:38.533722
• Title: Towards Security-Auditable LLM Agents: A Unified Graph Representation
• Title（参考訳）: セキュリティ監査可能なLLMエージェントを目指して:統一グラフ表現
• Authors: Chaofan Li, Lyuye Zhang, Jintao Zhai, Siyue Feng, Xichun Yang, Huahao Wang, Shihan Dou, Yu Ji, Yutao Hu, Yueming Wu, Yang Liu, Deqing Zou,
• Abstract要約: 本稿ではエージェントセキュリティ監査のための統合構造表現であるエージェントBOMを提案する。 エージェントBOMは、クロスセッションメモリ中毒やツール誤用など、ステルス攻撃チェーンを再構築できることを示す。 Agent-BOMは複雑なエージェントエコシステムにおける根本原因分析とセキュリティ適応のための統一的で監査可能な基盤を提供する。
• 参考スコア（独自算出の注目度）: 22.355591892994642
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: LLM-based agentic systems are rapidly evolving to perform complex autonomous tasks through dynamic tool invocation, stateful memory management, and multi-agent collaboration. However, this semantics-driven execution paradigm creates a severe semantic gap between low-level physical events and high-level execution intent, making post-hoc security auditing fundamentally difficult. Existing representation mechanisms, including static SBOMs and runtime logs, provide only fragmented evidence and fail to capture cognitive-state evolution, capability bindings, persistent memory contamination, and cascading risk propagation across interacting agents. To bridge this gap, we propose Agent-BOM, a unified structural representation for agent security auditing. Agent-BOM models an agentic system as a hierarchical attributed directed graph that separates static capability bases, such as models, tools, and long-term memory, from dynamic runtime semantic states, such as goals, reasoning trajectories, and actions. These layers are connected through semantic edges and security attributes, transforming fragmented execution traces into queryable audit paths. Building on Agent-BOM, we develop a graph-query-based paradigm for path-level risk assessment and instantiate it with the OWASP Agentic Top 10. We further implement an auditing plugin in the OpenClaw environment to construct Agent-BOM from live executions. Evaluation on representative real-world agentic attack scenarios shows that Agent-BOM can reconstruct stealthy attack chains, including cross-session memory poisoning and tool misuse, capability supply-chain hijacking and unexpected code execution, multi-agent ecosystem hijacking, and privilege and trust abuse. These results demonstrate that Agent-BOM provides a unified and auditable foundation for root-cause analysis and security adjudication in complex agentic ecosystems.
• Abstract（参考訳）: LLMベースのエージェントシステムは、動的ツールの実行、ステートフルメモリ管理、マルチエージェントコラボレーションを通じて、複雑な自律的なタスクを実行するために急速に進化している。 しかし、このセマンティクス駆動実行パラダイムは、低レベルの物理イベントと高レベルの実行意図の間に深刻なセマンティクスギャップを生じさせ、ポストホックセキュリティ監査を根本的に難しくする。 静的なSBOMや実行時ログを含む既存の表現メカニズムは、断片化されたエビデンスのみを提供し、認知状態の進化、能力結合、永続的なメモリ汚染、相互作用するエージェント間のカスケードリスク伝播を捉えない。 このギャップを埋めるため,エージェントセキュリティ監査のための統一構造表現であるエージェントBOMを提案する。 Agent-BOMはエージェントシステムを階層的な属性付き有向グラフとしてモデル化し、モデル、ツール、長期記憶などの静的能力基盤を、目標、推論軌道、アクションなどの動的ランタイムセマンティックステートから分離する。 これらのレイヤはセマンティックエッジとセキュリティ属性を通じて接続され、断片化された実行トレースをクエリ可能な監査パスに変換する。 Agent-BOM を基盤として,パスレベルのリスク評価のためのグラフクエリに基づくパラダイムを開発し,OWASP Agentic Top 10 をインスタンス化する。 さらに,ライブ実行からAgent-BOMを構築するための監査プラグインをOpenClaw環境に実装する。 代表的な実世界のエージェント攻撃シナリオの評価によると、Agent-BOMは、クロスセッションメモリ中毒やツール誤用、サプライチェーンのハイジャックと予期せぬコード実行、マルチエージェントエコシステムのハイジャック、特権と信頼の悪用など、ステルス攻撃チェーンを再構築できる。 これらの結果から,エージェントBOMは複雑なエージェント生態系における根本原因分析とセキュリティ適応のための統一的で監査可能な基盤を提供することが示された。

関連論文リスト

• DecodingTrust-Agent Platform (DTap): A Controllable and Interactive Red-Teaming Platform for AI Agents [121.77550256034]
  DecodingTrust-Agent Platform (DTap)は、AIエージェントのためのコントロール可能でインタラクティブなレッドチームプラットフォームである。 DTap-Redは、多様なインジェクションベクターを探索し、効果的な攻撃戦略を自律的に発見する、最初の自律的赤チームエージェントである。 DTapを通じて、さまざまなバックボーンモデル上に構築された一般的なAIエージェントの大規模評価を行う。
  論文  参考訳（メタデータ） (2026-05-06T11:59:48Z)
• SBOMs into Agentic AIBOMs: Schema Extensions, Agentic Orchestration, and Reproducibility Evaluation [11.812618112854116]
  ソフトウェアサプライチェーンのセキュリティには、動的実行条件下での脆弱性評価をサポートするプロビデンスメカニズムが必要である。 本稿では,AIBOM(Agenic Artificial Intelligence Bills of Materials)を紹介する。 i)ベースライン環境再構築剤(MCP)、(ii)ランタイム依存性およびドリフト監視剤(A2A)、(iii)ポリシー対応脆弱性とVEX推論剤(AGNTCY)からなるマルチエージェントアーキテクチャに基づくエージェントAIBOMフレームワークを提案する。
  論文  参考訳（メタデータ） (2026-03-09T19:11:45Z)
• CaMeLs Can Use Computers Too: System-level Security for Computer Use Agents [60.98294016925157]
  AIエージェントは、悪意のあるコンテンツがエージェントの行動をハイジャックして認証情報を盗んだり、金銭的損失を引き起こすような、インジェクション攻撃に弱い。 CUAのためのシングルショットプランニングでは、信頼できるプランナーが、潜在的に悪意のあるコンテンツを観察する前に、条件付きブランチで完全な実行グラフを生成する。 このアーキテクチャ分離は命令インジェクションを効果的に防止するが、ブランチステアリング攻撃を防ぐには追加の対策が必要であることを示す。
  論文  参考訳（メタデータ） (2026-01-14T23:06:35Z)
• BackdoorAgent: A Unified Framework for Backdoor Attacks on LLM-based Agents [58.83028403414688]
  大規模言語モデル(LLM)エージェントは、計画、メモリ、ツールの使用を組み合わせた多段階ワークフローを通じてタスクを実行する。 エージェントワークフローの特定のステージに注入されたバックドアトリガーは、複数の中間状態を通して持続し、下流出力に悪影響を及ぼす可能性がある。 LLMエージェントにおけるバックドア脅威を統一したエージェント中心のビューを提供するモジュールおよびステージアウェアフレームワークである textbfBackdoorAgent を提案する。
  論文  参考訳（メタデータ） (2026-01-08T03:49:39Z)
• Agentic AI for Autonomous Defense in Software Supply Chain Security: Beyond Provenance to Vulnerability Mitigation [0.0]
  本論文は,自律型ソフトウェアサプライチェーンセキュリティに基づくエージェント人工知能(AI)の例を含む。 大規模言語モデル(LLM)ベースの推論、強化学習(RL)、マルチエージェント調整を組み合わせている。 その結果、エージェントAIは、自己防衛的で積極的なソフトウェアサプライチェーンへの移行を促進することが示されている。
  論文  参考訳（メタデータ） (2025-12-29T14:06:09Z)
• Towards Efficient Agents: A Co-Design of Inference Architecture and System [66.59916327634639]
  本稿では,エージェントアクセラレーションのための統合フレームワークであるAgentInferを提案する。 問題をAgentCollab、AgentSched、AgentSAM、AgentCompressの4つの相乗的コンポーネントに分解する。 BrowseComp-zhとDeepDiverベンチマークの実験では、これらの手法の相乗的コラボレーションを通じて、AgentInferは非効率なトークン消費を50%以上削減することを示した。
  論文  参考訳（メタデータ） (2025-12-20T12:06:13Z)
• Towards Unifying Quantitative Security Benchmarking for Multi Agent Systems [0.0]
  AIシステムの進化 自律エージェントが協力し、情報を共有し、プロトコルを開発することでタスクを委譲するマルチエージェントアーキテクチャをますます展開する。 そのようなリスクの1つはカスケードリスクである。あるエージェントの侵入はシステムを通してカスケードし、エージェント間の信頼を利用して他人を妥協させる。 ACI攻撃では、あるエージェントに悪意のあるインプットまたはツールエクスプロイトが注入され、そのアウトプットを信頼するエージェント間でカスケードの妥協とダウンストリーム効果が増幅される。
  論文  参考訳（メタデータ） (2025-07-23T13:51:28Z)
• From Prompt Injections to Protocol Exploits: Threats in LLM-Powered AI Agents Workflows [1.202155693533555]
  構造化関数呼び出しインタフェースを持つ大規模言語モデル(LLM)は、リアルタイムデータ検索と計算機能を大幅に拡張した。 しかし、プラグイン、コネクター、エージェント間プロトコルの爆発的な増殖は、発見メカニズムやセキュリティプラクティスよりも大きくなっている。 ホスト・ツー・ツールとエージェント・ツー・エージェント・エージェントの通信にまたがる,LDM-エージェントエコシステムに対する最初の統一エンドツーエンド脅威モデルを導入する。
  論文  参考訳（メタデータ） (2025-06-29T14:32:32Z)
• DRIFT: Dynamic Rule-Based Defense with Injection Isolation for Securing LLM Agents [52.92354372596197]
  大規模言語モデル(LLM)は、強力な推論と計画能力のため、エージェントシステムの中心となってきています。 この相互作用は、外部ソースからの悪意のある入力がエージェントの振る舞いを誤解させる可能性がある、インジェクション攻撃のリスクも引き起こす。 本稿では,信頼に値するエージェントシステムのための動的ルールベースの分離フレームワークを提案する。
  論文  参考訳（メタデータ） (2025-06-13T05:01:09Z)
• SentinelAgent: Graph-based Anomaly Detection in Multi-Agent Systems [11.497269773189254]
  大規模言語モデル(LLM)に基づくマルチエージェントシステム(MAS)に適したシステムレベルの異常検出フレームワークを提案する。 本稿では,エージェント間相互作用を動的実行グラフとしてモデル化し,ノード,エッジ,パスレベルでの意味的異常検出を可能にするグラフベースのフレームワークを提案する。 第2に,セキュリティポリシとコンテキスト推論に基づくMAS実行の監視,解析,介入を行うLLMによる監視エージェントである,プラグイン可能なSentinelAgentを導入する。
  論文  参考訳（メタデータ） (2025-05-30T04:25:19Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。