論文の概要: ShadowMerge: A Novel Poisoning Attack on Graph-Based Agent Memory via Relation-Channel Conflicts

• arxiv url: http://arxiv.org/abs/2605.09033v2
• Date: Thu, 14 May 2026 02:51:56 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-05-15 15:19:49.864243
• Title: ShadowMerge: A Novel Poisoning Attack on Graph-Based Agent Memory via Relation-Channel Conflicts
• Title（参考訳）: ShadowMerge:リレーショナルチャネルの衝突によるグラフベースのエージェントメモリに対する新たな攻撃
• Authors: Yang Luo, Zifeng Kang, Tiantian Ji, Xinran Liu, Yong Liu, Shuyu Li, Lingyun Peng,
• Abstract要約: 本稿では,グラフベースのエージェントメモリに対する中毒攻撃であるSHADOWMERGEを紹介する。 その重要な洞察は、有毒な関係は、良心的な証拠と同じクエリ活性化アンカーと正準化された関係チャネルを共有することができるということである。 Mem0と3つの公開実世界のデータセット上でSHADOWMERGEを評価する。
• 参考スコア（独自算出の注目度）: 26.57788482649241
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Graph-based agent memory is increasingly used in LLM agents to support structured long-term recall and multi-hop reasoning, but it also creates a new poisoning surface: an attacker can inject a crafted relation into graph memory so that it is later retrieved and influences agent behavior. Existing agent-memory poisoning attacks mainly target flat textual records and are ineffective in graph-based memory because malicious relations often fail to be extracted, merged into the target anchor neighborhood, or retrieved for the victim query. We present SHADOWMERGE, a poisoning attack against graph-based agent memory that exploits relation-channel conflicts. Its key insight is that a poisoned relation can share the same query-activated anchor and canonicalized relation channel as benign evidence while carrying a conflicting value. To realize this, we design AIR, a pipeline that converts the conflict into an ordinary interaction that can be extracted, merged, and retrieved by the graph-memory system. We evaluate SHADOWMERGE on Mem0 and three public real-world datasets: PubMedQA, WebShop, and ToolEmu. SHADOWMERGE achieves 93.8% average attack success rate, improving the best baseline by 50.3 absolute points, while having negligible impact on unrelated benign tasks. Mechanism studies show that SHADOWMERGE overcomes the three key limitations of existing agent-memory poisoning attacks, and defense analysis shows that representative input-side defenses are insufficient to mitigate it. We have responsibly disclosed our findings to affected graph-memory vendors and open sourced SHADOWMERGE.
• Abstract（参考訳）: グラフベースのエージェントメモリは、構造化された長期リコールとマルチホップ推論をサポートするために、LLMエージェントでの利用が増えているが、新たな中毒面も生成している。 既存のエージェントメモリ中毒攻撃は、主に平文レコードをターゲットにしており、悪意のある関係を抽出したり、ターゲットアンカー周辺にマージしたり、被害者の問い合わせのために検索したりするため、グラフベースのメモリでは有効ではない。 本稿では、関係チャネル競合を利用したグラフベースのエージェントメモリに対する中毒攻撃であるSHADOWMERGEを提案する。 その重要な洞察は、有毒な関係は、矛盾する値を持ちながら、良心的な証拠と同じクエリ活性化アンカーと正準化された関係チャネルを共有することができるということである。 これを実現するために私たちは,コンフリクトを通常のインタラクションに変換するパイプラインであるAIRを設計し,グラフメモリシステムによって抽出,マージ,検索を行う。 我々は,Mem0上のSHADOWMERGEと,PubMedQA,WebShop,ToolEmuの3つの公開実世界のデータセットを評価した。 SHADOWMERGEは平均的な攻撃成功率93.8%を達成し、最高のベースラインを50.3の絶対点まで改善し、無関係な良心的タスクに無視的な影響を及ぼす。 メカニズム研究により、SHADOWMERGEは、既存のエージェントメモリ中毒の3つの重要な限界を克服し、防御分析により、代表的な入力側防御がそれを緩和するには不十分であることが示されている。 影響を受けるグラフメモリベンダやオープンソースであるSHADOWMERGEに対して、当社の調査結果を責任を持って公開しました。

関連論文リスト

• ActMem: Bridging the Gap Between Memory Retrieval and Reasoning in LLM Agents [14.695250837875454]
  本稿では,ActMemと呼ばれる新しい動作可能なメモリフレームワークを提案する。 ActMemは非構造化対話履歴を構造化因果グラフと意味グラフに変換する。 エージェントは暗黙の制約を推論し、過去の状態と現在の意図の間の潜在的な衝突を解決することができる。
  論文  参考訳（メタデータ） (2026-02-04T00:54:53Z)
• MemRec: Collaborative Memory-Augmented Agentic Recommender System [57.548438733740504]
  我々はメモリ管理から推論をアーキテクチャ的に分離するフレームワークであるMemRecを提案する。 MemRecは動的コラボレーティブメモリグラフを管理する専用のLM_Memを導入した。 4つのベンチマークで最先端のパフォーマンスを達成する。
  論文  参考訳（メタデータ） (2026-01-13T18:51:16Z)
• MemoryGraft: Persistent Compromise of LLM Agents via Poisoned Experience Retrieval [5.734678752740074]
  MemoryGraftは、エージェントの動作を即時ジェイルブレイクではなく、エージェントの長期記憶に悪質な成功体験を埋め込むことによって妥協する、新しい間接的インジェクション攻撃である。 エージェントが実行中に読み取る良質な摂取レベルのアーティファクトを供給できる攻撃者は、それを誘導して有毒なRAGストアを構築することができることを示す。 エージェントが後に意味論的に類似したタスクに遭遇すると、語彙テンプレート上の結合検索と埋め込み類似性は、これらのグラフトされた記憶を確実に表面化し、エージェントは埋め込みされた安全でないパターンを採用し、セッション間の永続的な行動的ドリフトをもたらす。
  論文  参考訳（メタデータ） (2025-12-18T08:34:40Z)
• Topology Matters: Measuring Memory Leakage in Multi-Agent LLMs [26.288357188171265]
  MAMA(Multi-Agent Memory Attack)は、ネットワーク構造がどのように漏洩を形作るかを測定するフレームワークである。 我々は,攻撃剤出力から回収した地絡PIIの割合として漏洩を定量化する。 結果は、アーキテクチャ上の選択から測定可能なプライバシリスクへの最初の体系的なマッピングを提供する。
  論文  参考訳（メタデータ） (2025-12-04T11:00:49Z)
• Cluster-Aware Attacks on Graph Watermarks [50.19105800063768]
  本稿では,コミュニティ誘導型修正を回避できるクラスタ・アウェア・脅威モデルを提案する。 その結果,クラスタ・アウェア・アタックは,ランダムなベースラインよりも最大80%の精度でアトリビューション精度を低下させることができることがわかった。 グラフコミュニティにまたがる透かしノードを分散する軽量な埋め込み拡張を提案する。
  論文  参考訳（メタデータ） (2025-04-24T22:49:28Z)
• Memory Injection Attacks on LLM Agents via Query-Only Interaction [49.14715983268449]
  我々は,攻撃者がエージェントのメモリバンクを直接変更できると仮定することなく,新たなメモリインジェクション攻撃(MINJA)を提案する。 攻撃者は、クエリと出力観察を通してエージェントとのみ対話することで、悪意のあるレコードをメモリバンクに注入する。 MINJAは、任意のユーザがエージェントメモリに影響を与え、リスクを強調します。
  論文  参考訳（メタデータ） (2025-03-05T17:53:24Z)
• GraphRAG under Fire [17.154346535837764]
  この研究は、GraphRAGの攻撃に対する脆弱性を調べ、興味深いセキュリティパラドックスを明らかにする。 既存のRAG中毒攻撃は、GraphRAGのグラフベースのインデックスと検索により、従来のRAGよりも効果が低い。 GragPoisonは、基礎となる知識グラフの共有関係を利用して、有害なテキストを作る新しい攻撃だ。
  論文  参考訳（メタデータ） (2025-01-23T19:33:16Z)
• AgentPoison: Red-teaming LLM Agents via Poisoning Memory or Knowledge Bases [73.04652687616286]
  本稿では,RAG とRAG をベースとした LLM エージェントを標的とした最初のバックドア攻撃である AgentPoison を提案する。 従来のバックドア攻撃とは異なり、AgentPoisonは追加のモデルトレーニングや微調整を必要としない。 エージェントごとに、AgentPoisonは平均攻撃成功率を80%以上達成し、良質なパフォーマンスに最小限の影響を与える。
  論文  参考訳（メタデータ） (2024-07-17T17:59:47Z)
• Dissecting Adversarial Robustness of Multimodal LM Agents [70.2077308846307]
  我々は、VisualWebArena上に現実的な脅威モデルを用いて、200の敵タスクと評価スクリプトを手動で作成する。 我々は,クロボックスフロンティアLMを用いた最新のエージェントを,リフレクションやツリーサーチを行うエージェントを含む,壊すことに成功している。 AREを使用して、新しいコンポーネントの追加に伴うロバスト性の変化を厳格に評価しています。
  論文  参考訳（メタデータ） (2024-06-18T17:32:48Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。