論文の概要: FlowSteer: Prompt-Only Workflow Steering Exposes Planning-Time Vulnerabilities in Multi-Agent LLM Systems
- arxiv url: http://arxiv.org/abs/2605.11514v1
- Date: Tue, 12 May 2026 04:35:57 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-05-13 21:48:56.580043
- Title: FlowSteer: Prompt-Only Workflow Steering Exposes Planning-Time Vulnerabilities in Multi-Agent LLM Systems
- Title(参考訳): FlowSteer: マルチエージェントLLMシステムにおける計画時間脆弱性のプロンプト専用ワークフローステアリング
- Authors: Fanxiao Li, Jiaying Wu, Tingchao Fu, Natasha Jaques, Wei Zhou, Min-Yen Kan,
- Abstract要約: FlowSteerはプロンプトのみのワークフローステアリング攻撃で、脆弱性の優先順位をひとつのプロンプトに変換する。
インプットサイドのディフェンスであるFlowGuardを導入し、迅速なユーティリティを保ちながら、悪意のある成功を最大34%削減する。
- 参考スコア(独自算出の注目度): 34.804293844500926
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Multi-agent systems (MAS) powered by large language models (LLMs) increasingly adopt planner--executor architectures, where planners convert prompts into subtasks, roles, dependencies, and routing paths. This flexibility enables adaptive coordination, but exposes an attack surface in workflow formation: prompts can shape agent organization without modifying MAS infrastructure. We study this risk through social influence probing workflows to identify high-impact subtasks and malicious-signal propagation. The analysis reveals two vulnerabilities: workflow position can amplify or suppress a malicious signal, and sycophantic framing makes downstream agents more likely to relay it. We translate these findings into FlowSteer, a prompt-only workflow steering attack that converts vulnerability priors into one crafted prompt. FlowSteer aligns a malicious signal with influential task components and guides replanning toward dependencies that preserve propagation. Experiments show that FlowSteer increases malicious success by up to 55% over naive prompting, transfers across MAS setups, and remains effective with black-box topology inference. As FlowSteer biases the planning signals that generate the workflow, MAS defenses that inspect only the generated workflow provide limited protection. As such, we introduce FlowGuard, an input-side defense that reduces malicious success by up to 34% while preserving prompt utility. Our results position workflow formation as a new safety frontier for multi-agent LLM systems, opening a planning-time security perspective on how agent coordination itself can be attacked and defended.
- Abstract(参考訳): 大規模言語モデル(LLM)をベースとするマルチエージェントシステム(MAS)は、プロンプトをサブタスク、ロール、依存関係、ルーティングパスに変換するプランナー-エグゼクタアーキテクチャを採用するようになっている。
この柔軟性は適応的な調整を可能にするが、ワークフロー形成において攻撃面を公開する:プロンプトは、MASインフラストラクチャを変更することなくエージェント組織を形作ることができる。
我々は、このリスクを社会的影響探索のワークフローを通して研究し、高影響のサブタスクと悪意のある信号伝達を識別する。
ワークフロー位置は悪意のあるシグナルを増幅または抑制し、サイコファンのフレーミングによって下流のエージェントがそれを中継する可能性が高まる。
これらの結果をFlowSteerに変換する。これはプロンプトのみのワークフローステアリング攻撃で、脆弱性のプリエントを1つの工芸的なプロンプトに変換する。
FlowSteerは、悪意のある信号を影響のあるタスクコンポーネントと整列させ、伝搬を保存する依存関係へのリプランをガイドする。
実験の結果、FlowSteerは素早いプロンプトやMASセットアップ間の転送よりも、悪意のある成功率を最大55%向上させ、ブラックボックストポロジ推論で有効であることが示されている。
FlowSteerはワークフローを生成する計画シグナルをバイアスするので、生成されたワークフローのみを検査するMASディフェンスは限定的な保護を提供する。
そこで我々は、インプットサイドのディフェンスであるFlowGuardを導入する。これは、迅速なユーティリティを保ちながら、悪意のある成功を最大34%削減する。
本研究は,マルチエージェントLLMシステムにおける新たな安全フロンティアとしてワークフロー形成を位置づけ,エージェントの協調を攻撃・防御する方法を計画時セキュリティの観点から明らかにした。
関連論文リスト
- Autonomous LLM Agent Worms: Cross-Platform Propagation, Automated Discovery and Temporal Re-Entry Defense [10.105892979517622]
ファイル支援型マルチエージェントLPMエコシステムにおける永続的ワーム伝播の自動解析のための最初の体系的フレームワークを提案する。
プラットフォーム固有の適応、エージェント間特権、データ抽出を伴わない、ゼロクリックの自律伝搬、3ホップのクロスプラットフォームトランスミッションを実証する。
論文 参考訳(メタデータ) (2026-05-04T16:49:29Z) - Beyond Input Guardrails: Reconstructing Cross-Agent Semantic Flows for Execution-Aware Attack Detection [32.301679396929536]
静的な入力フィルタリングから実行対応分析へ、防御パラダイムをシフトするフレームワークであるSysNameを提案する。
SysNameは断片化された操作プリミティブを連続した行動軌跡に合成し、システムアクティビティの全体像を可能にする。
実証的な評価により、SysNameは10以上の異なる複合攻撃ベクトルを効果的に検出し、それぞれノードレベルとパスレベルのエンドツーエンド攻撃検出に対して85.3%と66.7%のF1スコアを達成した。
論文 参考訳(メタデータ) (2026-03-04T01:59:16Z) - Learning to Compose for Cross-domain Agentic Workflow Generation [56.630382886594184]
クロスドメインワークフロー生成のためのオープンソースのLLMを作成します。
さまざまなドメインにわたる再利用可能なワークフロー機能のコンパクトなセットを学びます。
当社の1パスジェネレータは、20イテレーションを消費するSOTAリファインメントベースラインを超えています。
論文 参考訳(メタデータ) (2026-02-11T18:27:22Z) - CaMeLs Can Use Computers Too: System-level Security for Computer Use Agents [60.98294016925157]
AIエージェントは、悪意のあるコンテンツがエージェントの行動をハイジャックして認証情報を盗んだり、金銭的損失を引き起こすような、インジェクション攻撃に弱い。
CUAのためのシングルショットプランニングでは、信頼できるプランナーが、潜在的に悪意のあるコンテンツを観察する前に、条件付きブランチで完全な実行グラフを生成する。
このアーキテクチャ分離は命令インジェクションを効果的に防止するが、ブランチステアリング攻撃を防ぐには追加の対策が必要であることを示す。
論文 参考訳(メタデータ) (2026-01-14T23:06:35Z) - BackdoorAgent: A Unified Framework for Backdoor Attacks on LLM-based Agents [58.83028403414688]
大規模言語モデル(LLM)エージェントは、計画、メモリ、ツールの使用を組み合わせた多段階ワークフローを通じてタスクを実行する。
エージェントワークフローの特定のステージに注入されたバックドアトリガーは、複数の中間状態を通して持続し、下流出力に悪影響を及ぼす可能性がある。
LLMエージェントにおけるバックドア脅威を統一したエージェント中心のビューを提供するモジュールおよびステージアウェアフレームワークである textbfBackdoorAgent を提案する。
論文 参考訳(メタデータ) (2026-01-08T03:49:39Z) - AgentAlign: Navigating Safety Alignment in the Shift from Informative to Agentic Large Language Models [23.916663925674737]
これまでの研究によると、現在のLSMベースのエージェントは攻撃を受けなくても多くの悪意あるタスクを実行している。
本稿では,安全なアライメントデータ合成の媒体として抽象的行動連鎖を利用する新しいフレームワークであるAgentAlignを提案する。
本フレームワークは,複雑なマルチステップのダイナミックスを捕捉しながら,高精度かつ実行可能な命令の生成を可能にする。
論文 参考訳(メタデータ) (2025-05-29T03:02:18Z) - MermaidFlow: Redefining Agentic Workflow Generation via Safety-Constrained Evolutionary Programming [31.549367981711686]
本稿では,安全制約付きグラフの進化を通じてエージェント検索空間を再定義するフレームワークであるMermaidFlowを紹介する。
ドメインを意識した進化的演算子を定式化し、構造的多様性を促進しながら意味的正当性を維持する。
MermaidFlowは、成功率の一貫性の向上と、エージェント推論ベンチマークの実行可能な計画へのより高速な収束を実現している。
論文 参考訳(メタデータ) (2025-05-29T01:08:36Z) - Benchmarking Agentic Workflow Generation [80.74757493266057]
複数面シナリオと複雑なグラフワークフロー構造を備えた統合ワークフロー生成ベンチマークであるWorfBenchを紹介する。
また,サブシーケンスとサブグラフマッチングアルゴリズムを利用したシステム評価プロトコルWorfEvalを提案する。
我々は、生成されたタスクが下流のタスクを強化し、推論中により少ない時間で優れたパフォーマンスを達成することを観察する。
論文 参考訳(メタデータ) (2024-10-10T12:41:19Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。