論文の概要: IPI-proxy: An Intercepting Proxy for Red-Teaming Web-Browsing AI Agents Against Indirect Prompt Injection
- arxiv url: http://arxiv.org/abs/2605.11868v1
- Date: Tue, 12 May 2026 09:48:53 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-05-13 21:48:56.770812
- Title: IPI-proxy: An Intercepting Proxy for Red-Teaming Web-Browsing AI Agents Against Indirect Prompt Injection
- Title(参考訳): IPI-proxy: 間接的プロンプト注入に対するWebブラウザAIエージェントの再結合のためのインターセプティングプロキシ
- Authors: Chia-Pei, Chen, Kentaroh Toyoda, Anita Lai, Alex Leung,
- Abstract要約: IPI-proxyは、間接的プロンプトインジェクション(IPI)に対するWebブラウジングエージェントをリピートするためのオープンソースのツールキットである。
その中核はインターセプトプロキシで、飛行中のホワイトリストドメインから実際のHTTPレスポンスを書き換える。
- 参考スコア(独自算出の注目度): 15.467414321952624
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Web-browsing AI agents are increasingly deployed in enterprise settings under strict whitelists of approved domains, yet adversaries can still influence them by embedding hidden instructions in the HTML pages those domains serve. Existing red-teaming resources fall short of this scenario: prompt-injection benchmarks ship pre-built adversarial pages that whitelisted agents cannot reach, and generic LLM scanners probe the model API rather than its retrieved content. We present IPI-proxy, an open-source toolkit for red-teaming web-browsing agents against indirect prompt injection (IPI). At its core is an intercepting proxy that rewrites real HTTP responses from whitelisted domains in flight, embedding payloads drawn from a unified library of 820 deduplicated attack strings extracted from six published benchmarks (BIPIA, InjecAgent, AgentDojo, Tensor Trust, WASP, and LLMail-Inject). A YAML-driven test harness independently parameterizes the payload set, the embedding technique (HTML comment, invisible CSS, or LLM-generated semantic prose), and the HTML insertion point (6 locations from \icode{head\_meta} to \icode{script\_comment}), enabling parameter-sweep evaluation without mock pages or sandboxed environments. A companion exfiltration tracker logs successful callbacks. This paper describes the threat model, situates IPI-proxy among contemporary IPI benchmarks and red-teaming tools, and details its architecture, design decisions, and configuration interface. By bridging static benchmarks and live deployment, IPI-proxy gives AI security teams a reproducible substrate for measuring and hardening web-browsing agents against indirect prompt injection on the same retrieval surface attackers exploit in production.
- Abstract(参考訳): WebブラウザAIエージェントは、認定ドメインの厳格なホワイトリストの下で、ますますエンタープライズ環境にデプロイされているが、敵は、それらのドメインが提供するHTMLページに隠された命令を埋め込むことで、それらに影響を与えることができる。
プロンプトインジェクションベンチマークは、ホワイトリストエージェントが到達できないビルド済みの敵ページを出荷し、ジェネリックLLMスキャナーは、検索されたコンテンツではなくモデルAPIを探索する。
IPI-proxyは間接的プロンプトインジェクション(IPI)に対するWebブラウジングエージェントをリピートするオープンソースツールキットである。
6つのベンチマーク(BIPIA, InjecAgent, AgentDojo, Tensor Trust, WASP, LLMail-Inject)から抽出された820個の重複した攻撃文字列の統一ライブラリから引き出されたペイロードを埋め込む。
YAML駆動のテストハーネスは、ペイロードセット、埋め込み技術(HTMLコメント、見えないCSS、LLM生成セマンティックセマンティックセマンティックセマンティックセマンティックセマンティックセマンティックセマンティックセマンティックセマンティックセマンティックセマンティックセマンティックセマンティックセマンティックセマンティックセマンティックス)、HTML挿入ポイント(6カ所)を独立にパラメータ化し、モックページやサンドボックス環境なしでパラメータスウィープ評価を可能にする。
コンパニオンエミッショントラッカーは、成功したコールバックをログします。
本稿では, 脅威モデル, IPI-プロキシを同時代のIPIベンチマークやリピートツール内に配置し, アーキテクチャ, 設計決定, 構成インターフェースについて詳述する。
静的なベンチマークとライブデプロイメントをブリッジすることによって、IPI-proxyは、AIセキュリティチームに、同じ検索サーフェス攻撃者が本番で悪用する間接的なインジェクションに対するWebブラウジングエージェントの測定と硬化のための再現可能な基盤を提供する。
関連論文リスト
- WebAgentGuard: A Reasoning-Driven Guard Model for Detecting Prompt Injection Attacks in Web Agents [117.65855863464863]
Webエージェントはインジェクション攻撃に対して非常に脆弱である。
システム・プロンプト・ディフェンス(英語版)やエージェントの直接微調整を含む既存の防御は、効果が限られている。
本稿では,WebAgentGuardを導入し,インジェクション検出のためのマルチモーダルガードモデルを提案する。
論文 参考訳(メタデータ) (2026-04-14T04:50:35Z) - Silent Egress: When Implicit Prompt Injection Makes LLM Agents Leak Without a Trace [0.0]
自動生成されたURLプレビューに埋め込まれた敵対的命令は、サイレント・エクスプレスと呼ばれるシステムレベルのリスクをもたらす可能性があることを示す。
完全にローカルで再現可能なテストベッドを使用して、悪意のあるWebページがエージェントを誘導し、機密性の高いランタイムコンテキストを透過するアウトバウンドリクエストを発行できることを実証する。
qwen2.5:7bをベースとした480の実験では、攻撃は高い確率 (P (exress) =0.89) で成功し、95%の攻撃は出力ベースの安全チェックでは検出されない。
論文 参考訳(メタデータ) (2026-02-25T22:26:23Z) - In-Browser LLM-Guided Fuzzing for Real-Time Prompt Injection Testing in Agentic AI Browsers [0.0]
大規模言語モデル(LLM)ベースのエージェントがWebブラウザに統合され、Webタスクの強力な自動化を提供する。
それらは間接的なインジェクション攻撃に対して脆弱で、Webページに隠された悪意のある命令は、エージェントを不必要なアクションに騙す。
本稿では,ブラウザ上で完全に動作し,LDMによって誘導される新しいファジィングフレームワークについて紹介する。
論文 参考訳(メタデータ) (2025-10-15T13:39:13Z) - Manipulating LLM Web Agents with Indirect Prompt Injection Attack via HTML Accessibility Tree [8.511846002129522]
敵はWebページHTMLにユニバーサルな敵のトリガーを埋め込んでエージェントの動作をハイジャックできることを示す。
本システムは,ターゲット攻撃と一般攻撃の両方において,実際のWebサイト間で高い成功率を示す。
論文 参考訳(メタデータ) (2025-07-20T03:10:13Z) - AgentVigil: Generic Black-Box Red-teaming for Indirect Prompt Injection against LLM Agents [54.29555239363013]
本稿では,間接的なインジェクション脆弱性を自動的に検出し,悪用するための汎用的なブラックボックスファジリングフレームワークであるAgentVigilを提案する。
我々はAgentVigilをAgentDojoとVWA-advの2つの公開ベンチマークで評価し、o3-miniとGPT-4oに基づくエージェントに対して71%と70%の成功率を達成した。
攻撃を現実世界の環境に適用し、悪質なサイトを含む任意のURLに誘導するエージェントをうまく誘導する。
論文 参考訳(メタデータ) (2025-05-09T07:40:17Z) - Defending against Indirect Prompt Injection by Instruction Detection [109.30156975159561]
InstructDetectorは、LLMの動作状態を利用して潜在的なIPI攻撃を特定する、新しい検出ベースのアプローチである。
InstructDetectorは、ドメイン内設定で99.60%、ドメイン外設定で96.90%の検出精度を達成し、攻撃成功率をBIPIAベンチマークで0.03%に下げる。
論文 参考訳(メタデータ) (2025-05-08T13:04:45Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。