論文の概要: VectorSmuggle: Steganographic Exfiltration in Embedding Stores and a Cryptographic Provenance Defense
- arxiv url: http://arxiv.org/abs/2605.13764v1
- Date: Wed, 13 May 2026 16:44:20 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-05-14 23:30:28.187014
- Title: VectorSmuggle: Steganographic Exfiltration in Embedding Stores and a Cryptographic Provenance Defense
- Title(参考訳): VectorSmuggle: 埋め込み店舗における電子透かしと暗号保護
- Authors: Jascha Wanger,
- Abstract要約: 現代の検索拡張生成システム(RAG)は、センシティブなコンテンツを高次元の埋め込みに変換し、それらをベクトルデータベースに格納し、結果の数値的アーティファクトを不透明なものとして扱う。
これはステガノグラフィー・エクスプロイト・アタックのクラスを開放することを示している。
入力パイプラインへの書き込みアクセスを持つアタッカーは、埋め込み内にペイロードデータを隠蔽することができる。
- 参考スコア(独自算出の注目度): 0.0
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Modern retrieval-augmented generation (RAG) systems convert sensitive content into high-dimensional embeddings and store them in vector databases that treat the resulting numerical artifacts as opaque. Major vector-store products do not provide native controls for embedding integrity, ingestion-time distributional anomaly detection, or cryptographic provenance attestation. We show this opens a class of steganographic exfiltration attacks: an attacker with write access to the ingestion pipeline can hide payload data inside embeddings using simple post-embedding perturbations (noise injection, rotation, scaling, offset, fragmentation, and combinations thereof) while preserving the surface-level retrieval behavior the RAG system exposes to legitimate users. We evaluate these techniques across a synthetic-PII corpus on text-embedding-3-large, four locally hosted open embedding models, a cross-corpus replication on BEIR NFCorpus and a Quora subset (over 26,000 chunks combined), seven vector-store configurations, an adaptive-attacker variant of the detector evaluation, and a paraphrased-query retrieval benchmark. Distribution-shifting perturbations are often caught by simple anomaly detectors; small-angle orthogonal rotation defeats distribution-based detection across every (model, corpus) pair tested. A disjoint-Givens rotation encoder gives a closed-form per-vector capacity ceiling of floor(d/2) * b bits, but real embedding manifolds impose a capacity-detectability trade-off, and the retrieval-preserving operating point sits well below it. We propose VectorPin, a cryptographic provenance protocol that pins each embedding to its source content and producing model via an Ed25519 signature over a canonical byte representation. Any post-embedding modification breaks signature verification. Embedding-level integrity is a deployable, standardizable control that closes this attack class.
- Abstract(参考訳): 現代の検索拡張生成システム(RAG)は、センシティブなコンテンツを高次元の埋め込みに変換し、それらをベクトルデータベースに格納し、結果の数値的アーティファクトを不透明なものとして扱う。
主要なベクトルストア製品は、完全性、取り込み時の分散異常検出、暗号証明のためのネイティブコントロールを提供していない。
入力パイプラインに書き込みアクセスした攻撃者は、RAGシステムが正規ユーザに対して公開する表面レベルの検索動作を保ちながら、単純な埋め込み後摂動(ノイズ注入、回転、スケーリング、オフセット、断片化、組み合わせ)を用いて、埋め込み内のペイロードデータを隠蔽することができる。
テキスト埋め込み3-large上の合成PIIコーパス,ローカルにホストされた4つのオープン埋め込みモデル,BEIR NFCorpusとQuoraサブセット(合計26,000チャンク以上)のクロスコーパスレプリケーション,ベクトルストア構成7種類,検出評価の適応-アダプティブ-アタペラ版,パラフレーズ-クエリー検索ベンチマークを用いて,これらの技術を評価した。
小さな角度の直交回転は、テストされたすべての(モデル、コーパス)ペアにおける分布に基づく検出を破る。
異種回転エンコーダはフロア(d/2) * bビットの閉形式毎ベクトル容量天井を与えるが、実際の埋め込み多様体はキャパシティ-検出可能なトレードオフを課し、検索保存動作点はその下に位置する。
本稿では,VectorPinを提案する。VectorPinは,標準バイト表現上のEd25519シグネチャを通じて,各埋め込みをソースコンテンツにピン留めし,モデルを生成する暗号プロファイランスプロトコルである。
埋め込み後の変更は署名検証を破る。
埋め込みレベルの完全性は、この攻撃クラスを閉じるデプロイ可能で標準化可能なコントロールである。
関連論文リスト
- Undetectable Backdoors in Model Parameters: Hiding Sparse Secrets in High Dimensions [27.15028670439718]
Sparse Backdoorは、事前に訓練された画像分類器に検出不能なバックドアを植え付けるサプライチェーン攻撃である。
この攻撃は、ランダムに選択された方向に沿って構造化された摂動を各完全に連結された層に小さな列のサブセットに注入する。
逆長線標的クラスにトリガーシグナルを伝達し、独立した等方性ジターで摂動を隠蔽する。
論文 参考訳(メタデータ) (2026-05-05T18:48:09Z) - Attribution-Guided Multimodal Deepfake Detection via Cross-Modal Forensic Fingerprints [4.598350938853635]
ビデオの偽造方法を特定することができない検出器は、間違ったシグナルを学習している可能性が高い、と私たちは主張する。
二分検出とは異なり、帰属誘導学習は共有埋め込み空間に強い幾何学的制約を課す。
本稿では,属性検出と属性抽出を共同で学習する属性誘導型マルチモーダルディープフェイク検出フレームワークを提案する。
論文 参考訳(メタデータ) (2026-04-29T09:11:13Z) - Safeguarding LLMs Against Misuse and AI-Driven Malware Using Steganographic Canaries [16.391742476325323]
AIを利用したマルウェアは、クラウドでホストされた生成AIサービスや大規模言語モデルを活用する傾向にある。
両方の脅威はAIサービスの取り込みバウンダリに収束するが、既存の防御はエンドポイントとネットワーク周辺に重点を置いている。
本稿では, 統計カナリアファイルに基づくフレームワークを提案する。
論文 参考訳(メタデータ) (2026-03-30T16:40:55Z) - Universal Transformation of One-Class Classifiers for Unsupervised Anomaly Detection [51.73001988341294]
異常検出は通常、一級分類問題として定式化される。
本稿では,任意の1クラス分類器に基づく異常検出器を,完全に教師なしの手法に変換するデータセット折り畳み方式を提案する。
論文 参考訳(メタデータ) (2026-02-13T16:54:12Z) - Supervised and Unsupervised Alignments for Spoofing Behavioral Biometrics [7.021534792043867]
生体認証システムはユーザ固有の特性に基づいており、通常は埋め込みと呼ばれる高次元表現に符号化される。
我々は,アライメント手法を用いて,2つの行動バイオメトリックシステムに対してスプーフィング攻撃を行う。
論文 参考訳(メタデータ) (2024-08-14T20:46:59Z) - Model Pairing Using Embedding Translation for Backdoor Attack Detection on Open-Set Classification Tasks [63.269788236474234]
バックドア検出のためのオープンセット分類タスクにモデルペアを用いることを提案する。
このスコアは、異なるアーキテクチャのモデルがあるにもかかわらず、バックドアの存在を示す指標であることを示している。
この技術は、オープンセット分類タスク用に設計されたモデル上のバックドアの検出を可能にするが、文献ではほとんど研究されていない。
論文 参考訳(メタデータ) (2024-02-28T21:29:16Z) - Towards General Visual-Linguistic Face Forgery Detection [95.73987327101143]
ディープフェイクは現実的な顔操作であり、セキュリティ、プライバシー、信頼に深刻な脅威をもたらす可能性がある。
既存の方法は、このタスクを、デジタルラベルまたはマスク信号を使用して検出モデルをトレーニングするバイナリ分類として扱う。
本稿では, 微粒な文レベルのプロンプトをアノテーションとして用いた, VLFFD (Visual-Linguistic Face Forgery Detection) という新しいパラダイムを提案する。
論文 参考訳(メタデータ) (2023-07-31T10:22:33Z) - Self-Supervised Masked Convolutional Transformer Block for Anomaly
Detection [122.4894940892536]
本稿では, 自己監督型マスク型畳み込み変圧器ブロック (SSMCTB) について述べる。
本研究では,従来の自己教師型予測畳み込み抑止ブロック(SSPCAB)を3次元マスク付き畳み込み層,チャンネルワイドアテンション用トランスフォーマー,およびハマーロスに基づく新たな自己教師型目標を用いて拡張する。
論文 参考訳(メタデータ) (2022-09-25T04:56:10Z) - Self-Supervised Predictive Convolutional Attentive Block for Anomaly
Detection [97.93062818228015]
本稿では,再建に基づく機能を,新たな自己監督型予測アーキテクチャビルディングブロックに統合することを提案する。
我々のブロックは、受容領域におけるマスク領域に対する再構成誤差を最小限に抑える損失を備える。
画像やビデオの異常検出のための最先端フレームワークに組み込むことで,ブロックの汎用性を実証する。
論文 参考訳(メタデータ) (2021-11-17T13:30:31Z) - Generating Out of Distribution Adversarial Attack using Latent Space
Poisoning [5.1314136039587925]
本稿では,実際の画像が破損しない敵の例を生成する新しいメカニズムを提案する。
潜在空間表現は、画像の固有構造を改ざんするために利用される。
勾配ベースの攻撃とは対照的に、潜時空間中毒は、トレーニングデータセットの独立かつ同一分布をモデル化する分類器の傾きを利用する。
論文 参考訳(メタデータ) (2020-12-09T13:05:44Z) - EHSOD: CAM-Guided End-to-end Hybrid-Supervised Object Detection with
Cascade Refinement [53.69674636044927]
本稿では,エンド・ツー・エンドのハイブリッド型オブジェクト検出システムであるEHSODについて述べる。
完全なアノテートと弱いアノテートの両方で、ワンショットでトレーニングすることができる。
完全なアノテートされたデータの30%しか持たない複数のオブジェクト検出ベンチマークで、同等の結果が得られる。
論文 参考訳(メタデータ) (2020-02-18T08:04:58Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。