論文の概要: MetaBackdoor: Exploiting Positional Encoding as a Backdoor Attack Surface in LLMs
- arxiv url: http://arxiv.org/abs/2605.15172v1
- Date: Thu, 14 May 2026 17:56:22 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-05-15 21:45:35.00473
- Title: MetaBackdoor: Exploiting Positional Encoding as a Backdoor Attack Surface in LLMs
- Title(参考訳): メタバックドア:LDMのバックドアアタックサーフェスとして位置エンコーディングを爆発させる
- Authors: Rui Wen, Mark Russinovich, Andrew Paverd, Jun Sakuma, Ahmed Salem,
- Abstract要約: バックドア攻撃は大規模言語モデル(LLM)に深刻なセキュリティ脅威をもたらす
今回紹介するMetaBackdoorは,位置情報をトリガーとして活用する,新たなバックドア攻撃のクラスである。
単純な長さベースのトリガーでさえ、ステルスなバックドアを起動するのに十分であることを示す。
- 参考スコア(独自算出の注目度): 11.713537482202382
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Backdoor attacks pose a serious security threat to large language models (LLMs), which are increasingly deployed as general-purpose assistants in safety- and privacy-critical applications. Existing LLM backdoors rely primarily on content-based triggers, requiring explicit modification of the input text. In this work, we show that this assumption is unnecessary and limiting. We introduce MetaBackdoor, a new class of backdoor attacks that exploits positional information as the trigger, without modifying textual content. Our key insight is that Transformer-based LLMs necessarily encode token positions to process ordered sequences. As a result, length-correlated positional structure is reflected in the model's internal computation and can be used as an effective non-content trigger signal. We demonstrate that even a simple length-based positional trigger is sufficient to activate stealthy backdoors. Unlike prior attacks, MetaBackdoor operates on visibly and semantically clean inputs and enables qualitatively new capabilities. We show that a backdoored LLM can be induced to disclose sensitive internal information, including proprietary system prompts, once a length condition is satisfied. We further demonstrate a self-activation scenario, where normal multi-turn interaction can move the conversation context into the trigger region and induce malicious tool-call behavior without attacker-supplied trigger text. In addition, MetaBackdoor is orthogonal to content-based backdoors and can be composed with them to create more precise and harder-to-detect activation conditions. Our results expand the threat model of LLM backdoors by revealing positional encoding as a previously overlooked attack surface. This challenges defenses that focus on detecting suspicious text and highlights the need for new defense strategies that explicitly account for positional triggers in modern LLM architectures.
- Abstract(参考訳): バックドア攻撃は大規模言語モデル(LLM)に深刻なセキュリティ上の脅威をもたらす。
既存のLLMバックドアは主にコンテンツベースのトリガーに依存しており、入力テキストを明示的に変更する必要がある。
この研究では、この仮定は不要で制限されていることを示す。
テキストの内容を変更することなく、位置情報をトリガーとして活用する新しいバックドア攻撃であるMetaBackdoorを紹介する。
キーとなる洞察は、TransformerベースのLLMは、必ずしも順序付けられたシーケンスを処理するためにトークンの位置をエンコードしているということです。
その結果、モデルの内部計算に長さ関連位置構造が反映され、効果的な非接触トリガ信号として使用できる。
単純な長さベースの位置トリガーでも、ステルスなバックドアを起動するのに十分であることを示す。
以前の攻撃とは異なり、MetaBackdoorは視覚的かつ意味的にクリーンな入力で動作し、質的に新しい機能を可能にする。
バックドア式LCMは,長さ条件を満たすと,プロプライエタリなシステムプロンプトを含むセンシティブな内部情報を開示するために誘導可能であることを示す。
さらに、通常のマルチターンインタラクションは、会話コンテキストをトリガー領域に移動させ、攻撃者が入力したトリガーテキストを使わずに悪意あるツール呼び出し動作を誘導する、セルフアクティベーションシナリオを実証する。
さらに、MetaBackdoorはコンテンツベースのバックドアと直交しており、それらと組み合わせることで、より正確で検出しにくいアクティベーション条件を作成することができる。
本研究は,LLMバックドアの脅威モデルを拡張し,従来見過ごされていた攻撃面として位置エンコーディングを明らかにした。
これは、疑わしいテキストの検出に重点を置く防衛に挑戦し、現代のLLMアーキテクチャにおける位置トリガを明示的に考慮する新しい防衛戦略の必要性を強調している。
関連論文リスト
- ProjLens: Unveiling the Role of Projectors in Multimodal Model Safety [54.4092272526747]
MLLM(Multimodal Large Language Models)は、クロスモーダルな理解と生成において大きな成功を収めていますが、そのデプロイは重大な安全性の脆弱性によって脅かされています。
本稿では,MLLMのバックドアを復号化するための解釈可能性フレームワークであるProjLensを提案する。
論文 参考訳(メタデータ) (2026-04-21T04:52:38Z) - BackdoorVLM: A Benchmark for Backdoor Attacks on Vision-Language Models [63.5775877701015]
textbfBackdoorVLMは視覚言語モデル(VLM)に対するバックドア攻撃を評価するための最初の総合的なベンチマークである。
BackdoorVLMは、マルチモーダルなバックドア脅威を、ターゲットされた拒絶、悪意のある注入、ジェイルブレイク、コンセプト置換、知覚的ハイジャックの5つのカテゴリに分類する。
2つのオープンソースのVLMと3つのマルチモーダルデータセットでテストし、テキスト、画像、バイモーダルトリガにまたがる12の代表的な攻撃手法を用いて、これらの脅威を評価する。
論文 参考訳(メタデータ) (2025-11-24T09:30:38Z) - Lethe: Purifying Backdoored Large Language Models with Knowledge Dilution [49.78359632298156]
大規模言語モデル(LLM)は、様々な自然言語処理(NLP)タスクにおいて優れたパフォーマンスを達成し、大幅な進歩を遂げている。
標準クエリではモデルが正常に動作しますが、特定のトリガがアクティブになると、有害な応答や意図しない出力を生成します。
本稿では,LLMからのバックドアの挙動を知識希釈により除去する新しい手法LETHEを提案する。
論文 参考訳(メタデータ) (2025-08-28T17:05:18Z) - When Backdoors Speak: Understanding LLM Backdoor Attacks Through Model-Generated Explanations [58.27927090394458]
大規模言語モデル(LLM)は、バックドア攻撃に弱いことが知られている。
本稿では,自然言語説明の新しいレンズによるバックドア攻撃について検討する。
以上の結果から,バックドアモデルではクリーンな入力に対してコヒーレントな説明が得られたが,有毒なデータに対して多様かつ論理的に欠陥のある説明が得られた。
論文 参考訳(メタデータ) (2024-11-19T18:11:36Z) - MEGen: Generative Backdoor into Large Language Models via Model Editing [36.67048791892558]
本稿では,バックドア型大規模言語モデル(LLM)の影響に焦点を当てる。
生成タスクへのバックドア拡張を目的とした,編集ベースの生成バックドアMEGenを提案する。
実験の結果,MEGenは局所パラメータの小さなセットだけを調整することで,高い攻撃成功率を達成することがわかった。
論文 参考訳(メタデータ) (2024-08-20T10:44:29Z) - TrojanRAG: Retrieval-Augmented Generation Can Be Backdoor Driver in Large Language Models [16.71019302192829]
大規模言語モデル(LLM)は、自然言語処理(NLP)において顕著なパフォーマンスにもかかわらず、潜在的なセキュリティ脅威に対する懸念を提起している。
バックドア攻撃は当初、LLMがあらゆる段階で重大な損害を受けていることを証明したが、コストとロバスト性は批判されている。
本稿では,Retrieval-Augmented Generationにおいて,共同でバックドア攻撃を行うTrojanRAGを提案する。
論文 参考訳(メタデータ) (2024-05-22T07:21:32Z) - Simulate and Eliminate: Revoke Backdoors for Generative Large Language Models [42.19147076519423]
生成型大規模言語モデル(LLM)は、理解から推論まで、様々な自然言語処理(NLP)タスクを支配している。
悪意のある敵は、毒データをオンラインで公開し、毒データに基づいて事前訓練された被害者のLSMに対するバックドア攻撃を行うことができる。
生成LDMの不要なバックドアマッピングを除去するためにSANDE(Simulate and Eliminate)を提案する。
論文 参考訳(メタデータ) (2024-05-13T11:53:42Z) - Turn the Combination Lock: Learnable Textual Backdoor Attacks via Word
Substitution [57.51117978504175]
最近の研究では、ニューラルネットワーク処理(NLP)モデルがバックドア攻撃に弱いことが示されている。
バックドアを注入すると、モデルは通常、良質な例で実行されるが、バックドアがアクティブになったときに攻撃者が特定した予測を生成する。
単語置換の学習可能な組み合わせによって活性化される見えないバックドアを提示する。
論文 参考訳(メタデータ) (2021-06-11T13:03:17Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。