論文の概要: Poisoning the Watchtower: Prompt Injection Attacks Against LLM-Augmented Security Operations Through Adversarial Log Content
- arxiv url: http://arxiv.org/abs/2605.24421v1
- Date: Sat, 23 May 2026 06:21:10 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-05-26 19:50:18.047186
- Title: Poisoning the Watchtower: Prompt Injection Attacks Against LLM-Augmented Security Operations Through Adversarial Log Content
- Title(参考訳): 監視員の逮捕:逆ログコンテンツによるLDM強化セキュリティ操作に対するプロンプトインジェクション攻撃
- Authors: Rohan Pandey, Archit Bhujang,
- Abstract要約: 大規模言語モデル(LLMs)は、セキュリティオペレーションセンター(SOCs)のアナリストアシスタントとしてますます使われている。
この設計における構造的障害モードについて検討し、多くのログフィールドがアタッカー制御されている。
直接オーバーライド(S1)、ペルソナ・ヒジャック(S2)、コンテキスト操作(S3)、難読化ペイロード(S4)の4つのクラスに分類する。
- 参考スコア(独自算出の注目度): 1.5369106213673014
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Large language models (LLMs) are increasingly used as analyst assistants in security operations centers (SOCs), where they ingest log and alert data to produce triage labels, incident summaries, or remediation advice. We study a structural failure mode of this design: many log fields are attacker controlled. User agents, URLs, payloads, DNS queries, and attempted usernames can therefore carry instructions to the model alongside evidence of the intrusion. We call this setting \emph{log-substrate prompt injection}. We introduce a four-class taxonomy of log-substrate attacks: direct override (S1), persona hijack (S2), context manipulation (S3), and obfuscated payloads (S4). We evaluate 48 strategy-defense-task combinations using \texttt{gpt-4o-mini} as the analyst. Three findings stand out. First, direct overrides are ineffective in our setting: all S1 classification attacks achieve 0\% suppression. In contrast, persona hijacks suppress 68\% of malicious logs under a naive classifier and remain effective under stronger defenses. Second, summarization is the highest-risk task: context manipulation reaches 96\% injection success without defenses and 38\% even with constrained output. Third, defenses reduce but do not eliminate the attack surface: average injection success falls from 26.6\% under naive prompting to 11.8\% under our strongest defense. We also compare empirical results to a deterministic mock analyst and find that simulation substantially mispredicts current model behavior, especially for direct overrides. These results suggest that SOC copilots should treat raw log content as adversarial input rather than ordinary analyst context.
- Abstract(参考訳): 大規模言語モデル(LLM)は、セキュリティオペレーションセンター(SOC)のアナリストアシスタントとして、トリアージラベル、インシデントサマリー、あるいは修復アドバイスを生成するためにログとアラートデータを取り込み、ますます使われるようになっている。
この設計における構造的障害モードについて検討し、多くのログフィールドがアタッカー制御されている。
ユーザエージェント、URL、ペイロード、DNSクエリ、試行されたユーザ名などは、侵入の証拠とともにモデルに命令を運ぶことができる。
この設定をemph{log-substrate prompt Injection}と呼びます。
直接オーバーライド(S1)、ペルソナ・ヒジャック(S2)、コンテキスト操作(S3)、難読化ペイロード(S4)の4種類の対数攻撃分類を導入する。
筆者らは, アナリストとして, texttt{gpt-4o-mini} を用いた48種類の戦略・防衛・タスクの組み合わせを評価した。
3つの発見がある。
第一に、直接オーバーライドは我々の設定では効果がなく、全てのS1分類攻撃は0\%の抑制を達成する。
対照的に、ペルソナ・ヒジャックは、ナイーブ・クラシファイアの下で悪意のあるログの68%を抑え、強力な防御下では有効である。
第2に、要約は最もリスクの高いタスクである: コンテキスト操作は、防御なしで96 %のインジェクション成功、制約された出力でも38 %に達する。
第3に、防御は減少するが攻撃面を排除しない: 平均噴射成功率は26.6\%から最強防御下では11.8\%に減少する。
また,実験結果を決定論的モック分析器と比較し,シミュレーションが現在のモデル挙動,特に直接オーバーライドを著しく誤った予測をすることを示した。
以上の結果から, SOCコピロは, 通常の分析コンテキストよりも, 生ログ内容を逆入力として扱うべきであることが示唆された。
関連論文リスト
- Oracle Poisoning: Corrupting Knowledge Graphs to Weaponise AI Agent Reasoning [0.9236074230806578]
Oracle Poisoningは、相手が構造化知識グラフを破損させる攻撃クラスである。
プロンプトインジェクションとは異なり、Oracle Poisoningはデータエージェントを操作します。
プロダクション4200万ノードのコード知識グラフに対する6つの攻撃シナリオを実演する。
論文 参考訳(メタデータ) (2026-05-10T23:55:13Z) - Defenses Against Prompt Attacks Learn Surface Heuristics [40.392588465939106]
大規模言語モデル(LLM)は、セキュリティに敏感なアプリケーションにますますデプロイされている。
LLMは、ユーザクエリや検索されたコンテンツに逆命令が現れるとき、意図したロジックをオーバーライドすることができる。
最近の防衛は、良心と悪意のあるラベルによる監督された微調整に依存している。
論文 参考訳(メタデータ) (2026-01-12T04:12:48Z) - Overcoming the Retrieval Barrier: Indirect Prompt Injection in the Wild for LLM Systems [7.15710884787427]
大規模言語モデル(LLM)は、外部コーパスから情報を取得することにますます依存している。
これにより新たな攻撃面が生成される:間接的プロンプトインジェクション(IPI)
本稿では,自然クエリと現実的な外部コーパスに基づいて,エンド・ツー・エンド IPI エクスプロイトを初めて提示する。
論文 参考訳(メタデータ) (2026-01-11T21:33:59Z) - AI Security Beyond Core Domains: Resume Screening as a Case Study of Adversarial Vulnerabilities in Specialized LLM Applications [71.27518152526686]
大きな言語モデル(LLM)はテキストの理解と生成に優れており、コードレビューやコンテンツモデレーションといった自動タスクに最適である。
LLMは履歴書やコードなどの入力データに隠された「逆命令」で操作でき、意図したタスクから逸脱する。
本稿では,特定の攻撃タイプに対して80%以上の攻撃成功率を示すとともに,この脆弱性を再開スクリーニングで評価するためのベンチマークを提案する。
論文 参考訳(メタデータ) (2025-12-23T08:42:09Z) - Mitigating Indirect Prompt Injection via Instruction-Following Intent Analysis [48.70474961584997]
インダイレクト・プロンプト・インジェクション・アタック(IPIA)は大きな言語モデル(LLM)に重大な脅威をもたらす
IntentGuardは、命令追従インテント分析に基づく一般的な防御フレームワークである。
論文 参考訳(メタデータ) (2025-11-30T16:29:04Z) - Malice in Agentland: Down the Rabbit Hole of Backdoors in the AI Supply Chain [82.98626829232899]
自分自身のインタラクションからのデータに対する微調整のAIエージェントは、AIサプライチェーン内の重要なセキュリティ脆弱性を導入している。
敵は容易にデータ収集パイプラインに毒を盛り、検出しにくいバックドアを埋め込むことができる。
論文 参考訳(メタデータ) (2025-10-03T12:47:21Z) - Poison Once, Control Anywhere: Clean-Text Visual Backdoors in VLM-based Mobile Agents [54.35629963816521]
この研究は、VLMベースのモバイルエージェントをターゲットにした最初のクリーンテキストバックドアアタックであるVIBMAを紹介する。
この攻撃は、視覚的な入力だけを変更することによって、悪意ある振る舞いをモデルに注入する。
クリーンタスクの動作を保ちながら高い成功率を達成できることを示す。
論文 参考訳(メタデータ) (2025-06-16T08:09:32Z) - MELON: Provable Defense Against Indirect Prompt Injection Attacks in AI Agents [60.30753230776882]
LLMエージェントは間接的プロンプトインジェクション(IPI)攻撃に対して脆弱であり、ツール検索情報に埋め込まれた悪意のあるタスクはエージェントをリダイレクトして不正なアクションを取ることができる。
マスク機能によって修正されたマスク付きユーザでエージェントの軌道を再実行することで攻撃を検知する新しいIPIディフェンスであるMELONを提案する。
論文 参考訳(メタデータ) (2025-02-07T18:57:49Z) - InjecGuard: Benchmarking and Mitigating Over-defense in Prompt Injection Guardrail Models [7.186499635424984]
プロンプトインジェクション攻撃は大規模言語モデル(LLM)に重大な脅威をもたらす
プロンプトガードモデルは防御に有効であるが、単語バイアスの引き金として過防衛に苦しむ。
InjecGuardは、新しいトレーニング戦略であるMitigating Over-defense for Freeを取り入れた、新しいプロンプトガードモデルである。
論文 参考訳(メタデータ) (2024-10-30T07:39:42Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。