論文の概要: AIRGuard: Guarding Agent Actions with Runtime Authority Control
- arxiv url: http://arxiv.org/abs/2605.28914v1
- Date: Wed, 27 May 2026 17:48:14 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-05-30 02:45:55.048633
- Title: AIRGuard: Guarding Agent Actions with Runtime Authority Control
- Title(参考訳): AIRGuard: ランタイムオーソリティコントロールによるガードエージェントアクション
- Authors: Suliu Qin, Haomin Zhuang, Yujun Zhou, Yufei Han, Xiangliang Zhang,
- Abstract要約: ツールを使用する言語エージェントは、モデル決定を外部の副作用に変換する。
本稿では、最小限の権限をアクションタイムの認可として運用するランタイムガードであるAIRGuardを紹介する。
- 参考スコア(独自算出の注目度): 24.777900118288144
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Tool-using language agents turn model decisions into external side effects: they read files, run scripts, call APIs, send messages, and invoke Model Context Protocol tools. This makes agent attacks different from jailbreaks. The harmful step is often not an obviously forbidden output, but an ordinary executable action that becomes unsafe because attacker-controlled context steers authorized access against the user's interest. We identify this failure mode as authority confusion: untrusted resources may inform reasoning, but they must not authorize side effects. We present AIRGuard, a runtime guard that operationalizes least privilege as action-time authorization. AIRGuard normalizes heterogeneous tool calls, derives task authority into step-level authority, tracks source and target trust, simulates sensitive side effects, audits cross-step risk, and enforces decisions before actions execute. On AgentTrap, AIRGuard reduces Sonnet 4.6 attack success from 36.3% without defense to 5.5%. On DTAP-150, AIRGuard preserves 76.0% benign utility with Haiku 4.5, compared with 52.0% for ARGUS and 42.0% for MELON. An ablation further shows that prompt-only policy helps only modestly, whereas a dedicated runtime authority-control layer gives the agent system direct control over tool-mediated side effects. Code and data are available at https://github.com/Sophie508/AIRGuard.
- Abstract(参考訳): ツールを使用する言語エージェントは、モデル決定を外部の副作用に変える。ファイルの読み込み、スクリプトの実行、APIの呼び出し、メッセージの送信、Model Context Protocolツールの実行。
これにより、エージェントの攻撃はジェイルブレイクとは異なる。
有害なステップは明らかに禁止された出力ではないことが多いが、攻撃者がユーザーの興味に対してアクセスを許可するので、通常の実行時アクションは安全ではない。
信頼できないリソースは推論を知らせるかもしれないが、彼らは副作用を認可してはいけない。
本稿では、最小限の権限をアクションタイムの認可として運用するランタイムガードであるAIRGuardを紹介する。
AIRGuardは異種ツールコールを標準化し、タスク権限をステップレベルの権限へと導出し、ソースとターゲットの信頼を追跡し、機密性の高い副作用をシミュレートし、クロスステップリスクを監査し、アクションの実行前に決定を強制する。
AgentTrapでは、AIRGuardはSonnet 4.6攻撃の成功を36.3%から5.5%に削減した。
DTAP-150では、AIRGuardはHaiku 4.5で76.0%の便益を保存しており、ARGUSでは52.0%、MELONでは42.0%である。
アブレーションは、プロンプトのみのポリシーが緩やかにしか役に立たないことを示しているが、専用のランタイムオーソリティコントロール層は、ツールを介する副作用を直接エージェントシステムに制御する。
コードとデータはhttps://github.com/Sophie508/AIRGuard.comで公開されている。
関連論文リスト
- AgentGuard: An Attribute-Based Access Control Framework for Tool-Use LLM-Based Agent [20.435146053464177]
LLMをベースとしたエージェントは、複雑なタスクを達成するために、自律的に関連するツールを起動する能力のために、最近大きな注目を集めている。
最近の研究によると、これらのエージェントは深刻なセキュリティリスクに直面しており、プライバシーの漏洩、金融損失、さらにはシステム全体の妥協につながる可能性がある。
本稿では,ツール利用 LLM エージェントのための属性ベースのアクセス制御フレームワークである AgentGuard を提案する。
論文 参考訳(メタデータ) (2026-05-27T07:28:39Z) - Prompts Don't Protect: Architectural Enforcement via MCP Proxy for LLM Tool Access Control [0.0]
大規模な言語モデルは、大規模なレジストリからツールを選択して呼び出す自律的なエージェントとしてますます機能する。
本稿では,属性ベースのアクセス制御(ABAC)をツール発見とツール実行の2点で実施するMPPプロキシを提案する。
我々のプロキシは、50msの中央値レイテンシを追加しながら、不正呼び出し率(UIR)を0%に削減します。
論文 参考訳(メタデータ) (2026-05-18T13:52:24Z) - PlanGuard: Defending Agents against Indirect Prompt Injection via Planning-based Consistency Verification [1.7904458681854372]
PlanGuardは、コンテキスト分離の原則に基づいた、トレーニング不要の防御フレームワークである。
PlanGuardは攻撃を効果的に中和し、アタック成功率(ASR)を72.8%から0%に下げる。
論文 参考訳(メタデータ) (2026-04-11T09:59:46Z) - AgentWall: A Runtime Safety Layer for Local AI Agents [0.0]
AgentWallは、ローカルAIエージェントのランタイム安全性と可観測性レイヤである。
ホスト環境に到達する前に提案されたすべてのエージェントアクションをインターセプトし、明示的な宣言的なポリシーで評価し、機密性の高い操作に対して人間の承認を必要とし、監査と再生のための完全な実行パスを記録します。
本稿では,AgentWallの設計,アーキテクチャ,脅威モデル,およびポリシーモデルについて述べる。
論文 参考訳(メタデータ) (2026-03-24T11:39:35Z) - CausalArmor: Efficient Indirect Prompt Injection Guardrails via Causal Attribution [49.689452243966315]
ツールコール機能を備えたAIエージェントは、IPI(Indirect Prompt Injection)攻撃の影響を受けやすい。
本稿では,選択防衛フレームワークCausalArmorを提案する。
AgentDojoとDoomArenaの実験は、CausalArmorが攻撃的な防御のセキュリティと一致することを示した。
論文 参考訳(メタデータ) (2026-02-08T11:34:08Z) - ToolSafe: Enhancing Tool Invocation Safety of LLM-based agents via Proactive Step-level Guardrail and Feedback [53.2744585868162]
エージェントのデプロイには、ステップレベルのツールの実行動作をリアルタイムで監視することが不可欠だ。
LLMエージェントにおけるステップレベルツール起動安全検出のための新しいベンチマークであるTS-Benchを構築した。
次に,マルチタスク強化学習を用いたガードレールモデルTS-Guardを開発した。
論文 参考訳(メタデータ) (2026-01-15T07:54:32Z) - IPIGuard: A Novel Tool Dependency Graph-Based Defense Against Indirect Prompt Injection in LLM Agents [33.775221377823925]
大規模言語モデル(LLM)エージェントは現実世界のアプリケーションに広くデプロイされており、複雑なタスクのために外部データを検索し操作するためのツールを活用している。
信頼できないデータソースと対話する場合、ツールレスポンスには、エージェントの動作に秘密裏に影響を与え、悪意のある結果をもたらすインジェクションが含まれている可能性がある。
我々はIPIGuardと呼ばれる新しい防御タスク実行パラダイムを提案し、ソースにおける悪意あるツール呼び出しを防止する。
論文 参考訳(メタデータ) (2025-08-21T07:08:16Z) - BlindGuard: Safeguarding LLM-based Multi-Agent Systems under Unknown Attacks [58.959622170433725]
BlindGuardは、攻撃固有のラベルや悪意のある振る舞いに関する事前の知識を必要とせずに学習する、教師なしの防御方法である。
BlindGuardはマルチエージェントシステムにまたがる多様な攻撃タイプ(即時注入、メモリ中毒、ツール攻撃)を効果的に検出する。
論文 参考訳(メタデータ) (2025-08-11T16:04:47Z) - MELON: Provable Defense Against Indirect Prompt Injection Attacks in AI Agents [60.30753230776882]
LLMエージェントは間接的プロンプトインジェクション(IPI)攻撃に対して脆弱であり、ツール検索情報に埋め込まれた悪意のあるタスクはエージェントをリダイレクトして不正なアクションを取ることができる。
マスク機能によって修正されたマスク付きユーザでエージェントの軌道を再実行することで攻撃を検知する新しいIPIディフェンスであるMELONを提案する。
論文 参考訳(メタデータ) (2025-02-07T18:57:49Z) - GuardAgent: Safeguard LLM Agents by a Guard Agent via Knowledge-Enabled Reasoning [79.07152553060601]
安全ガード要求を満たすか否かを動的に確認し,目標エージェントを保護する最初のガードレールエージェントであるガードアジェントを提案する。
特にGuardAgentは、まず安全ガードの要求を分析してタスクプランを生成し、それからその計画をガードレールコードにマップして実行します。
GuardAgentは、それぞれ98%と83%のガードレール精度を持つ2つのベンチマークにおいて、異なる種類のエージェントに対する違反行為を効果的に抑制することを示した。
論文 参考訳(メタデータ) (2024-06-13T14:49:26Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。