論文の概要: Ghost Tool Calls: Issue-Time Privacy for Speculative Agent Tools
- arxiv url: http://arxiv.org/abs/2606.02483v1
- Date: Mon, 01 Jun 2026 16:53:19 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-06-02 21:34:32.514073
- Title: Ghost Tool Calls: Issue-Time Privacy for Speculative Agent Tools
- Title(参考訳): Ghost Tool Calls: 投機的エージェントツールのイシュータイムプライバシ
- Authors: Bardia Mohammadi, Lars Klein, Akhil Arora, Laurent Bindschaedler,
- Abstract要約: ツール拡張された言語エージェントは、おそらく将来のツールコールを遅延を隠すために投機的に発行する。
これらの呼び出しは、エージェントがブランチにコミットする前に、外部サービスにユーザー意図を推論する。
我々は、コミット前の観察を第一級効果として扱うランタイム抽象化である、投機的ツールプライバシ契約を提案する。
- 参考スコア(独自算出の注目度): 3.430756791229312
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: Tool-augmented language agents speculatively issue likely future tool calls to hide latency, but those calls leak inferred user intent to external services before the agent commits to the branch. Every external observer that received the call retains the disclosure after the agent abandons the branch. Timing is the issue, not authorization: no commit-time cleanup, read-only restriction, or access-control allow-list unsends what an observer already holds. We call these invocations ghost tool calls and propose Speculative Tool Privacy Contracts, a runtime abstraction that treats observation before commitment as a first-class effect, distinct from state mutation. We implement the contracts in a prototype runtime and evaluate twelve policies across three corpora. Speculative dispatch increases what an observer can infer about user intent; post-hoc filters, read-only restrictions, and access-control allow-lists leave that inference intact; only issue-time policies that change or suppress the speculative call's argument or destination projection before dispatch reduce it.
- Abstract(参考訳): ツール拡張された言語エージェントは、おそらく将来のツールコールを遅延を隠すために投機的に発行するが、これらの呼び出しは、エージェントがブランチにコミットする前に、外部サービスに対するユーザの意図を推測する。
呼び出しを受けた外部のオブザーバーは、エージェントがブランチを放棄した後、開示を保持する。
コミットタイムのクリーンアップ、読み取り専用制限、アクセス制御の許容リストは、オブザーバがすでに保持しているものをアンサンドする。
私たちはこれらの呼び出しをゴーストツールコールと呼び、コミット前の観察を第1級の効果として扱い、状態突然変異とは別個のランタイム抽象化であるSpeculative Tool Privacy Contractsを提案します。
プロトタイプランタイムでコントラクトを実装し、3つのコーパスにまたがる12のポリシを評価します。
投機的ディスパッチは、ユーザーの意図を推測できるものを増やす; ポストホックフィルタ、読み取り専用制限、アクセス制御の許容リストは、その推論をそのまま残す; 投機的呼び出しの引数や送信先のプロジェクションを変更したり、抑制したりするイシュータイムポリシーのみを減らす。
関連論文リスト
- PrivacyPeek: Auditing What LLM-Based Agents Acquire, Not Just What They Say [48.84133320567554]
LLMベースのエージェントは急速に進歩し、ユーザーのタスクを完了させるために外部ツールを自律的に呼び出している。
既存のプライバシベンチマークは、エージェントの応答や外部アクションが開示するものを監査するが、データがエージェントのコンテキストに最初に入力される取得ステージを見落としている。
LLMエージェントの取得段階のプライバシー漏洩を評価するベンチマークであるemphPrivacyPeekを紹介する。
論文 参考訳(メタデータ) (2026-05-29T04:55:12Z) - AgentSecBench: Measuring Prompt Injection, Privacy Leakage, and Tool-Use Integrity in LLM Agents [0.2864713389096699]
本稿では,AgentSecBenchを,この問題に対する正式なセキュリティフレームワークの実証的なインスタンス化として紹介する。
3つのゲーム・インストラクション・インテリジェンス・インテリジェンス・インテリジェンス・インテリジェンス・インテリジェンス・インテリジェンス・インテリジェンス・インテリジェンス(英語版)・インテリジェンス・インテリジェンス・インテリジェンス・インテリジェンス・インテリジェンス(英語版)・インテリジェンス・インテリジェンス・インテリジェンス・インテリジェンス・インテリジェンス・インテリジェンス・インテリジェンス(英語版)を定めている。
これは、承認された観察と能力に対するプロジェクションとしてのアプリケーションポリシーを表し、プロジェクションの即時アノテーションとプロジェクションの強化を区別し、敵のアドバンテージと、防衛が生成前に関連するモデル可視チャネルを閉鎖するかどうかを計測する。
論文 参考訳(メタデータ) (2026-05-25T18:53:22Z) - Securing LLM Agents Need Intent-to-Execution Integrity [49.490963596514185]
我々は, LLMエージェントの確保には, エージェントの実行がユーザの意図を忠実に反映した場合に規定するエンドツーエンドの正当性を定義する必要があると主張している。
LLMエージェントはコンパイラと構造的に類似しており、セキュリティ違反はユーザ意図を保存しない誤った実行に対応する。
emphTool整合性、emph命令整合性、emphJudgment整合性、emphData整合性。
論文 参考訳(メタデータ) (2026-05-16T12:53:31Z) - Speculative Interaction Agents: Building Real-Time Agents with Asynchronous I/O and Speculative Tool Calling [64.40340291543971]
我々は,小さなエッジスケールモデルとのリアルタイムインタラクションを実現するための投機的インタラクションエージェントを提案する。
また、ストリーミング入力と非同期応答を処理するためにモデルを適応させるクロックベースのトレーニング手法を提案する。
このアプローチは、Qwen2.5-3B-InstructとLlama-3.2-3B-Instructモデルを複数のツール呼び出しベンチマークで1.6-2.2$times$ Speedupを提供する。
論文 参考訳(メタデータ) (2026-05-13T11:20:52Z) - KnowU-Bench: Towards Interactive, Proactive, and Personalized Mobile Agent Evaluation [72.01173512175531]
KnowU-Benchはパーソナライズされたモバイルエージェントのためのオンラインベンチマークである。
42のGUIタスク、86のパーソナライズされたタスク、64のプロアクティブタスクをカバーしている。
明示的なタスク実行に優れるエージェントは、あいまいな指示の下で50%以下に低下する。
論文 参考訳(メタデータ) (2026-04-09T16:50:50Z) - B-PASTE: Beam-Aware Pattern-Guided Speculative Execution for Resource-Constrained LLM Agents [0.0]
LLMエージェントはインターリーブされた推論とアクションのループで実行され、将来のツールコールは現在の推論ステップが完了するまで起動できない。
B-PASTEは、単一のツールからの推測を、厳密なリソース制約の下で局所的な分岐仮説に引き上げるビーム対応拡張である。
論文 参考訳(メタデータ) (2026-04-09T07:42:17Z) - Causality Laundering: Denial-Feedback Leakage in Tool-Calling LLM Agents [0.0]
LLMエージェントは、プライベートデータを読み、外部サービスを呼び出し、現実世界のアクションをトリガーし、ツール実行時にセキュリティ問題を引き起こすことができる。
Agentic Reference Monitor(ARM)は、ツール呼び出し、返却データ、フィールドレベルの証明、拒否されたアクションに関する前処理グラフを参照することによって、すべてのツール呼び出しを仲介するランタイム実行層である。
論文 参考訳(メタデータ) (2026-04-05T09:28:51Z) - Do Phone-Use Agents Respect Your Privacy? [97.81424230136075]
我々は,モバイルエージェントのプライバシ行動を評価するための検証可能なフレームワークであるMyPhoneBenchを紹介する。
プライバシを無視する電話を、最小限のプライバシ契約によって許可されたアクセス、最小限の開示、およびユーザ制御メモリとして運用する。
10のモバイルアプリと300のタスクで5つのフロンティアモデルにまたがって、タスクの成功、プライバシに準拠したタスク補完、保存された好みの後での利用が、それぞれ異なる機能であることに気付きました。
論文 参考訳(メタデータ) (2026-04-01T14:50:50Z) - OpenPort Protocol: A Security Governance Specification for AI Agent Tool Access [11.289770127178882]
本稿では,セキュアなサーバサイドゲートウェイを通じてアプリケーションツールを公開するためのガバナンスファースト仕様であるOpenPort Protocolを紹介する。
OpenPortは、認可に依存した発見、機械操作可能なテキストタグによる安定した応答エンベロープ、および統合証明書、スコープ化されたパーミッション、ABACスタイルのポリシー制約を組み合わせた認可モデルを定義する。
書き込み操作のために、OpenPortは、ドラフト作成とヒューマンレビューのデフォルトとなるリスクゲートライフサイクルを規定し、明示的なポリシーの下でタイムバウンド自動実行をサポートし、事前のインパクトバインディングやイデペント性を含むリスクの高い保護を強制する。
論文 参考訳(メタデータ) (2026-02-22T05:16:40Z) - Agentic JWT: A Secure Delegation Protocol for Autonomous AI Agents [0.6747475365990533]
エージェント設定の推論、プロンプトインジェクション、マルチエージェントオーケストレーションは、サイレントに特権を拡張することができる。
本稿では,エージェントのアクションをユーザインテントにバインドする2面インテントトークンであるAgentic JWT(A-JWT)を紹介する。
A-JWTはエージェントのアイデンティティを、そのプロンプト、ツール、設定から派生したワンウェイハッシュとして保持する。
論文 参考訳(メタデータ) (2025-09-16T23:43:24Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。