論文の概要: SkillGuard: A Permission Framework for Agent Skills

• arxiv url: http://arxiv.org/abs/2606.03024v1
• Date: Tue, 02 Jun 2026 02:01:53 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-06-03 22:00:04.685412
• Title: SkillGuard: A Permission Framework for Agent Skills
• Title（参考訳）: SkillGuard: エージェントスキルの許可フレームワーク
• Authors: Shidong Pan, Xiaoyu Sun, Tianyi Zhang, Dianshu Liao, Meixue Si, Zhenchang Xing,
• Abstract要約: 我々はスキル中心のパーミッションフレームワークであるSkillGuardを紹介した。 SkillGuardを実世界の315のスキルとSkillInjectで評価した。
• 参考スコア（独自算出の注目度）: 14.787581333168859
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Agent skills extend LLM agents with reusable instructions, scripts, tool bindings, and contextual dependencies. However, current skill ecosystems largely rely on trust-based loading and static inspection, leaving a gap between what a skill can inject into an agent's context and what it can cause the agent to do at runtime. This gap introduces new security and privacy risks, and existing defenses primarily inspect skill files statically or regulate individual tool calls, without systematically connecting a skill's declared intent with its runtime behavior. In this paper, we present SkillGuard, a skill-centric permission framework that treats skills as permission-bearing executable artifacts. SkillGuard introduces a dual-plane governance model that jointly regulates context influence and action side effects through skill manifests, runtime access control, user-mediated authorization, deny-by-default enforcement, capability inference, and behavior monitoring. We evaluate SkillGuard on 315 real-world skills and SkillInject. The permission taxonomy covers 99.76% of observed protected objects, and automated manifest generation reaches 91.0% F1. In adversarial evaluations, SkillGuard reduces attack success from 32.37% to 23.02% for contextual injections and from 25.56% to 16.67% for obvious injections, while maintaining benign task utility. These results suggest that SkillGuard, as a skill-centric permission framework, can provide a practical foundation for improving the privacy and security of agent skill ecosystems.
• Abstract（参考訳）: エージェントスキルは、再利用可能な命令、スクリプト、ツールバインディング、コンテキスト依存を備えたLLMエージェントを拡張する。 しかしながら、現在のスキルエコシステムは、信頼性ベースのローディングと静的インスペクションに大きく依存しており、スキルがエージェントのコンテキストに注入できることと、エージェントが実行時に何をするのかというギャップを残している。 このギャップは新たなセキュリティとプライバシのリスクを導入し、既存のディフェンスは主に、スキルの宣言された意図と実行時の動作を体系的に接続することなく、スキルファイルを静的に検査するか、個々のツールコールを規制する。 本稿では,スキルを付与可能なアーティファクトとして扱う,スキル中心のパーミッションフレームワークであるSkillGuardを紹介する。 SkillGuardは、スキルマニフェスト、ランタイムアクセス制御、ユーザによる承認、デフォールトによる拒否、機能推論、行動監視を通じて、コンテキストの影響とアクション側の効果を共同で規制するデュアルプレーンガバナンスモデルを導入している。 SkillGuardを実世界の315のスキルとSkillInjectで評価した。 許可分類は、観察された保護対象の99.76%をカバーし、自動化されたマニフェスト生成は91.0% F1に達する。 敵による評価では、SkillGuardは攻撃の成功を32.37%から23.02%に減らし、25.56%から16.67%に減らした。 これらの結果は、スキル中心のパーミッションフレームワークであるSkillGuardが、エージェントスキルエコシステムのプライバシとセキュリティを改善するための実践的な基盤となることを示唆している。

関連論文リスト

• SkillHarm: Lifecycle-Aware Skill-Based Attacks via Automated Construction [89.03272793385054]
  エージェントスキルはエージェントワークフローにおける特権的な位置を占め、サードパーティスキルを脆弱な攻撃面にする。 我々はスキルベースアタックのベンチマークであるSkillHarmを紹介した。 攻撃成功率はFPPが86.3%、SMPが69.3%である。
  論文  参考訳（メタデータ） (2026-06-01T17:45:39Z)
• Under the Hood of SKILL.md: Semantic Supply-chain Attacks on AI Agent Skill Registry [49.83108591873481]
  SKILL.md - エージェントスキルライフサイクルの3つのステージを対象とするアタックのみを調査する。 SKILL.mdは受動的ドキュメントではなく、サードパーティのエージェントが発見し、信頼し、使用する機能を形成する運用テキストであることを示す。
  論文  参考訳（メタデータ） (2026-05-12T02:11:54Z)
• SkillAttack: Automated Red Teaming of Agent Skills through Attack Path Refinement [66.44008181092832]
  LLMベースのエージェントシステムは、その能力を拡張するためにオープンレジストリからのエージェントスキルにますます依存している。 SkillAttackは、敵のプロンプトを通じて、スキル脆弱性の脆弱性を検証できるフレームワークである。
  論文  参考訳（メタデータ） (2026-04-05T06:25:11Z)
• Skill-Inject: Measuring Agent Vulnerability to Skill File Attacks [27.120130204872325]
  SkillInjectは、広く使われているLLMエージェントの、スキルファイルによるインジェクションに対する感受性を評価するベンチマークである。 SkillInjectには、明らかに悪意のあるインジェクションから、その他の正当な命令に隠された微妙なコンテキスト依存的なアタックまで、202のインジェクションタスクペアが含まれている。 以上の結果から,今日のエージェントは,フロンティアモデルによる攻撃成功率の最大80%に対して,非常に脆弱であることが示唆された。
  論文  参考訳（メタデータ） (2026-02-23T18:59:27Z)
• SkillJect: Automating Stealthy Skill-Based Prompt Injection for Coding Agents with Trace-Driven Closed-Loop Refinement [120.52289344734415]
  エージェントスキルに適したステルスプロンプトインジェクションのための自動フレームワークを提案する。 フレームワークは、明示的なステルス制約の下でインジェクションスキルを合成するアタックエージェント、インジェクションされたスキルを使用してタスクを実行するコードエージェント、アクショントレースをログする評価エージェントの3つのエージェントでクローズドループを形成する。 本手法は,現実的な環境下で高い攻撃成功率を達成する。
  論文  参考訳（メタデータ） (2026-02-15T16:09:48Z)
• SkillsBench: Benchmarking How Well Agent Skills Work Across Diverse Tasks [61.89812116484928]
  エージェントスキルは、LLMエージェントを推論時に増強する手続き的知識の構造化パッケージである。 SkillsBenchは、11のドメインにわたる86のタスクのベンチマークであり、キュレートされたスキルと決定論的検証との組み合わせを示す。 キュレートされたスキルは平均パスレートを16.2ポイント(pp)上昇させるが、効果は領域によって大きく異なる。 自己生成スキルは平均的に何の利益も与えず、モデルが消費から得られる手続き的な知識を確実に説明できないことを示している。
  論文  参考訳（メタデータ） (2026-02-13T07:06:06Z)
• Malicious Agent Skills in the Wild: A Large-Scale Security Empirical Study [47.60135753021306]
  サードパーティのエージェントスキルは、LLMベースのエージェントを拡張して、命令ファイルとユーザのマシン上で動作する実行可能なコードを生成する。 結果として生じる脅威を特徴づけるために、地中真実のデータセットは存在しない。 我々は,98,380のスキルを行動検証することで,悪質なエージェントスキルのラベル付きデータセットを構築した。
  論文  参考訳（メタデータ） (2026-02-06T09:52:27Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。