論文の概要: ZERO-APT: A Closed-Loop Adversarial Framework for LLM-Driven Automated Penetration Testing under Intelligent Defense
- arxiv url: http://arxiv.org/abs/2606.05567v1
- Date: Thu, 04 Jun 2026 01:28:36 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-06-05 22:39:44.47312
- Title: ZERO-APT: A Closed-Loop Adversarial Framework for LLM-Driven Automated Penetration Testing under Intelligent Defense
- Title(参考訳): ZERO-APT: インテリジェントディフェンス下でのLLM駆動自動貫入テストのためのクローズドループ対応フレームワーク
- Authors: Anlan Zheng, Tiantian Zhu,
- Abstract要約: ターンベースの攻撃防御フレームワークZERO-APTを提案する。
リアリズムでは、ZERO-APTはSysmonテレメトリを消費し、リアルタイムで攻撃を検出するLLM Defenderを組み込みます。
一貫性のために、3つのアーキテクチャメカニズムは因果一貫性を不安定なLLM推論から強制されたシステムアーキテクチャへと移行させる。
- 参考スコア(独自算出の注目度): 4.38737676286324
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: LLM-driven automated penetration testing agents are typically evaluated against static targets that neither detect nor respond to attacks, so their behavior under intelligent defense remains untested. The causal consistency of multi-step attack chains likewise hinges on unstable LLM reasoning, and agent decisions remain opaque to human analysts. These three shortcomings, in realism, consistency, and auditability, are usually patched in isolation. We present ZERO-APT, a turn-based attacker-defender-judge framework that addresses them within a single architecture. For realism, ZERO-APT embeds a configurable LLM Defender that consumes Sysmon telemetry and detects attacks in real time, exposing the attacker to a live opponent rather than a passive target. For consistency, three architectural mechanisms move causal consistency from unstable LLM reasoning into enforced system architecture: separation of planning from execution, multi-dimensional ReAct feedback, and a hard-constraint-filtered action library. For auditability, a dedicated Judge agent adjudicates each round, maintains global state, and emits structured post-hoc CTI reports that make every decision traceable. We evaluate a Windows Server 2022 post-exploitation prototype across five scenarios with three Defender configurations. ZERO-APT reaches 79\% attack success rate (Aurora 22\%, PentestGPT 39\%), a Causal Consistency Score of 0.860 (Aurora 0.930, Claude Code 0.520), and end-to-end decision auditability through structured CTI reports. We release the benchmark to support evaluation of penetration agents under intelligent defense.
- Abstract(参考訳): LLMを駆動する自動貫入試験剤は、攻撃を検知も応答もしない静的目標に対して一般的に評価されるため、知的防御下での動作は検証されていない。
マルチステップ攻撃チェーンの因果一貫性は不安定なLSM推論にも影響し、エージェントの決定は人間のアナリストには不透明である。
これら3つの欠点、リアリズム、一貫性、監査性は通常、独立してパッチを当てられる。
ZERO-APTはターンベースのアタッカー・ディフェンダー・ジャッジ・フレームワークで、1つのアーキテクチャでそれらに対処する。
リアリズムでは、ZERO-APTはSysmonテレメトリを消費し、リアルタイムで攻撃を検知する設定可能なLDMデフェンダーを組み込み、攻撃者は受動的ターゲットではなく、生きた相手に露出する。
一貫性のために、3つのアーキテクチャメカニズムは、因果一貫性を不安定なLLM推論から強制されたシステムアーキテクチャへ移行させる。
監査性については、専用の審査員が各ラウンドを判断し、グローバルな状態を維持し、すべての決定をトレース可能にする構造化されたポストホックCTIレポートを発行する。
われわれはWindows Server 2022の公開後プロトタイプを5つのシナリオで評価し、Defender設定を3つ導入した。
ZERO-APT は 79 % の攻撃成功率 (Aurora 22 %, PentestGPT 39 %), Causal Consistency Score 0.860 (Aurora 0.930, Claude Code 0.520) に達し,構造化 CTI レポートによるエンドツーエンドの決定監査が可能になった。
知的防御下での侵入エージェントの評価を支援するためのベンチマークをリリースする。
関連論文リスト
- AgentShield: Deception-based Compromise Detection for Tool-using LLM Agents [4.36595961990666]
AgentShieldは詐欺ベースの検出フレームワークである。
エージェントのツールインターフェース内に3つのトラップ層を配置する。
攻撃の成功率は90.7%-100%で、485の正常使用試験では誤報はゼロである。
論文 参考訳(メタデータ) (2026-05-10T20:08:27Z) - CHAINTRIX: A multi-pipeline LLM-augmented framework for automated smart-contract security auditing [3.8615905456206256]
Chaintrixは、スマートコントラクトエクスプロイトのためのエンドツーエンドの監査フレームワークである。
120の脆弱性のうち86が検出され、25の監査が100%リコールされた。
論文 参考訳(メタデータ) (2026-05-10T06:02:22Z) - TwinGate: Stateful Defense against Decompositional Jailbreaks in Untraceable Traffic via Asymmetric Contrastive Learning [60.68349524623048]
分解されたジェイルブレイクは、大きな言語モデルにとって重大な脅威となる。
我々はステートフルなデュアルエンコーダ防御フレームワークであるTwinGateを紹介する。
我々は、8600の異なる悪意のある意図にまたがる360万以上の命令の包括的なデータセットを構築した。
論文 参考訳(メタデータ) (2026-04-30T13:44:01Z) - Parallax: Why AI Agents That Think Must Never Act [0.0]
本稿では,4つの原則に基づく自律型AI実行のパラダイムであるParallaxを紹介する。
本稿では、Goのオープンソースリファレンス実装であるOpenParallaxを紹介し、Assume-Compromise Evaluationを用いて評価する。
9つの攻撃カテゴリにおける280件の敵の試験ケースのうち、パララックスは98.9%の攻撃をブロックし、デフォルト設定ではゼロの偽陽性、最大セキュリティ設定では100%の攻撃をブロックした。
論文 参考訳(メタデータ) (2026-04-14T17:20:48Z) - Automated Self-Testing as a Quality Gate: Evidence-Driven Release Management for LLM Applications [51.56484100374058]
我々は,エビデンスに基づくリリース決定を伴う品質ゲートを導入する自動自己テストフレームワークを提案する。
内部展開型多エージェント対話型AIシステムの縦型ケーススタディにより,本フレームワークの評価を行った。
論文 参考訳(メタデータ) (2026-03-13T20:44:15Z) - AttriGuard: Defeating Indirect Prompt Injection in LLM Agents via Causal Attribution of Tool Invocations [38.49666480491258]
LLMエージェントは間接プロンプト注入(IPI)に対して非常に脆弱である
本稿では,特定のツールコールが生成される理由を問うことでエージェントをセキュアにする,アクションレベルの因果属性という新しいパラダイムを提案する。
我々はこのパラダイムを、並列対実テストに基づくランタイムディフェンスであるAttriGuardでインスタンス化する。
論文 参考訳(メタデータ) (2026-03-11T13:23:46Z) - Gaming the Judge: Unfaithful Chain-of-Thought Can Undermine Agent Evaluation [76.5533899503582]
大規模言語モデル(LLM)は、エージェントのパフォーマンスを評価するために、ますます裁判官として使われている。
このパラダイムは、エージェントのチェーン・オブ・シークレット(CoT)推論が内部の推論と環境状態の両方を忠実に反映していることを暗黙的に仮定している。
我々は、操作された推論だけで、様々なWebタスクにまたがる800の軌跡に対して、最先端のVLM審査員の偽陽性率を最大90%向上させることができることを実証した。
論文 参考訳(メタデータ) (2026-01-21T06:07:43Z) - STAC: When Innocent Tools Form Dangerous Chains to Jailbreak LLM Agents [38.755035623707656]
本稿では,エージェントツールの利用を生かした新しいマルチターンアタックフレームワークSTACについて紹介する。
我々は,483のSTACケースを自動生成し,評価するために,1,352セットのユーザエージェント環境相互作用を特徴とするフレームワークを適用した。
GPT-4.1を含む最先端のLSMエージェントはSTACに対して極めて脆弱であり,攻撃成功率(ASR)は90%以上である。
論文 参考訳(メタデータ) (2025-09-30T00:31:44Z) - AegisLLM: Scaling Agentic Systems for Self-Reflective Defense in LLM Security [74.22452069013289]
AegisLLMは、敵の攻撃や情報漏洩に対する協調的なマルチエージェント防御である。
テスト時のエージェント推論システムのスケーリングは,モデルの有用性を損なうことなく,ロバスト性を大幅に向上させることを示す。
アンラーニングやジェイルブレイクを含む主要な脅威シナリオに対する総合的な評価は、AegisLLMの有効性を示している。
論文 参考訳(メタデータ) (2025-04-29T17:36:05Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。