論文の概要: Benign in Isolation, Harmful in Composition: Security Risks in Agent Skill Ecosystems
- arxiv url: http://arxiv.org/abs/2606.15242v1
- Date: Sat, 13 Jun 2026 10:55:01 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-06-16 16:21:33.147829
- Title: Benign in Isolation, Harmful in Composition: Security Risks in Agent Skill Ecosystems
- Title(参考訳): 構成に有害な孤立性:エージェントスキルエコシステムにおけるセキュリティリスク
- Authors: Yi Xie, Jiawei Du, Yu Cheng, Jiuan Zhou, Zhaoxia Yin,
- Abstract要約: スキル・コンポジション・リスク(SCR)は、アウトプット、信頼信号、認可手順、あるいは後続の呼び出しにアクティベートされた経路に沿って影響が及ぶと、ベニグナグナグナグナグナグナグナグナグナグナグナグナグナグナグナグナグナグナグナグナグナグナグナグナグナグナグナグナグナグナグナグナグナグナグナグナグナグナグナグナグナグナグナグナグナグナグナグナグナグナグナグナグナグナグナ
SCR-Benchを導入し、制御されたサンドボックスのスキル環境において、このリスクを評価する。
SCR-CapFlow for capabilities-flow composition、SCR-TrustLift for trust-transfer composition、SCR-AuthBlur for permission-confusion compositionである。
- 参考スコア(独自算出の注目度): 23.358909383628824
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Skills are becoming the capability layer through which LLM agents turn plans into actions, but their use introduces security risks such as data leakage, unauthorized operations, and tool misuse. Existing vetting usually evaluates each skill in isolation, while real agent tasks often invoke multiple skills in a shared execution context. This creates Skill Composition Risk (SCR): a skill that appears benign alone can become harmful when its outputs, trust signals, authorization cues, or side effects influence later invocations along an activated path. We introduce SCR-Bench to evaluate this risk in controlled, sandboxed skill environments. Rather than relying only on textual intent or surface behavior, SCR-Bench records downstream state changes and path-level outcomes across composed skill executions. It contains three sub-benchmarks: SCR-CapFlow for capability-flow composition, SCR-TrustLift for trust-transfer composition, and SCR-AuthBlur for authorization-confusion composition. Across SCR-Bench, composed paths expose risks that are largely absent under isolated evaluation. In SCR-CapFlow, attack success rate reaches 33.6 percent under composition, compared with near-zero isolated baselines. In SCR-TrustLift, attack success rate exceeds 96.5 percent on four of five backends. In SCR-AuthBlur, the risky-approval rate increases by 71.8 percent relative to the L0 isolated baseline under the L1 context setting. These results show that agent skill security should be assessed at the level of activated paths rather than isolated artifacts. SCR and SCR-Bench provide a foundation for path-aware risk evaluation and defense in LLM agent skill ecosystems. Benchmark: https://github.com/saint-viperx/SCR_Bench.
- Abstract(参考訳): LLMエージェントがプランをアクションに変換する能力レイヤになりつつあるが、その使用によってデータ漏洩や不正操作、ツール誤用といったセキュリティリスクが導入されている。
既存のベッティングは通常、それぞれのスキルを独立して評価するが、実際のエージェントタスクは共有実行コンテキストで複数のスキルを呼び出すことが多い。
これはスキル・コンポジション・リスク(SCR)を生み出します – アウトプット、信頼信号、承認手順、あるいは後続の呼び出しにアクティベートされたパスに沿って副作用が影響した場合、ベニグライザーが単独で有害になるようなスキルです。
SCR-Benchを導入し、サンドボックス化スキル環境におけるこのリスクを評価する。
SCR-Benchは、テキストインテントや表面動作のみに頼るのではなく、下流の状態変化と、構成されたスキル実行全体のパスレベルの結果を記録する。
SCR-CapFlow for capabilities-flow composition、SCR-TrustLift for trust-transfer composition、SCR-AuthBlur for permission-confusion compositionである。
SCR-Bench全体において、構成されたパスは、独立した評価の下でほとんど欠落しているリスクを露呈する。
SCR-CapFlowでは、ほぼゼロの孤立したベースラインと比較して、攻撃成功率は33.6%に達する。
SCR-TrustLiftでは、5つのバックエンドのうち96.5%が攻撃の成功率である。
SCR-AuthBlurでは、L1コンテキスト設定下でのL0分離ベースラインと比較して、リスク承認率は71.8%上昇する。
これらの結果から, エージェントスキルのセキュリティは, 孤立したアーティファクトではなく, 活性化パスのレベルで評価されるべきであることが示唆された。
SCRとSCR-Benchは、LLMエージェントスキルエコシステムにおけるパス認識リスク評価と防御の基礎を提供する。
ベンチマーク:https://github.com/saint-viperx/SCR_Bench
関連論文リスト
- SkillHarm: Lifecycle-Aware Skill-Based Attacks via Automated Construction [89.03272793385054]
エージェントスキルはエージェントワークフローにおける特権的な位置を占め、サードパーティスキルを脆弱な攻撃面にする。
我々はスキルベースアタックのベンチマークであるSkillHarmを紹介した。
攻撃成功率はFPPが86.3%、SMPが69.3%である。
論文 参考訳(メタデータ) (2026-06-01T17:45:39Z) - SeClaw: Spec-Driven Security Task Synthesis for Evaluating Autonomous Agents [87.26967184869198]
SeClawは、仕様駆動のセキュリティタスク合成と、自律エージェントの実行ベースのセキュリティ評価を組み合わせたフレームワークである。
ベンチマークは、リソース、ユーザタスク、環境、本質的なエージェントの振る舞いから生じるリスクをカバーしている。
論文 参考訳(メタデータ) (2026-06-01T14:23:42Z) - Behavioral Integrity Verification for AI Agent Skills [9.127363793428119]
我々はこれを行動整合性検証(BIV)問題として定式化する。
OpenClawレジストリの49,943のスキルでは、逸脱分類が広範な記述と実装のギャップを明らかにしている。
906スキルの悪質なスキル検出ベンチマークでは、BIVは0.946のF1に達し、最先端のルールベースとシングルパスのLCMベースラインを上回っている。
論文 参考訳(メタデータ) (2026-05-12T08:41:09Z) - CADMAS-CTX: Contextual Capability Calibration for Multi-Agent Delegation [0.0]
CADMAS-CTXはコンテキストキャリブレーションのためのフレームワークである。
階層的なコンテキスト能力プロファイルは、静的なスキルレベルの信頼性をコンテキスト条件の後方に置き換える。
GAIAとSWE-benchベンチマークを用いて,本手法の有効性を実証的に検証した。
論文 参考訳(メタデータ) (2026-04-20T08:30:28Z) - SecPI: Secure Code Generation with Reasoning Models via Security Reasoning Internalization [50.71047638695205]
RLM(Reasoning Language Model)は、プログラミングにおいてますます使われている言語モデルである。
しかし、最先端のRLMでさえ、生成されたコードに重大なセキュリティ脆弱性を頻繁に導入する。
我々は、構造化されたセキュリティ推論を内部化するためのRTMを教える微調整パイプラインであるSecPIを提案する。
論文 参考訳(メタデータ) (2026-04-04T04:29:11Z) - ATBench: A Diverse and Realistic Agent Trajectory Benchmark for Safety Evaluation and Diagnosis [96.92417622318267]
ATBenchは、エージェント安全性の構造化、多様性、現実的な評価のための軌道レベルのベンチマークである。
リスクソース、障害モード、現実世界の危害の3つの側面に沿ってエージェント的リスクを編成する。
1000個の軌道(安全503個、安全497個)があり、平均9.01ターンと3.95kトークンがあり、2,084個のツールにまたがるプールから1,954個のツールが呼び出されている。
論文 参考訳(メタデータ) (2026-04-02T13:26:20Z) - SafeClaw-R: Towards Safe and Secure Multi-Agent Personal Assistants [10.897758061443989]
SafeClaw-Rは、実行グラフ上のシステムレベルの不変量として安全を強制するフレームワークである。
生産性プラットフォーム、サードパーティのスキルエコシステム、コード実行環境の3つの領域でSafeClaw-Rを評価します。
論文 参考訳(メタデータ) (2026-03-28T05:03:54Z) - Burn-After-Use for Preventing Data Leakage through a Secure Multi-Tenant Architecture in Enterprise LLM [11.475329947433217]
本研究は, 安全なマルチテナントアーキテクチャ (SMTA) と新しい概念であるバーン・アフター・ユース (BAU) を組み合わせたものである。
BAUは、使用後に自動的に破棄される短命な会話コンテキストを強制することによって、データの機密性を導入する。
その結果,SMTAとBAUが連携して厳密な隔離,セッションの短命性,強い機密性保証,非永続性,企業LLMの政策整合性などを実施できることが示唆された。
論文 参考訳(メタデータ) (2026-01-10T17:24:39Z) - SafeAgentBench: A Benchmark for Safe Task Planning of Embodied LLM Agents [58.65256663334316]
我々は,対話型シミュレーション環境におけるLLMエージェントの安全性を考慮したタスク計画のための最初のベンチマークであるSafeAgentBenchを紹介する。
SafeAgentBenchは、(1)10の潜在的な危険と3つのタスクタイプをカバーするために厳格にキュレートされた750のタスクの実行可能な多種多様な高品質データセット、(2)低レベルコントローラを備えた普遍的な実施環境、9つの最先端ベースラインに対して17のハイレベルアクションでマルチエージェント実行をサポートするSafeAgentEnv、(3)実行とセマンティックの両方の観点から信頼性の高い評価方法を含む。
論文 参考訳(メタデータ) (2024-12-17T18:55:58Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。