論文の概要: Seeing Is Not Screening: Multimodal Hidden Instruction Attacks on Agent Skill Scanners
- arxiv url: http://arxiv.org/abs/2606.18198v1
- Date: Tue, 16 Jun 2026 17:29:11 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-06-17 17:15:32.577861
- Title: Seeing Is Not Screening: Multimodal Hidden Instruction Attacks on Agent Skill Scanners
- Title(参考訳): エージェント・スキル・スキャナーに隠されたマルチモーダル・インストラクション・アタック
- Authors: Xiaojun Jia, Jie Liao, Simeng Qin, Ke Ma, Wenbo Guo, Yebo Feng, Aishan Liu, Yang Liu,
- Abstract要約: LLMベースのシステムではエージェントスキルが重要な攻撃面として浮上している。
現在の防衛は、セキュリティ分析の主要な信号として、テキスト記述、マニフェスト、ソースコードに依存している。
本稿では,文書を介するマルチモーダル・インストラクション・アタックであるSkillCamoを提案する。
また,インテント抽出,行動再構成,虐待評価,熟考的実行シミュレーションを行う,実行地上マルチモーダルスキャンモジュールであるExecScanを提案する。
- 参考スコア(独自算出の注目度): 34.485920220166285
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: Agent skills are emerging as an important attack surface in LLM-based systems. Through an empirical study of existing skill scanners, we find that current defenses primarily rely on textual descriptions, manifests, and source code as the main signals for security analysis, which can leave visually conveyed malicious intent insufficiently examined. This creates a practical blind spot: harmful operational instructions hidden in images may bypass scanning while still being recoverable by multimodal agents during deployment. To systematically investigate this threat, we propose SkillCamo, a document-mediated multimodal instruction attack that conceals malicious instructions within images bundled with a skill while rewriting the surrounding documentation to naturally reference those images as part of the normal workflow. Thus, the attack does not rely on the image alone, but on the joint interpretation of textual guidance and visual payload at execution time. To defend against such attacks, we further propose ExecScan, an execution-grounded multimodal scanning module that performs intent extraction, behavior reconstruction, abuse assessment, and deliberative execution simulation over skill artifacts. ExecScan jointly analyzes documentation, code, referenced resources, and visual content to recover hidden instructions, reconstruct executable behavior chains, and identify downstream risks such as exfiltration, destruction, persistence, deception, and privilege escalation. Extensive experiments show that image-hidden malicious instructions challenge existing skill scanners, while ExecScan can improve the skill scanning performance.
- Abstract(参考訳): LLMベースのシステムではエージェントスキルが重要な攻撃面として浮上している。
既存の技術スキャナの実証研究を通じて、現状の防御は、主に、視覚的に伝達された悪意のある意図を十分に検査することのできる、セキュリティ分析の主要な信号として、テキスト記述、マニフェスト、ソースコードに依存していることがわかった。
イメージに隠された有害な運用命令は、スキャンをバイパスし、デプロイ中にマルチモーダルエージェントによって回復可能である。
この脅威を体系的に調査するために、我々はSkillCamoを提案する。SkillCamoは、通常のワークフローの一部としてそれらのイメージを自然に参照するために、周囲のドキュメントを書き換えながら、スキルに束ねられた画像内の悪意ある命令を隠蔽するドキュメント経由のマルチモーダル・インストラクション攻撃である。
したがって、攻撃は画像のみに頼らず、実行時にテキストガイダンスと視覚ペイロードを共同で解釈する。
このような攻撃に対して防御するため,本研究では,意図抽出,行動再構成,虐待評価,熟練品に対する熟考的実行シミュレーションを行う,実行基盤型マルチモーダルスキャンモジュールであるExecScanを提案する。
ExecScanはドキュメント、コード、参照リソース、ビジュアルコンテンツを共同で分析し、隠れた命令を復元し、実行可能な動作チェーンを再構築し、流出、破壊、永続性、偽造、特権エスカレーションなどの下流リスクを特定する。
大規模な実験では、画像に隠された悪意のある命令が既存のスキルスキャナーに挑戦し、ExecScanはスキルスキャン性能を改善することができる。
関連論文リスト
- Red-Teaming Agent Execution Contexts: Open-World Security Evaluation on OpenClaw [9.193028511327851]
本稿では,OpenClawにおけるコンテキスト脆弱性の自動検出フレームワークであるDeepTrapについて述べる。
DeepTrapはリスク実現、良質なタスク保存、ステルスのバランスをとる。
その結果、コンテキスト妥協は、ユーザ対応タスクの完了を保ちながら、かなりの安全でない振る舞いを誘発することが示された。
論文 参考訳(メタデータ) (2026-05-11T13:20:02Z) - Trust Me, Import This: Dependency Steering Attacks via Malicious Agent Skills [25.627983175254958]
本稿では、悪意あるSkillがコーディングエージェントを攻撃者制御パッケージにバイアスする攻撃パラダイムであるDependency Steeringを紹介する。
この結果から,永続的なエージェント命令がソフトウェアのサプライチェーンアタックサーフェスを形成することが明らかとなった。
論文 参考訳(メタデータ) (2026-05-10T15:13:38Z) - SkillJect: Automating Stealthy Skill-Based Prompt Injection for Coding Agents with Trace-Driven Closed-Loop Refinement [120.52289344734415]
エージェントスキルに適したステルスプロンプトインジェクションのための自動フレームワークを提案する。
フレームワークは、明示的なステルス制約の下でインジェクションスキルを合成するアタックエージェント、インジェクションされたスキルを使用してタスクを実行するコードエージェント、アクショントレースをログする評価エージェントの3つのエージェントでクローズドループを形成する。
本手法は,現実的な環境下で高い攻撃成功率を達成する。
論文 参考訳(メタデータ) (2026-02-15T16:09:48Z) - Cuckoo Attack: Stealthy and Persistent Attacks Against AI-IDE [64.47951172662745]
Cuckoo Attackは、悪意のあるペイロードを構成ファイルに埋め込むことで、ステルス性と永続的なコマンド実行を実現する新しい攻撃である。
攻撃パラダイムを初期感染と持続性という2つの段階に分類する。
当社は、ベンダーが製品のセキュリティを評価するために、実行可能な7つのチェックポイントを提供しています。
論文 参考訳(メタデータ) (2025-09-19T04:10:52Z) - ForensicsSAM: Toward Robust and Unified Image Forgery Detection and Localization Resisting to Adversarial Attack [56.0056378072843]
高い転送性を持つ逆画像は上流モデルでのみ作成可能であることを示す。
本稿では,IFDLフレームワークを組み込んだForensicsSAMを提案する。
論文 参考訳(メタデータ) (2025-08-10T16:03:44Z) - Manipulating Multimodal Agents via Cross-Modal Prompt Injection [34.35145839873915]
マルチモーダルエージェントにおいて、これまで見過ごされていた重要なセキュリティ脆弱性を特定します。
攻撃者が複数のモードにまたがって敵の摂動を埋め込む新たな攻撃フレームワークであるCrossInjectを提案する。
本手法は,攻撃成功率を少なくとも30.1%向上させることで,最先端の攻撃よりも優れる。
論文 参考訳(メタデータ) (2025-04-19T16:28:03Z) - Hiding Local Manipulations on SAR Images: a Counter-Forensic Attack [17.78894837783128]
オンラインポータルを通じてSAR(Synthetic Aperture Radar)画像の膨大なアクセシビリティが、様々な分野の研究を推進している。
脆弱性は、ほとんどのSAR製品が振幅のみの情報としてリリースされることによってさらに強調される。
本稿では、専門家がSARデータの複雑な性質を利用して操作の兆候を隠蔽できることを実証する。
論文 参考訳(メタデータ) (2024-07-09T17:03:57Z) - Adversarial EXEmples: A Survey and Experimental Evaluation of Practical
Attacks on Machine Learning for Windows Malware Detection [67.53296659361598]
EXEmplesは、比較的少ない入力バイトを摂動することで、機械学習に基づく検出をバイパスすることができる。
我々は、機械学習モデルに対する過去の攻撃を包含し、一般化するだけでなく、3つの新たな攻撃を含む統一フレームワークを開発する。
これらの攻撃はFull DOS、Extended、Shiftと呼ばれ、DOSヘッダをそれぞれ操作し、拡張し、第1セクションの内容を変更することで、敵のペイロードを注入する。
論文 参考訳(メタデータ) (2020-08-17T07:16:57Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。