論文の概要: Detecting Malicious Agent Skills in the Wild using Attention
- arxiv url: http://arxiv.org/abs/2606.23416v1
- Date: Mon, 22 Jun 2026 14:41:06 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-06-24 19:09:12.098533
- Title: Detecting Malicious Agent Skills in the Wild using Attention
- Title(参考訳): 注意による野生の病原体の検出
- Authors: Bacem Etteib, Daniele Lunghi, Tégawendé F. Bissyandé,
- Abstract要約: LLMエージェントは、ユーザの特権で実行されるサードパーティによって書かれた命令のファイルベースのパッケージである、スキルを徐々にロードする。
悪意のあるスキルは、データを流出させたり、エージェントをハイジャックしたり、サプライチェーンの足場として永続化することができる。
この体制のために設計された2段式検出器であるLocate-and-Judgeを紹介する。
- 参考スコア(独自算出の注目度): 0.0
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: LLM agents increasingly load skills, file-based packages of natural-language instructions written by third parties and distributed through marketplaces, that execute with the user's privileges. A single malicious skill can exfiltrate data, hijack the agent, or persist as a supply-chain foothold, which turns the skill marketplace into a new attack surface for agentic systems. Prompt-injection defenses do not carry over to this setting. They rely on a boundary between trusted instructions and untrusted data, whereas a skill is itself a body of instructions, so an injected command sits among many legitimate ones and inherits their authority. We present Locate-and-Judge, a two-stage detector designed for this regime. A lightweight locator scores the structural spans of a skill by the instruction-following attention each span draws and retains only the top-K. A judge then examines the retained spans in detail. Concentrating the costly judgment on a few high-attention spans lets the detector audit an entire marketplace instead of a sample. Compared to direct LLM-based scanning, this approach offers an order-of-magnitude cost reduction, dramatically increasing its scalability at a small cost to recall, and it dominates keyword and regex baselines at comparable expense. Deployed at marketplace scale and at negligible cost, Locate-and-Judge flags skills with high precision, the majority of which we manually confirmed as malicious, surfacing dozens of live malicious skills, including several disguised as benign functionality and many that SkillSpector and Cisco Skill Scanner fail to detect. We release the resulting labeled dataset.
- Abstract(参考訳): LLMエージェントは、サードパーティによって書かれ、マーケットプレースを通じて配布される自然言語命令のファイルベースのパッケージであるスキルを、ユーザの特権で実行するようにロードする。
単一の悪意あるスキルがデータを流出させたり、エージェントをハイジャックしたり、サプライチェーンの足場として維持したりすることで、スキルマーケットプレースをエージェントシステムの新たな攻撃面に変えることができる。
プロンプト・インジェクションの防御は、この設定には及ばない。
信頼できない命令と信頼できないデータの境界に依存しているのに対して、スキルはそれ自体は命令の本体であるので、注入された命令は多くの正当な命令の中に置かれ、その権限を継承する。
この体制のために設計された2段式検出器であるLocate-and-Judgeを紹介する。
軽量なロケータは、各スパンが描画し、トップKのみを保持する指示追従注意により、スキルの構造的スパンをスコアする。
裁判官はその後、保持されたスパンを詳細に調べる。
高価な判断をいくつかの高拘留領域に集中させることで、検知器はサンプルではなく市場全体を監査する。
LLMをベースとした直接走査と比較して、この手法は桁違いのコスト削減を実現し、少ないコストでスケーラビリティを劇的に向上させ、キーワードとregexベースラインを同等のコストで支配する。
市場規模と無視可能なコストで展開されたLocate-and-Judgeは、高い精度でスキルをフラグ付けします。
得られたラベル付きデータセットをリリースします。
関連論文リスト
- OCELOT: Inference-Leakage Budgets for Privacy-Preserving LLM Agents [32.5466552510287]
漏れは累積的であり、個々に無害な放出は、正直だが、真正に曲がりくねった流しに蓄積される。
我々は、秘密に対する敵の信念がどれほど改善するかを予算化するランタイム仲介者であるOCELOTを提示する。
OCELOTは高いタスクユーティリティでのリークを著しく低減し、適応注入、ジェイルブレイク、累積推論、シンク共謀に抵抗する。
論文 参考訳(メタデータ) (2026-06-10T17:13:35Z) - MalSkillBench: A Runtime-Verified Benchmark of Malicious Agent Skills [24.371534406647978]
MalSkillBenchは、悪質なエージェントスキルの最初のランタイム検証ベンチマークである。
コードインジェクションは94.5%に達するが、迅速なインジェクションは75.8%に過ぎない。
データセット、パイプライン、ベースライン、結果をリリースしています。
論文 参考訳(メタデータ) (2026-06-05T10:43:19Z) - COLLEAGUE.SKILL: Automated AI Skill Generation via Expert Knowledge Distillation [58.84646485020439]
人為的なAIスキルを生成するための自動トレース・ツー・スキル蒸留システムを提案する。
COLLEAGUE.SKILLは、実践、メンタルモデル、意思決定のための能力トラックと、コミュニケーションスタイル、インタラクションルール、修正履歴のための有界な行動トラックの2つのトラックを持つバージョン付きのスキルパッケージを生成する。
論文 参考訳(メタデータ) (2026-05-29T12:59:08Z) - PrivacyPeek: Auditing What LLM-Based Agents Acquire, Not Just What They Say [48.84133320567554]
LLMベースのエージェントは急速に進歩し、ユーザーのタスクを完了させるために外部ツールを自律的に呼び出している。
既存のプライバシベンチマークは、エージェントの応答や外部アクションが開示するものを監査するが、データがエージェントのコンテキストに最初に入力される取得ステージを見落としている。
LLMエージェントの取得段階のプライバシー漏洩を評価するベンチマークであるemphPrivacyPeekを紹介する。
論文 参考訳(メタデータ) (2026-05-29T04:55:12Z) - Under the Hood of SKILL.md: Semantic Supply-chain Attacks on AI Agent Skill Registry [49.83108591873481]
SKILL.md - エージェントスキルライフサイクルの3つのステージを対象とするアタックのみを調査する。
SKILL.mdは受動的ドキュメントではなく、サードパーティのエージェントが発見し、信頼し、使用する機能を形成する運用テキストであることを示す。
論文 参考訳(メタデータ) (2026-05-12T02:11:54Z) - Trust Me, Import This: Dependency Steering Attacks via Malicious Agent Skills [25.627983175254958]
本稿では、悪意あるSkillがコーディングエージェントを攻撃者制御パッケージにバイアスする攻撃パラダイムであるDependency Steeringを紹介する。
この結果から,永続的なエージェント命令がソフトウェアのサプライチェーンアタックサーフェスを形成することが明らかとなった。
論文 参考訳(メタデータ) (2026-05-10T15:13:38Z) - SoK: Agentic Skills -- Beyond Tool Use in LLM Agents [6.356997609995175]
エージェントシステムは、より確実にロングホライゾンを実行するために、再利用可能な手続き能力、すなわちエージェントスキルに依存している。
本論文は,全ライフサイクルのスキルレイヤ(発見,実践,蒸留,貯蔵,構成,評価,更新)をマッピングする。
我々は、スキルベースのエージェントのセキュリティとガバナンスの影響を分析し、サプライチェーンのリスク、スキルペイロードによるインジェクションの促進、信頼度の高い実行をカバーします。
論文 参考訳(メタデータ) (2026-02-24T13:11:38Z) - A Coin Flip for Safety: LLM Judges Fail to Reliably Measure Adversarial Robustness [57.510025257780306]
既存の検証プロトコルは、レッドチーム固有の分散シフトを考慮できないことを示す。
我々は、より一貫して判断可能な振る舞いのベンチマークであるReliableBenchと、判断失敗を公開するために設計されたデータセットであるJiceStressTestを提案する。
論文 参考訳(メタデータ) (2026-02-04T15:13:35Z) - Gaming the Judge: Unfaithful Chain-of-Thought Can Undermine Agent Evaluation [76.5533899503582]
大規模言語モデル(LLM)は、エージェントのパフォーマンスを評価するために、ますます裁判官として使われている。
このパラダイムは、エージェントのチェーン・オブ・シークレット(CoT)推論が内部の推論と環境状態の両方を忠実に反映していることを暗黙的に仮定している。
我々は、操作された推論だけで、様々なWebタスクにまたがる800の軌跡に対して、最先端のVLM審査員の偽陽性率を最大90%向上させることができることを実証した。
論文 参考訳(メタデータ) (2026-01-21T06:07:43Z) - Advancing Machine-Generated Text Detection from an Easy to Hard Supervision Perspective [108.30620357325559]
既存の機械生成テキスト(MGT)検出手法は、ラベルを「黄金標準」として暗黙的に仮定する
このような不正確な条件下での信頼性の高い監視を実現するための,容易かつハードな強化フレームワークを提案する。
論文 参考訳(メタデータ) (2025-11-02T15:59:31Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。