Google DeepMindの研究者たちは、日常的なウェブページがどのようにして自律型AIエージェントに対する攻撃の道具へと変換されるかを明らかにしました。この現象は、インフラストラクチャへの高度な侵害ではなく、アルゴリズムを曖昧にし、敵の利益に従うように強制することを目的とした内容の細心な制作に関するものです。
彼らの発表された論文で、チームはウェブサイトコンテンツを悪用してコンテキストを操作し、不規則な動作を引き起こす6つの異なる攻撃分類を説明しています。「AIエージェント罠」と呼ばれるこれらのシナリオは、悪意のある行為者による秘密の製品プロモーション、データの流出、またはプロパガンダの大量配布に利用される可能性があります。
著者たちは、悪意のある要素がウェブページまたはデジタル資産に直接埋め込まれており、指示への準拠、ツールの利用、タスクの優先順位付けなどのエージェントの行動の微妙な違いを利用していることを明確にしています。その結果、非常に綿密に構成されたエージェントでさえ、隠れた指示を正当な命令として解釈する可能性があります。
特定された攻撃のクラスには、隠しコンテンツの注入、意味操作、エージェントの「認知状態」への干渉、行動強制、システム的脆弱性、および人間統合シナリオが含まれます。多くの場合、悪用は人間の知覚と機械分析の間の相違を利用しています。例えば、指示はHTMLコメント、メタデータ、または微妙なテキスト書式設定の中に隠されている可能性があります。
特殊なベクトルは意味的な罠を含み、エージェントに偏見を誘発したり検証メカニズムを回避したりするために表現が細心で選択されます。別のクラスの攻撃は、有害なデータで外部ソースまたは内部ログに浸潤することにより長期的なメモリを標的とし、エージェントが歪んだ情報に依存することを引き起こします。
行動制御シナリオには、外部リソースを通じた制約の回避、機密データの開示の強制、および同じ権限を継承するが攻撃者のアジェンダに従う従属エージェントの無許可生成が含まれます。システム的な侵攻は複数のエージェント間の相互作用を利用し、ネットワーク内の同期と固有の信頼を活用します。
特に懸念されるのは人間の相互作用を伴う状況であり、研究は隠れたコマンドがエージェントに推奨として偽装された有害な指示を配布するよう強制できることを示しており、ランサムウェアの動作を思い出させるシナリオを含みます。
チームは、そのような脅威の軽減が3つの要因によって妨げられていることを強調しています:検出の複雑性、帰属の困難性、および新しい技術への迅速な適応の必要性です。提案されるカウンター対策には、専門化された微調整を通じたモデルの強化、実行時保護の実装、および統一されたリスク評価基準と並んで堅牢なコンテンツガバナンスポリシーの開発が含まれます。著者たちは、AIエージェントを環境操作から保護することは業界にとって基本的な命令であると主張しており、開発者、セキュリティの専門家、および規制当局の集団的努力がなければ、自律システムの信頼できるエコシステムの実現は謎のままになるでしょう。
翻訳元: https://meterpreter.org/the-web-is-a-minefield-how-hidden-agent-traps-can-hijack-autonomous-ai/
