セマンティック意図の断片化：マルチエージェントAIパイプラインに対する単発の合成攻撃

Abstract

本稿では、Semantic Intent Fragmentation（SIF）という、LLMオーケストレーション・システムに対する攻撃クラスを導入する。そこでは、単一の正当に見える依頼文によってオーケストレータがタスクをサブタスクへ分解し、その各サブタスクは個別には無害に見えるが、組み合わせることでセキュリティポリシーに違反するように設計される。現在の安全メカニズムはサブタスク単位で動作するため、各ステップは既存の分類器を通過してしまい、違反が顕在化するのは、構成された計画（プラン）として組み立てられた後である。SIFは4つのメカニズムにより、OWASP LLM06:2025を悪用する：大規模なスコープ昇格、サイレントなデータ流出、埋め込みトリガーの展開、準アイデンティファイア（quasi-identifier）の集約。これには、注入コンテンツ、システムの改変、初回依頼後の攻撃者の介入を一切必要としない。著者らは、OWASP、MITRE ATLAS、NISTの各フレームワークに基づいて、現実的なエンタープライズ状況を生成する3段階のレッドチーミング・パイプラインを構築する。財務報告、情報セキュリティ、HRアナリティクスにまたがる14のシナリオにおいて、GPT-20Bのオーケストレータは71%（10/14）のケースでポリシーに違反する計画を生成する一方、すべてのサブタスクは無害に見える。これを裏付ける独立した信号が3つある：決定的な汚染（taint）分析、チェーン・オブ・ソートの評価、そして0%の誤検知率を持つクロスモデルのコンプライアンス判定器である。より強力なオーケストレータほどSIFの成功率が高まる。プラン（計画）レベルの情報フロー追跡とコンプライアンス評価を組み合わせることで、実行前にすべての攻撃を検出でき、構成（コンポジショナル）上の安全性ギャップは埋められることが示される。