CIA：LLMベースのマルチエージェントシステムから通信トポロジを推論する

Abstract

LLMベースのマルチエージェントシステム（MAS）は、複雑なタスクを解決する上で目覚ましい能力を示してきました。MASにおいて中核となるのは、エージェント同士が内部でどのように情報を交換するかを規定する通信トポロジです。そのため、通信トポロジのセキュリティには、ますます注目が集まっています。本論文では、重大なプライバシーリスクを調査します。すなわち、MASの通信トポロジは、制約の強いブラックボックス環境下でも推論可能であり、システムの脆弱性を露呈するとともに、知的財産に対して重大な脅威をもたらし得るという点です。このリスクを探るために、Communication Inference Attack（CIA）を提案します。これは、新たな敵対的クエリを構築して、中間エージェントの推論出力を誘発し、さらに提案するグローバルバイアスの非絡み（disentanglement）とLLMによる弱い教師あり学習（weak supervision）を通じて、それらのセマンティックな相関をモデル化する新しい攻撃です。最適化された通信トポロジを備えるMASに対する大規模な実験により、CIAの有効性が示されました。平均AUCは0.87、最大AUCは最大0.99を達成し、それによってMASにおける実質的なプライバシーリスクが明らかになりました。