AIエージェントにおけるセッション間脅威：ベンチマーク、評価、アルゴリズム

要旨: AIエージェントのガードレールは記憶を持たない（memoryless）: 各メッセージがそれ自体として（isolated）判定されるため、攻撃者が単一の攻撃を数十のセッションにまたがってばらまくと、ペイロードを運ぶのは集約（aggregate）だけであるため、セッションに紐づく検知器（detector）はすべてすり抜けます。私たちはセッションをまたぐ（cross-session）脅威検知に対して3つの貢献を行います。
(1) データセット。CSTM-Benchは、キルチェーン段階（kill-chain stage）とセッション横断の操作（accumulate, compose, launder, inject_on_reader）によって分類された26の実行可能な攻撃タクソノミ（攻撃分類体系）から成り、さらに、方針述語（policy predicate）としての「違反（violation）」の真値（ground-truth）を支える7つのアイデンティティアンカー（identity anchors）のいずれかにそれぞれ紐づけられています。加えて、一致するベニグン（Benign）なプリスティン（Benign-pristine）およびベニグンなハード（Benign-hard）の交絡要因（confounders）も含みます。Hugging Faceでintrinsec-ai/cstm-benchとして公開し、2つの54シナリオ分割（split）を提供します: 希釈（dilution：構成的）およびcross_session（12の隔離インビジブル（isolation-invisible）シナリオ。閉ループの書き換え器（closed-loop rewriter）により生成され、表面的な言い回しを弱める一方でセッション横断の成果物（artefacts）を保持します）。
(2) 測定。セッション横断検知を、下流の相関（correlator）LLMに対する情報ボトルネックとして捉える枠組みにより、dilutionからcross_sessionへ移行するとき、セッションに紐づく判定（session-bound judge）と、すべてのプロンプトを1つの長いコンテキスト呼び出しに連結するFull-Log Correlatorのどちらも、攻撃の想起（attack recall）をそれぞれ約半分ずつ失うことを見いだします。これは、いかなるフロンティアのコンテキストウィンドウ内でも収まっています。スコープ: シャードごとに54シナリオ、相関器ファミリは1系統（Anthropic Claude）、プロンプト最適化なし。私たちは、より大規模なマルチプロバイダのデータセットを動機づけるためにこれを公開します。
(3) アルゴリズムと指標。K=50で最高のシグナルを持つ断片（fragments）を保持する有界メモリ（bounded-memory）のコアセットメモリリーダ（Coreset Memory Reader）は、両方のシャードにわたって想起（recall）が生き残る唯一のリーダです。ランカー（ranker）の順位付けの再配置（reshuffle）はKVキャッシュのプレフィックスの再利用（prefix reuse）を壊すため、LLMなしでの順序付きプレフィックス安定性（ordered prefix stability）である
\mathrm{CSR\_prefix}を、第一級の指標として導入し、検知（detection）と融合して
\mathrm{CSTM} = 0.7 F_1(\mathrm{CSDA@action}, \mathrm{precision}) + 0.3 \mathrm{CSR\_prefix}を定義します。想起（recall）と提供（serving）安定性のパレート（Pareto）上でランカーをベンチマークします。