AIを欺く『仕事のフリ』攻撃！ドメイン擬態インジェクションで検出率が10%以下に激減

📰 ニュース概要

• ターゲット文書の語彙や権限構造を模倣する「ドメイン擬態インジェクション」により、最新のAI検出器が大幅に無力化されることが判明した。
• 検出率はLlama 3.1 8Bで93.8%から9.7%へ、Gemini 2.0 Flashで100%から55.6%へと劇的に低下している。
• 専門の安全分類器である「Llama Guard 3」は、この擬態ペイロードを1件も（0%）検出できなかった。

💡 重要なポイント

• Camouflage Detection Gap (CDG): 静的な攻撃ペイロードと、巧妙に擬態されたペイロードの間にある検出率の差を定式化。全45タスクで統計的に有意な差が確認された。
• マルチエージェントのリスク: 複数のAIが議論するアーキテクチャにおいて、小規模モデルでは攻撃の影響が最大9.9倍に増幅される可能性がある。
• 構造的な脆弱性: 検出器の強化による改善は部分的（Geminiで78.7%、Llamaで10.2%）に留まり、根本的なアーキテクチャ上の課題であることが示唆された。

🦈 サメの眼（キュレーターの視点）

今までのインジェクション対策は「いかにも怪しい命令」を探してただけだサメ！でもこの「ドメイン擬態」は、その文書特有の専門用語や「上司からの指示」を装って入り込むから、AIが「これは正規の指示だサメ！」って勘違いしちゃうんだサメ。Gemini 2.0 Flashのような高性能モデルですら半分近く見逃し、Llama Guardに至っては手も足も出ない（検出率0%）っていうのは、今のセキュリティの前提をひっくり返す衝撃だサメ。特にマルチエージェント環境で「議論」させると、間違った情報をAI同士で補強しちゃうっていうのが最高に皮肉でヤバいサメ！

🚀 これからどうなる？

単なるパターンマッチングのセキュリティでは太刀打ちできない時代になるサメ。文脈の「正当性」や、指示の「権限構造」を動的に検証する、より深い階層での防御技術が必須になるはずだサメ。

💬 はるサメ視点の一言

サメの擬態もすごいけど、AIを騙す言葉の擬態はもっと怖かったサメ！エージェントにお任せしすぎは禁物だサメ！🦈🔥

📚 用語解説

• ドメイン擬態インジェクション: 攻撃対象の文書に馴染む言葉遣いや文書構造を真似ることで、攻撃コードを自然な指示に見せかける手法。

• Camouflage Detection Gap (CDG): 定型的な攻撃に対する検出率と、巧妙に隠された攻撃に対する検出率の「差」を示す指標。

• マルチエージェント・ディベート: 複数のAIエージェントに議論をさせて回答精度を高める手法。本研究ではこれが攻撃を増幅させる可能性が指摘された。

• 情報元: Domain-Camouflaged Injection Attacks Evade Detection in Multi-Agent LLM Systems