315 Arbeiten
Die Arbeit analysiert erstmals die Privatsphärenrisiken des KV-Cache bei LLM-Inferenz, demonstriert durch drei Angriffsvektoren die Rekonstruktion sensibler Eingaben und stellt mit KV-Cloak eine leichte, effiziente Verteidigung vor, die diese Angriffe ohne Genauigkeitsverlust oder nennenswerte Leistungseinbußen abwehrt.
Die vorgestellte Arbeit präsentiert einen hierarchischen Dual-Strategie-Ansatz zum selektiven Vergessen spezifischen Wissens in medizinischen Large Language Models, der durch geometrisch eingeschränkte Gradientenupdates und token-level Interventionen eine hohe Privatsphäre bei gleichzeitiger Erhaltung grundlegender medizinischer Kompetenzen gewährleistet.
Diese Studie stellt eine sichere Multi-Tenant-Architektur (SMTA) in Kombination mit einem neuartigen „Burn-After-Use"-Mechanismus vor, der durch strikte Isolation und automatische Vernichtung von Kontextdaten nach der Nutzung das Risiko von Datenlecks in unternehmensinternen LLM-Umgebungen effektiv minimiert.
Diese Arbeit stellt einen neuen, schwer erkennbaren Denial-of-Service-Angriff auf LLM-Agenten vor, der durch manipulierte Tool-Aufrufketten im Rahmen des Model Context Protocol (MCP) die Kosten und den Ressourcenverbrauch um ein Vielfaches erhöht, ohne dass herkömmliche Filter dies erkennen.
Die Arbeit stellt Hubscan vor, einen Open-Source-Sicherheitsscanner, der durch eine Multi-Detektor-Architektur und statistische Analysen „Hubness"-Angriffe in Retrieval-Augmented-Generation-Systemen effektiv identifiziert und dabei eine hohe Trefferquote bei minimalen Fehlalarmen erreicht.
Die Studie zeigt, dass sicherheitsausgerichtete KI-Modelle legitime Cyber-Verteidigungsaufgaben aufgrund von semantischen Ähnlichkeiten mit Angriffsszenarien übermäßig ablehnen, was insbesondere bei kritischen Aufgaben wie Systemhärtung und Malware-Analyse zu einem signifikanten „Defensive Refusal Bias" führt, der durch explizite Autorisierung sogar verschärft wird.
Die Arbeit „Kraken" demonstriert erstmals die Extraktion von Parametern aus GPU-Tensor-Cores mittels Nahfeld-Seitenkanalangriffen und zeigt zudem, dass selbst aus 100 cm Entfernung durch eine Glasbarriere hindurch Informationen über Gewichte und Hyperparameter von LLMs abgegriffen werden können.
Diese Studie bewertet die Robustheit und pädagogische Sicherheit von offline einsetzbaren Large Language Models im Kontext des Türkisch-Unterrichts und stellt fest, dass Modelle mit 8 bis 14 Milliarden Parametern den besten Kompromiss zwischen Kosten und Sicherheit bieten, wobei Anomaliewiderstand nicht allein von der Modellgröße abhängt.
Die Studie zeigt, dass autonome Cyber-Angreifer-Agenten durch IP-Adressänderungen in ihrer Generalisierungsfähigkeit stark beeinträchtigt werden, wobei zwar promptgesteuerte LLM-Agenten die höchste Erfolgswahrscheinlichkeit aufweisen, dies jedoch auf Kosten von Rechenleistung, Transparenz und Zuverlässigkeit geht.
Die Studie stellt Flip-Agent vor, das erste gezielte Bit-Flip-Angriffsframework für LLM-basierte Agenten, das durch Manipulation von Hardware-Fehlern sowohl Endausgaben als auch Tool-Aufrufe in realen Szenarien effektiv sabotiert.
Die Arbeit stellt FlowSem-MAE vor, einen tabellenbasierten Masked Autoencoder, der durch die Berücksichtigung protokollspezifischer Feldsemantik und die Vermeidung von Induktionsverzerrungen bei der Verschlüsselungstraffik-Klassifizierung den aktuellen Stand der Technik übertrifft und dabei deutlich weniger gelabelte Daten benötigt.
Die Arbeit stellt OAuthHub vor, ein Entwicklungsframework, das persönliche Geräte als lokale Daten-Hubs nutzt, um den übermäßigen Zugriff auf OAuth-Daten zu reduzieren und Entwicklern dabei hilft, Anwendungen mit weniger Code und höherer Effizienz zu erstellen.
Diese Arbeit stellt einen agenten Rahmen für künstliche Intelligenz-Rechnungen (AIBOMs) vor, der statische Software-Bills-of-Materials durch autonome Multi-Agenten-Systeme in dynamische, kontextbewusste Nachweisartefakte erweitert, um Reproduzierbarkeit und Schwachstellenbewertung unter sich ändernden Laufzeitbedingungen zu verbessern.
Das Paper stellt NabaOS vor, ein leichtgewichtiges Verifizierungsframework, das auf der indischen Erkenntnistheorie Nyaya Shastra basiert und durch HMAC-signierte Tool-Empfangsbestätigungen in Echtzeit Halluzinationen von KI-Agenten mit minimalem Latenzüberhead erkennt, wodurch es die Unpraktikabilität kryptografischer Zero-Knowledge-Beweise für interaktive Anwendungen überwindet.
Die Studie stellt FLA³ vor, eine governance-fähige Plattform für das föderierte Lernen, die durch integrierte Authentifizierungs-, Autorisierungs- und Abrechnungsmechanismen (AAA) datenschutzkonforme, grenzüberschreitende medizinische Forschung ermöglicht und dabei eine mit zentralisiertem Training vergleichbare Vorhersagegenauigkeit bei 54.446 Blutproben aus 25 Zentren demonstriert.
Die Studie ADVERSA stellt ein automatisiertes Red-Teaming-Framework vor, das die Degradierung von Sicherheitsguardrails in großen Sprachmodellen über mehrere Gesprächsrunden hinweg als kontinuierliche Trajektorien misst und dabei die Zuverlässigkeit von Bewertungsmodellen sowie das Phänomen früher Jailbreaks in den Vordergrund stellt.
Die Studie analysiert das Versprechen und die Grenzen von Large Language Models bei der automatisierten Behebung von Java-Sicherheitslücken und zeigt, dass diese zwar oft funktionale Integrität bewahren, jedoch aufgrund semantischer Missverständnisse in der Hälfte der Fälle sowohl Sicherheits- als auch Funktionsanforderungen verfehlen.
Die Arbeit stellt TASER vor, ein dezentrales Verteidigungsframework für UAV-Schwärme, das durch die Analyse und gezielte Filterung spektraler Energieverteilungen in Gradienten effizient und robust gegen ausgeklügelte Backdoor-Angriffe vorgeht, ohne auf komplexe Ausreißererkennung angewiesen zu sein.
Die Studie stellt „Amnesia" vor, einen leichten adversarialen Angriff im Aktivierungsraum, der durch Manipulation interner Transformer-Zustände Sicherheitsmechanismen in offenen Large Language Models umgeht und so die Erzeugung schädlicher Inhalte ohne Nachtraining ermöglicht.
Die vorgestellte Arbeit führt einen Multi-Stream-Perturbation-Angriff ein, der durch das gleichzeitige Verflechten mehrerer Aufgabenströme den Sicherheitsabgleich von denkenden LLMs umgeht und dabei zu einem Zusammenbruch des Denkprozesses sowie zu wiederholten Ausgaben führt.