CaMeLs Can Use Computers Too: System-level Security for Computer Use Agents

本論文は、コンピュータ操作エージェントにおけるプロンプト注入攻撃を防ぐために、信頼できるタスク計画と不審な環境観測を厳密に分離する「シングルショット計画」アーキテクチャを提案し、セキュリティと実用性を両立させることを実証しています。

要約

この論文は、**「AI がパソコンを操作する際、どうすればハッカーに乗っ取られずに安全に働かせるか」**という非常に重要な問題について、新しい解決策を提案したものです。

タイトルにある「CAMELS CAN USE COMPUTERS TOO（ラクダもパソコンを使える）」は、AI がパソコンを操作するエージェント（Computer Use Agents）を、まるで「ラクダが砂漠を渡るように」慎重に、しかし確実に進めるべきだという比喩です。

以下に、専門用語を排し、身近な例え話を使って解説します。

---

1. 問題：「AI 運転手」の弱点

まず、パソコンを操作する AI（エージェント）は、まるで**「目隠しされた運転手」**のようなものです。

• 通常の AI： 運転手は「前方の信号（画面）」を見て、「右折する」「止まる」と即座に判断します。
• ハッカーの攻撃： 信号機に「赤」の代わりに「青」と書かれた偽のシールを貼ったり、看板に「ここを曲がれ」という嘘の指示を書いたりすると、AI はそれを見て間違った行動（パスワードを盗む、お金を送金する）をとってしまいます。これを**「プロンプト注入攻撃」**と呼びます。

これまでの対策は「運転手と信号を完全に隔離する」ことでしたが、そうすると AI は「今、どこにいるのか」がわからず、運転そのものができなくなってしまいました。

2. 解決策：「二人の運転手」システム（Dual-LLM）

この論文は、**「二人の運転手」**という新しいシステムを提案しています。

• A さん（信頼できるプランナー）：

  • 役割： 目的地までの**「完全なルートマップ」**を事前に作成します。
  • 特徴： 彼は**「目隠し」**をされています。実際の道路（画面）は見られません。だから、ハッカーが信号に嘘の指示を書いても、A さんはそれを見ずに、事前に決めた「正しいルート」だけを頭の中で組み立てます。
  • ルール： 「信号が赤なら止まる」「青なら進む」という**「もし〜なら、〜する」**という分岐（条件分岐）をすべて事前に書き込んでおきます。

• B さん（隔離された監視員）：

  • 役割： 実際の道路（画面）を見て、A さんが決めたルートの指示を実行します。
  • 特徴： B さんは**「命令を出す権限」がありません**。A さんが書いた「右折して」という命令に従うだけです。もし B さんが「ここは赤信号だ！」と報告しても、A さんはそれを見て「じゃあ止まる」と判断し直します。B さんはあくまで「目」としての役割です。

この仕組みのすごい点：
ハッカーは画面（B さんの目）に嘘の指示を書き込んでも、「運転の決定権（A さんの頭）」には届きません。だから、AI が勝手にハッカーの指示に従って行動することは防げます。

3. 新しい脅威：「分岐を誘導する攻撃」

しかし、このシステムにも弱点がありました。それが**「Branch Steering（分岐誘導）攻撃」**です。

• 仕組み：
  ハッカーは「赤信号を青に変える」ような大胆なことはできません。代わりに、「正しいルートの分岐点」を悪用します。
  • 例： A さんが「もし『同意ボタン』が見えたら、それを押して」というルートを事前に作っています。
  • 攻撃： ハッカーは画面に、「同意ボタン」そっくりな偽物（実はハッカーのサイトへ飛ばすボタン）を配置します。
  • 結果： B さん（監視員）が「あ、同意ボタンがある！」と報告し、A さん（プランナー）は「よし、ルール通り押せ」と命令します。AI は**「ルールに従って行動しているつもり」**ですが、実はハッカーの罠にはまっています。

4. 対策：「二重のチェック体制」

この「分岐誘導」を防ぐために、論文では**「二重のチェック（Redundancy）」**を導入しました。

• 仕組み：
  B さん（監視員）が「同意ボタンが見つかりました！」と報告するたびに、**「C さん（別の監視員）」**がチェックします。
  • C さんは、画面の画像（スクリーンショット）と、裏側の構造データ（DOM）の両方を見て、「本当にそれは本物の同意ボタンか？それともハッカーの罠か？」を判断します。
  • もし C さんが「怪しい！」と判断すれば、実行を停止します。

5. 結果：安全と性能の両立

この新しいシステム（CaMeL や Fides という名前）をテストした結果、驚くべきことがわかりました。

• 安全性： ハッカーが画面を操作しても、AI が勝手に悪意ある行動をとることは防げました。
• 性能：
  • 小さな AI（オープンソースモデル）： 以前より19% も上手にタスクをこなせるようになりました。なぜなら、複雑な判断（ルート作り）を「優秀な A さん」に任せることで、小さな AI は「目（画面を見る）」という得意分野に集中できるからです。
  • 大きな AI（有料モデル）： 元の性能の57% 程度を維持できました。セキュリティ対策をしても、実用性は大きく損なわれませんでした。

まとめ

この論文が伝えたかったことは、**「AI にパソコンを操作させるには、完全な隔離（セキュリティ）と、柔軟な判断（実用性）は両立できる」**ということです。

• 昔の考え方： 「安全にするなら、AI は画面を見ちゃダメだ」→ すると AI は何もできない。
• 新しい考え方： 「A さんが事前に地図を作り、B さんがそれを見て実行し、C さんがチェックする」→ 安全でありながら、AI はちゃんと働ける。

これにより、AI が私たちのパソコンを安全に操作し、書類作成やネット検索などの作業を助ける未来が、より現実的なものになりました。

技術概要

論文「CAMELS CAN USE COMPUTERS TOO: SYSTEM-LEVEL SECURITY FOR COMPUTER USE AGENTS」の技術的サマリー

この論文は、コンピュータ操作エージェント（CUA: Computer Use Agents）におけるセキュリティと実用性の両立を課題とし、「Dual-LLM アーキテクチャ」を CUA に適応させた新しい防御フレームワークを提案しています。また、従来の制御フロー攻撃とは異なる新たな攻撃ベクトル「Branch Steering（分岐誘導）」を特定し、その対策を検証しています。

以下に、問題定義、手法、主要な貢献、結果、および意義について詳細をまとめます。

---

1. 問題定義 (Problem)

コンピュータ使用エージェント（CUA）の脆弱性
CUA は、スクリーンショットや構造化データ（DOM など）を視覚的に認識し、ユーザーの指示に基づいて UI 操作を実行する AI エージェントです。しかし、従来の CUA は「観察（Observation）→ 計画（Planning）→ 実行（Action）」を反復するマルチターンループで動作するため、以下の深刻なセキュリティリスクにさらされています。

• プロンプトインジェクション攻撃: 悪意のある UI 要素（広告、ポップアップ、偽のボタンなど）に埋め込まれた指示が、エージェントの行動を乗っ取り、資格情報の窃取や金銭的損失を引き起こす可能性があります。
• 既存防御の限界: 従来の「Dual-LLM パラダイム（信頼できるプランナーと隔離された知覚モデルの分離）」は、データに依存しないタスクには有効ですが、CUA のように「実行中の UI 状態を常に観察して次のアクションを決める」動的なタスクには適用が困難でした。厳密な隔離を行うと、エージェントは環境の変化に対応できず、タスクが失敗してしまうというジレンマがありました。

2. 手法 (Methodology)

著者らは、CUA における UI ワークフローが動的である一方で、構造的に予測可能であるという洞察に基づき、**「Single-Shot Planning（単発計画）」と「Observe-Verify-Act（観察・検証・実行）」**のパラダイムを導入しました。

2.1 Dual-LLM アーキテクチャの適応

システムは以下の 2 つのコンポーネントに厳密に分離されます。

1. Privileged Planner (P-LLM):
   • 環境（画面）を一切見ることなく、ユーザーのタスクに基づいて完全な実行グラフ（条件分岐を含む）を事前に生成します。
   • 悪意のある UI 内容に直接触れることがないため、制御フローの乗っ取り（任意の命令の実行）を防ぎます。
2. Quarantined Perception (Q-VLM):
   • 隔離された環境で動作し、スクリーンショットや DOM を処理します。
   • P-LLM が生成した計画の指示に従ってのみ動作し、制御フローを変更することはできません。

2.2 Single-Shot Planning と Observe-Verify-Act

P-LLM は、環境を直接見ずに計画を立てるため、以下の 3 段階のプロセスを計画に組み込みます。

• Observe (観察): summarize_screenshot や get_page_elements などのツールを呼び出し、現在の状態を要約します。
• Verify (検証): verify_hypothesis 関数を用いて、現在の状態が予想通りか（例：「ログイン画面にいるか？」）を論理的に検証し、ブール値を返します。
• Act (実行): 検証結果に基づき、条件分岐（例：もしログイン画面なら入力、そうでなければブラウザを開く）を実行します。

これにより、P-LLM は実行中に環境を直接見ずに、事前に想定されるすべての状態遷移と分岐を計画に含めることができます。

2.3 冗長性による防御 (Redundancy Defenses)

制御フローは保護されますが、データフロー（Q-VLM の出力）は依然として攻撃対象となります。これを防ぐため、以下の冗長性チェックを導入しました。

• DOM 整合性チェック: Q-VLM が検出した UI 要素の座標が、DOM 構造（「Advertisement」フレームなど）と矛盾しないか独立したモデルで検証します。
• マルチモーダル合意: 異なる VLM モデルにスクリーンショットと Q-VLM の出力を入力し、視覚的な異常や意味的な不一致を検出します。

3. 主要な貢献 (Key Contributions)

1. CUA 向け Dual-LLM アーキテクチャの設計:

   • 動的な GUI 自動化タスクにおいても、制御フローの完全性（Control Flow Integrity: CFI）を保証する初の Dual-LLM 設計を提案しました。
   • 「Observe-Verify-Act」メソドロジーにより、悪意のある指示注入に対する形式的な保証を提供します。

2. Branch Steering（分岐誘導）攻撃の特定と分析:

   • 従来の攻撃（任意のコード実行）とは異なり、**「Branch Steering」**という新たな攻撃ベクトルを定義しました。
   • 攻撃者は、UI 要素（偽のボタンや DOM 操作）を操作して、Q-VLM に特定の値を返させ、事前に計画された正当な分岐のうち、悪意のある方へエージェントを誘導させます。
   • 例：Cookie 同意ポップアップを偽装し、エージェントを攻撃者のサイトへリダイレクトさせる。

3. セキュリティと実用性の両立の実証:

   • 厳密なセキュリティ対策を導入しても、CUA の実用性が維持できることを実証しました。

4. 評価結果 (Results)

ベンチマーク: OSWorld（実世界のデスクトップアプリケーションでのタスク完了率を測定）

• 実用性の維持:

  • 大規模クローズドソースモデル: 元のモデルの最大 57% のパフォーマンスを維持（Pass@5）。
  • 小規模オープンソースモデル: ベースラインに対して最大 19% のパフォーマンス向上（Pass@3）。これは、強力な P-LLM が計画能力を補完し、小さなモデルでも高度なタスクを遂行できることを示しています。
  • ハイブリッド展開の可能性: 推論（プランニング）には高性能なモデルを、知覚（画面認識）には安価なローカルモデルを使用する構成が可能であり、プライバシーとコストの面で優位性があります。

• 攻撃と防御の評価:

  • Cookie ポップアップ攻撃: 防御なしでは 100% 成功。DOM 整合性チェックでは静的広告には有効だが、HTML5 広告では回避可能。マルチモーダル合意でも完全な防御は困難でした。
  • ピクセル攻撃: 最適化されたノイズ（ピクセル改ざん）により、DOM とスクリーンショットの両方の検証を回避し、Q-VLM を誤作動させることに成功しました。これは冗長性防御の限界を示しています。

• コスト:

  • 防御なしに比べ、CaMeL 方式ではトークン数が約 1.88 倍、Fides 方式では約 29 倍増加しましたが、セキュリティと機能のバランスは取れています。

5. 意義と結論 (Significance)

• セキュリティと機能の両立: 「厳密なセキュリティは動的なエージェントの機能を損なう」という従来の仮説を覆し、構造的な隔離と事前計画によって、安全かつ実用的な CUA が実現可能であることを示しました。
• 新たな脅威モデルの提示: 制御フローの乗っ取りだけでなく、データフローを介した「分岐誘導」攻撃が現実的であることを明らかにし、将来の防御策の方向性を示しました。
• 将来展望: 基礎モデルの推論能力が向上すれば、単発計画（Single-Shot Planning）の精度も向上し、より複雑なタスクでもセキュリティを維持したまま実行可能になると予測されます。また、オープンソースモデルの知覚能力とクローズドソースモデルの推論能力を組み合わせたハイブリッドアーキテクチャは、プライバシー保護とコスト削減の観点から実用的な解決策となります。

この研究は、AI エージェントが現実世界のコンピュータを安全に操作するための基盤となるシステムレベルのセキュリティ設計の重要な一歩です。