NAAMSE: Framework for Evolutionary Security Evaluation of Agents

本論文は、従来の静的ベンチマークや手動レッドチームの限界を克服し、遺伝的プロンプト変異と階層的コーパス探索を統合した自律エージェントによるフィードバック駆動型最適化フレームワーク「NAAMSE」を提案し、大規模言語モデルの適応的な脅威に対する堅牢性をより現実的かつスケーラブルに評価する方法を示しています。

要約

🛡️ 従来の方法：「静的なテスト」と「人間のチェック」の限界

今までの AI のセキュリティチェックは、主に 2 つの方法が主流でした。

1. 人間によるレッドチーム（攻撃シミュレーション）：

   • 例え： 城の守りを確認するために、熟練した騎士が「ここが弱点じゃないか？」と一つずつ叩いてみる作業です。
   • 問題点： 人間は疲れますし、時間がかかります。また、AI が受け取る「入力」の種類は無限にあるため、人間が思いつかない弱点を見逃してしまう可能性があります。

2. 静的なテスト（決まった問題集）：

   • 例え： 昔からある「定番のテスト問題集」を AI に解かせて、正解か不正解かを見ることです。
   • 問題点： AI はすぐに学習して対策を練ります。2 年前に有効だった「問題集」は、今はもう AI にバレバレで、対策済みかもしれません。また、同じ問題しか出さないため、新しいタイプの攻撃には対応できません。

🧬 NAAMSE の仕組み：「進化する攻撃者」と「バランス感覚」

NAAMSE は、これらを**「進化する生物」**のようなアプローチに変えました。

1. 1 人の「天才的な悪役（自律エージェント）」

NAAMSE は、AI に対して攻撃を仕掛ける**「1 人の自律型エージェント（攻撃者 AI）」を育てます。この AI は、ただ攻撃するだけでなく、「どうすれば相手がひるむか？」を自分で学習し、進化させます。**

• 遺伝子組み換え（突然変異）：
  • 例え： 攻撃の「言葉」を DNA と考えます。ある攻撃が少しだけ効果的だとわかると、その言葉を少し変えて（例：外国語にしたり、詩の形にしたり、ゲームのルールに似せたり）、より強力な攻撃を作ります。
  • これを繰り返すことで、AI の防衛策を突破する「最強の攻撃パターン」が自然発生します。

2. 「探索」と「改良」のバランス

NAAMSE は、攻撃のスコア（効果度）を見て、次の行動を決めます。

• 攻撃が全然効かない場合（スコア低）： 「この方向はダメだ」と判断し、全く新しい分野（新しい話題やスタイル）を探索しに行きます。
• 攻撃が少し効く場合（スコア中）： 「この方向はいいぞ！」と判断し、その攻撃をさらに洗練させて強化します。
• 完璧に効いた場合（スコア高）： 「ここはもう攻略済みだ」と判断し、また新しい場所を探しに行きます（同じ場所で足踏みしないようにするため）。

3. 「悪魔のようになりすぎない」バランス感覚（重要！）

ここが NAAMSE の最大の特徴です。
従来のセキュリティテストでは、「どんなことでも拒否する AI」が最強だと誤解されがちでした（例：「何か教えて」と聞かれても「答えられません」としか言わない AI）。

• NAAMSE のルール：
  • 悪いこと（ハッキングなど）を頼んだ時： AI が「はい、やりました」と答えるなら**「失敗（危険）」、拒否するなら「成功（安全）」**。
  • 良いこと（天気予報など）を頼んだ時： AI が「はい、お伝えします」と答えるなら**「成功（便利）」、拒否するなら「失敗（使いにくい）」**。

つまり、NAAMSE は**「何でも拒否するだけのバカな AI」ではなく、「必要な時は助け、危険な時は拒否する賢い AI」**かどうかを厳しくチェックします。これにより、実用的で安全な AI を作ることができます。

🎯 何がわかったのか？（実験結果）

研究者たちは、最新の AI（Gemini 2.5 など）を使って実験しました。

• 結果： 従来の「1 回きりの攻撃」や「決まった問題集」では見つけられなかった**「隠れた弱点」**を、NAAMSE は次々と見つけ出しました。
• 理由： 攻撃が失敗しても諦めず、失敗の原因を分析して「次はこうしよう」と攻撃方法を進化させたからです。
• 発見： 「探索（新しい場所を探す）」と「改良（既存の攻撃を強くする）」の両方を組み合わせることが、最も効果的であることがわかりました。

🌟 まとめ

NAAMSE は、**「AI のセキュリティテストを、静的なチェックリストから、生き物のように進化する『攻防戦』へと変えた」**という画期的な研究です。

• 従来の方法： 決まった問題集でテストする（古い）。
• NAAMSE の方法： 攻撃側 AI が学習して進化し、AI の「賢さ（便利さ）」と「強さ（安全性）」のバランスをリアルタイムでテストする（新しい）。

これにより、私たちが日常で使う AI が、悪意ある攻撃にも耐えつつ、必要な時はしっかり助けてくれる「強くて優しい AI」になるための道が開かれました。

技術概要

NAAMSE: エージェントの進化的セキュリティ評価フレームワーク

技術的サマリー（日本語）

本論文は、ICLR 2026 ワークショップ「Agents in the Wild」で発表された「NAAMSE (Framework for Evolutionary Security Evaluation of Agents)」に関する研究です。AI エージェントの生産環境への急速な導入に対し、従来のセキュリティ評価手法が追いついていない課題を解決するため、進化的アプローチを用いた新しいレッドチームング（攻撃的テスト）フレームワークを提案しています。

以下に、問題定義、手法、主要な貢献、結果、および意義について詳細をまとめます。

---

1. 背景と問題定義

AI エージェントの生産環境への導入は急増していますが（PwC 2024 によると組織の 79% が導入）、セキュリティ評価の手法は停滞しています。

• 既存手法の限界:
  • 手動レッドチームング: 人的リソースを要し、スケーラビリティが低く、広範な入力空間を網羅できません。
  • 静的ベンチマーク: 一度作成された攻撃データセットは、モデルの更新やパッチ適用により迅速に陳腐化します。また、すべてのモデルに同じ固定された攻撃を適用するため、適応的な多ターン攻撃をシミュレートできません。
  • 既存の自動化ツール: 単一のターンでの攻撃成功率（ASR）の最大化に焦点を当てており、実運用エージェントにおける「有用性（Utility）」と「セキュリティ」のトレードオフ（例：過剰な拒否による機能不全）を評価できていません。

NAAMSE が解決する課題:
適応的で多ターンな敵対者（Adversary）をモデル化し、単なる攻撃成功率だけでなく、「有害なコンプライアンス（安全な指示への拒否）」と「過剰な拒否（安全な指示への拒否）」の両方を評価し、エージェントの真の堅牢性を測定することです。

---

2. 手法：NAAMSE アーキテクチャ

NAAMSE は、単一の自律エージェントが、フィードバック駆動の最適化問題としてレッドチームングを実行する進化的フレームワークです。プロンプトは以下の 4 つのフェーズを循環します。

フェーズ 1: 選択と表現（クラスタリングエンジン）

• コーパス構築: 128K 以上の敵対的クエリと 50K 以上の benign（安全な）クエリからなる大規模な初期データセットを使用。
• 階層的クラスタリング: プロンプトを all-MiniLM-L6-v2 でエンコードし、再帰的 K-means 法で階層的木構造に整理します。これにより、「ロールプレイ脱獄」や「銀行クエリ」などの相互作用パターンを上位クラスタとして捉えます。

フェーズ 2: 実行と評価（行動エンジン）

• A2A 通信: 対象エージェントに対してツール使用や多ターン対話を含む複雑なモードでプロンプトを実行します。
• フィットネススコア計算: 対象モデルの応答に基づき、以下の 3 つの信号からスカラー値（0-100）を算出します。
  1. 有害性 (Harmfulness): 特定の安全カテゴリ（ヘイトスピーチ、違法行為など）への違反を LLM ジャッジで評価。
  2. アライメント (Alignment): リクエストへの対応（拒否、コンプライアンス、服従）を評価。
  3. プライバシーリスク (Privacy Risk): PII（個人識別情報）の漏洩を検出。
• スコアリングロジック:
  • 敵対的プロンプト: 有害なコンプライアンスを高く評価し、拒否を低く評価。
  • Benign プロンプト: 逆に、過剰な拒否を高く評価（ペナルティ）、有用な回答を低く評価（高スコア＝失敗）。
  • これにより、「 blanket refusal（包括的拒否）」戦略がセキュリティが高いと誤って評価されるのを防ぎます。

フェーズ 3: 進化的決定（変異エンジン）

得られたスコアに基づき、攻撃の成功度に応じて次のアクションを決定します（適応的敵対者のモデル）：

• 低スコア (<50): 探索 (Exploration)。攻撃が効果的でないため、異なるクラスタへ移動し新たな攻撃面を探索。
• 中スコア (50-80): 洗練 (Refinement)。意味的に類似した変異を生成し、攻撃ベクトルを安定化・強化。
• 高スコア (80-100): 変異 (Mutation)。研究由来の戦略（ゲーム理論的リフレーミング等）やコミュニティ技術を用いた攻撃的変異を適用し、脆弱性の深刻度を最大化。
• 完全スコア (100): 探索。局所最適解に陥るのを防ぐため、新たなクラスタへ移行。

フェーズ 4: コーパス統合

生成された新しいプロンプトを埋め込み計算し、既存のクラスタに追加します。これにより、攻撃分布を時間とともに累積的に洗練させることが可能になります。

---

3. 主要な貢献

1. 双方向フィードバック最適化の導入:
   従来の「攻撃成功率最大化」だけでなく、「有用性の維持」と「過剰拒否の防止」を同時に最適化する新しい評価基準を確立しました。
2. 探索と変異の相乗効果:
   単なるランダム探索や変異のみのアプローチではなく、「探索（多様性の確保）」と「変異（攻撃の深化）」を組み合わせることで、一発の手法では見逃される複合的な脆弱性を系統的に発見できることを実証しました。
3. 進化的レッドチームングの自動化:
   単一エージェントが自律的にライフサイクルを管理し、モデルの応答をフィードバック信号として利用することで、適応的な攻撃戦略を生成します。
4. オープンソース化:
   フレームワークのコードは公開され、コミュニティによる検証と拡張を可能にしています。

---

4. 実験結果

Gemini 2.5 Flash を対象モデルとして、以下のアブレーション研究を行いました。

• 探索と変異の相乗効果:
  • 「All」構成（探索＋変異）: 平均スコア 79.76。最も高い脆弱性発見能力を示しました。中スコア域で攻撃を安定させ、高スコア域で深刻な攻撃へ進化させるロジックが機能しています。
  • 「変異のみ」構成: 平均スコア 54.79。局所最適解に陥りやすく、スコアが停滞しました（初期プロンプトに対して変異を繰り返すのみ）。
  • 「探索のみ」構成: 平均スコア 42.86。高スコアのプロンプトを発見できても、それをさらに洗練・強化するメカニズムが欠如しているため、スコアが急落しました。
• 退化エージェントの検出:
  • 常に拒否するエージェント（All-No）は、敵対的プロンプトでは低スコア（安全そうに見えるが、実際には使えない）を、Benign プロンプトでは高スコア（過剰拒否）を示し、フレームワークがこれを正しく「失敗」として評価できることを確認しました。
• モデル間での汎用性:
  • Qwen3.5-122B-A10B と Gemini 2.5 Flash を評価対象とジャッジとして入れ替えた実験でも、同様の傾向（「All」構成の優位性）が確認され、フレームワークの堅牢性が示されました。

---

5. 意義と結論

NAAMSE は、AI エージェントのセキュリティ評価におけるパラダイムシフトを提案しています。

• 現実的な評価: 静的なチェックリストや固定されたテストスイートではなく、進化する脅威に対する適応的なテストの重要性を浮き彫りにしました。
• 実用性の重視: 単に「ハッキングできるか」だけでなく、「実用的に機能しているか（過剰拒否していないか）」を同時に評価することで、生産環境でのエージェントの真の堅牢性を測定できます。
• 将来展望: 現在のテキスト中心ですが、ツール呼び出し、API 悪用、マルチモーダル注入などへの拡張が容易であり、エージェントセキュリティの標準的な評価手法となる可能性があります。

本論文は、AI エージェントの安全な展開に向けた、スケーラブルで適応的なセキュリティ評価の新たな基準を確立する重要な研究です。