AEX: Non-Intrusive Multi-Hop Attestation and Provenance for LLM APIs

本論文は、ホスト型大規模言語モデル（LLM）の API 境界において、クライアントからのリクエストと返答の対応関係を非侵襲的に証明し、信頼できる仲介者による変換やストリーミング処理の完全性を保証する新しいアテステーション拡張「AEX」を提案するものである。

要約

AEX：AI の「お守り」と「領収書」システム

～「本当にあなたが頼んだものが、そのまま返ってきたか？」を証明する新しい仕組み～

皆さんは、AI（大規模言語モデル）に質問をして、答えを返してもらうとき、**「この答えは、私が頼んだ質問に対して、本当にその AI が出した答えなのか？」**と一度でも疑ったことはありませんか？

インターネット上には、公式の AI ではなく、偽物のサーバー（シャドー API）が混じっていたり、途中で誰かが内容をこっそり書き換えたりするリスクがあります。既存の技術では、「この AI は本物っぽい」と推測する程度しかできませんでした。

この論文は、AEX（Attestation Extension） という新しい仕組みを提案しています。これを一言で言うと、**「AI の回答に、改ざん不可能な『デジタルの領収書』をくっつける」**というアイデアです。

---

🍱 1. 比喩で理解する：AEX とは何か？

AEX の仕組みを、**「高級レストランでの料理」**に例えてみましょう。

従来の状況（AEX がない世界）

あなたが「特製寿司」を注文しました。
しかし、厨房（サーバー）から出てきたお皿が、本当にあなたが頼んだものか、途中で誰かがネタを差し替えたのか、あるいは偽物の厨房で作られたものか、客には全く分かりません。
「見た目は寿司だし、美味しいから多分大丈夫だろう」という**「推測」**でしかありません。

AEX がある状況

AEX があるレストランでは、料理が出てくるときに、**「料理の領収書（お守り）」**が一緒に渡されます。

1. 注文の記録（リクエストの証明）：
   「あなたが『特製寿司』を注文した」という事実が、デジタルの封筒に厳格に記録されています。
2. 料理の記録（出力の証明）：
   「この寿司は、その注文に対して、厨房で調理されたものである」という事実が、料理そのものに紐付けられています。
3. 改ざん防止（署名）：
   この領収書には、厨房の責任者（信頼できる発行元）の**「ハンコ（電子署名）」が押されています。
   もし途中で誰かがネタを差し替えても、ハンコと料理が一致しなくなるため、「これは偽物です！」と即座にバレます。**

---

🛠️ 2. AEX が解決する 3 つの大きな問題

このシステムは、以下の 3 つの難しい問題を、無理なく解決します。

① 「こっそり書き換え」を防ぐ（非侵入性）

既存のシステムを壊さずに使えます。

• 例え： レストランのメニューや注文方法を変えずに、「領収書」だけを追加するだけです。
• メリット： すでに使っている AI サービスを、特別な設定なしでこのシステムにアップグレードできます。

② 「中間人の手」を明確にする（信頼できる書き換え）

現実には、注文が厨房に届く前に、**「仲介業者（ゲートウェイ）」**が「アレルギー対応のために具を抜く」などの正当な変更を加えることがあります。

• AEX の仕組み： 「元の注文」→「仲介業者による変更」→「最終的な料理」という**「変更の履歴（チェーン）」**をすべて署名で記録します。
• メリット： 「誰が、何のために、何を変更したか」が透明になり、「こっそり変えられた」のか「許可された変更」なのかが区別できます。

③ 「流れてくる答え」の完全性を保証（ストリーミング）

AI は、答えを少しずつ流して（ストリーミング）返すことが多いです。途中で切られたり、順序が入れ替わったりするリスクがあります。

• AEX の仕組み： 流れてくる一つ一つの言葉（チャンク）を、**「鎖（チェーン）」**のように繋ぎます。
• メリット： 「最初の言葉から最後の言葉まで、順序通りに、欠けずに届いたか」を、最後の言葉が出た瞬間に証明できます。

---

🧩 3. 具体的な仕組み：どうやって動くの？

AEX は、魔法のような新しい技術を作るのではなく、「既存の技術（暗号、ハッシュ、署名）」を、AI の世界に合わせて組み合わせたものです。

1. 注文の「指紋」を作る：
   あなたが送った質問を、デジタルな「指紋（ハッシュ値）」に変換します。
2. 答えの「指紋」を作る：
   AI が返した答えも、同じく「指紋」に変換します。
3. 紐付ける：
   「この指紋（質問）」と「この指紋（答え）」は、**「信頼できる発行元（AI 会社など）」によって、「ハンコ（署名）」**で結び付けられました、と宣言します。
4. 検証：
   あなた（またはあなたのアプリ）は、そのハンコが本物か、そして「指紋」が一致するかを確認するだけです。

もし誰かが途中で答えをいじったら？
答えの「指紋」が変わってしまい、ハンコと一致しなくなります。システムは即座に**「エラー！改ざんされました！」**と警告します。

---

🚫 4. AEX は何「ではない」のか？（重要な注意点）

AEX は万能薬ではありません。ここが重要です。

• AI が「嘘をついていないか」は証明しません。
  • 例：AI が「地球は平らだ」と嘘をついても、AEX は「この嘘は、確かに AI が返した答えです」と証明するだけです。
• AI が「どのモデル」を使っているかまでは証明しません。
  • 例：「GPT-5 だ」と言っているのに、実は古いモデルを使っていた場合、AEX 単体ではそれを見抜くのは難しいです（他の技術と組み合わせる必要があります）。
• AI の「中身」を覗き見るわけではありません。
  • 厨房の中で何が起こっているか（どの重みを使っているか）ではなく、**「注文と答えのやり取り」**に焦点を当てています。

---

🌟 5. まとめ：なぜこれが重要なのか？

これからの AI 時代、私たちは AI の答えを「信頼」して使わなければなりません。しかし、インターネットの裏側には、偽物や改ざんのリスクが潜んでいます。

AEX は、その「信頼の境界線」を明確にするための、新しい「デジタルの領収書」です。

• 「本当に私が頼んだものか？」 → 証明できる。
• 「途中で誰かがいじっていないか？」 → 証明できる。
• 「誰が変更したか？」 → 履歴が残る。

これは、AI をビジネスや重要な判断に使う際に、「推測」から「証拠」へと信頼のレベルを一段階上げるための、非常に現実的で実用的な提案です。

まるで、**「AI の回答に、改ざん不可能なシールを貼って、そのシールが本物であることを保証する」**ようなイメージを持っていただければ、この技術の核心はご理解いただけたと思います。

技術概要

AEX: LLM API 向けの非侵入型マルチホップ検証および出所証明の技術的概要

本論文は、ホスト型大規模言語モデル（LLM）がリモート API を通じてアクセスされる際、クライアントからのリクエストと返されたレスポンスの間の信頼関係を直接証明する新しいプロトコル拡張**「AEX (Attestation EXtension)」**を提案するものです。シャドー API（公式と主張するが実際には異なる挙動を示す非公式エンドポイント）の存在や、既存の検証手法の限界を踏まえ、API 境界においてリクエストと出力の紐付けを暗号的に保証する仕組みを設計しました。

以下に、問題定義、手法、主要な貢献、結果、および意義について詳細にまとめます。

---

1. 問題定義 (Problem Statement)

• 信頼境界の脆弱性: 近年のシャドー API 監査により、公式 API と声称するエンドポイントが実際には異なるモデルを使用していたり、挙動が著しく異なったり（最大 47.21% の乖離）、指紋認証の失敗が頻発していることが明らかになっています。
• 既存手法の限界:
  • 指紋認証・統計的テスト: 出力からモデルを推測するものであり、特定のトランザクション（リクエストとレスポンスの対応関係）を直接証明するものではない。
  • 検証可能な推論・TEE 遠隔検証: 内部実装や実行環境の検証に焦点を当てており、既存の JSON ベースの API 構造を変更せず、かつ中間層（ゲートウェイやミドルウェア）での正当な書き換えを許容する「非侵入的」な解決策にはなっていない。
• 核心的な課題: 既存の LLM API（JSON ベース、SSE によるストリーミング対応）の構造を変更することなく、**「特定のクライアント可視リクエストが、特定のレスポンスオブジェクトまたはストリーミング出力に紐付いている」**ことを、オンラインで検証可能な形で証明する仕組みの欠如。

2. 手法と設計 (Methodology & Design)

AEX は、JSON 意味オブジェクトに対して動作するプロトコル拡張であり、リクエストとレスポンスのビジネスペイロード（内容）を変更せず、トップレベルに署名付きの「検証オブジェクト（Attestation Object）」を追加するアプローチをとります。

2.1 基本的な仕組み

• 非侵入性: 既存の API のリクエスト/レスポンスのセマンティクス（ツール呼び出し、ストリーミング、エラー処理など）を維持します。
• 検証オブジェクト: レスポンスのトップレベルに attestation フィールドを追加し、リクエストと出力のコミットメント（ハッシュ値）を署名します。
• 標準化: JSON 正規化（JCS: JSON Canonicalization Scheme）と Ed25519 署名を使用し、ホワイトスペースやフィールド順序の違いによるハッシュ値の不一致を防ぎます。

2.2 主要な技術的要素

1. リクエスト・コミットメントとバインディングモード:

   • クライアントが送信したリクエストから安定した「リクエスト・コミットメント」を生成します。
   • バインディングモードの選択: クライアントは、ゲートウェイによる正当な変更（トレース ID の追加など）を許容するか、厳密な完全一致を要求するかを選択できます（full, top_level_exclude, top_level_include）。
   • 欠落フィールドのバインディング: 特定のフィールドが存在しないこと自体を証明し、ミドルウェアによる不正なフィールド注入を検知します。

2. 信頼されたリクエスト変換（Trusted Request Transforms）:

   • 信頼された中間者（プロキシ等）がリクエストを正当に書き換えた場合、その変換履歴を「署名付きレシート（Receipts）」のチェーンとして記録します。これにより、リクエストの変更が「無効な改ざん」ではなく「承認された変換」であることを証明できます。

3. ストリーミング検証と出力の系譜（Lineage）:

   • ソースストリームプレフィックスモード: 出力が変換されていない場合、ストリーミングの途中（チェックポイント）で検証可能なプレフィックスを提供します。
   • 完全出力系譜モード（Complete-Output Lineage）: 出力がゲートウェイなどでバッファリング、集約、再パッケージ化された場合、プレフィックス証明は提供せず、代わりに「元の完全出力」から「最終完全出力」への署名付き変換チェーン（origin_output と output_transforms）を提供します。
   • モードの分離: 変換された出力を「変換されていないソースストリームの一部」と誤認させないよう、両者の証明モードを明確に区別します。

4. 出力モードの明示:

   • non_stream（単一 JSON オブジェクト）と stream（チャンク列）を区別し、出力モードが異なる場合でも、署名チェーン内でモードを明示的に閉じることで、整合性を保証します。

3. 主要な貢献 (Key Contributions)

1. API 境界検証問題の定式化: シャドー API の実態に基づき、ホスト型 LLM サービスにおける「トランザクション境界での検証」の緊急性を指摘しました。
2. AEX プロトコルの提案: 既存の JSON ベース LLM API に対する非侵入的な検証拡張を提案しました。これには、リクエストコミットメント、完全出力コミットメント、明示的なバインディングモード、および出力モードを考慮した系譜メタデータが含まれます。
3. LLM 固有のプロトコルメカニズムの導入:
   • 二重アンカーを持つストリーミングハッシュチェーン。
   • 信頼された中間者向けの明示的なリクエスト変換チェーン。
   • 信頼された出力書き換えのための「ソース出力/出力変換レシート」モデル。
4. セキュリティ・プライバシー分析: HTTP メッセージ署名、TEE 検証、LLM 監査などの既存手法との位置づけを明確にし、AEX が証明するもの（リクエスト - 出力の紐付け）と証明しないもの（モデルの真実性、隠れたプロンプトの有無など）を定義しました。
5. 実装と評価: OpenAI 互換プロファイルに対応した TypeScript 参考実装（プロトタイプ）を提供し、ローカルでの適合性テストとマイクロベンチマークを実施しました。

4. 結果と評価 (Results & Evaluation)

• プロトタイプ実装: OpenAI 互換のチャット・コンプリート API をシミュレートするテストベッド上で、リクエスト変換チェーン、ストリーミングチェックポイント、完全出力系譜検証など、すべての主要機能を動作確認しました。
• 自動検証: ユニットテスト（29 件）、統合テスト（25 件）、ブラウザ E2E テスト（6 件）をすべてパスしました。これには、リクエスト不整合、改ざん、切断などのネガティブパス（失敗ケース）の検知も含まれます。
• パフォーマンス（マイクロベンチマーク）:
  • 単一ホスト環境での測定結果によると、非ストリーミング成功ケースでのクライアント観測レイテンシは約 2.3ms、ゲートウェイ検証時間は 0.5ms 程度でした。
  • ストリーミング系譜検証を含むケースでも、暗号学的処理によるオーバーヘッドは最小限（ゲートウェイ検証で 1.5ms 未満）に抑えられており、実用的な遅延増加ではないことが示されました。
  • ストリーミングの完全完了時間は、プロトコル自体のオーバーヘッドではなく、シミュレータに意図的に挿入された遅延（120ms/チャンク）によって支配されていました。

5. 意義と限界 (Significance & Limitations)

意義

• 実用性の高い検証層: 既存の API 構造を変更せず、SDK やゲートウェイに容易に統合できる「軽量な公式検証エンドポイント」の代替案を提供します。
• 中間層の透明性: 信頼された中間者による正当な書き換え（プロンプトの正規化、出力のフィルタリング等）と、不正な改ざんを区別するメカニズムを提供し、デプロイの現実性を高めています。
• 補完的なアプローチ: モデルの指紋認証や TEE 検証を代替するものではなく、これらと組み合わせて「誰が、どのリクエストに対して、どの出力を署名したか」を証明する、アプリケーションレイヤーの補完的な信頼基盤となります。

限界

• モデルの真実性の証明なし: AEX は「リクエストと出力の紐付け」を証明するだけであり、出力が事実であること、特定のモデル重みが使用されたこと、隠れたプロンプトがないことなどを保証するものではありません。
• 発行者への依存: 検証の信頼性は、署名を行う発行者（Issuer）の信頼性に依存します。発行者が悪意を持つ場合、AEX はシステムを救済できません。
• プレフィックスからプレフィックスへの変換証明の欠如: 現在のバージョン（v1）では、変換された出力の途中経過を「変換前のソースストリームの検証済みプレフィックス」として証明する機能は実装されていません（完全出力の系譜証明に限定）。

結論

AEX は、LLM API における信頼境界の欠落を埋めるための、具体的で実装可能なプロトコル拡張です。リクエストと出力の関係を暗号的に紐付けることで、シャドー API や中間層の改ざんに対する防御を強化し、LLM サービスの透明性と信頼性を向上させる可能性を示しました。