SoK: LLM代理アゲント間の信頼-許可不一致

Large Language Models (LLMs)は、標準的なプロトコル（例：MCP）を介して複雑なワークフローを実行する自律型アゲントとして進化しています。しかし、これにより、決定論的コードから確率推理の分離によって信頼と許可が不一致しているための「信頼 - 許可 Mismatch」が生じるようになっています。この本質的なトレーサビリティを考慮に入れたシステム化の知識(SoK)では、200以上の代表的な文献を調査し、アゲントセキュリティの進展に関する新しい景観を詳細に分析するように提案しています。我々は「信念意図許可」(B-I-P)フレームワークという統合された形式的なレンズを使用して、アゲン実行を3つの独立した段階（信念形成、意思決定、権限付与）に分解しました。各行動が動的信頼状態と静的許可境界との間の脱節を源としており、さまざまな種類の攻撃と防御はこの統合されたフレームワークにより構成的にマッピングされます。最後に、現在のメカニズムがこれを橋渡しそした隙にある新しい研究計画を提案します。これは静的なロールベースアクセス制御(RBAC)から動的でリスク対応的な許可へのシフトについてです。

arXiv:2512.06914v2 Announce Type: replace-cross Abstract: Large Language Models (LLMs) are evolving into autonomous agents capable of executing complex workflows via standardized protocols (e.g., MCP). However, this paradigm shifts control from deterministic code to probabilistic inference, creating a fundamental Trust-Authorization Mismatch: static permissions are structurally decoupled from the agent's fluctuating runtime trustworthiness. In this Systematization of Knowledge (SoK), we survey more than 200 representative papers to categorize the emerging landscape of agent security. We propose the Belief-Intention-Permission (B-I-P) framework as a unifying formal lens. By decomposing agent execution into three distinct stages-Belief Formation, Intent Generation, and Permission Grant-we demonstrate that diverse threats, from prompt injection to tool poisoning, share a common root cause: the desynchronization between dynamic trust states and static authorization boundaries. Using the B-I-P lens, we systematically map existing attacks and defenses and identify critical gaps where current mechanisms fail to bridge this mismatch. Finally, we outline a research agenda for shifting from static Role-Based Access Control (RBAC) to dynamic, risk-adaptive authorization.