arXiv cs.CRは6月12日(現地時間)、論文「Semantic Integrity Failures in Document-to-LLM Supply Chains」を発表し、PDFから大規模言語モデル(LLM)への変換プロセスにおいて、ユーザーが監査できない隠れた抽出層がセマンティック整合性問題を引き起こすことを明らかにした。この問題により、単一のドキュメントがLLMによる推論前に二つの異なる意味的ビューを持つ「split-view PDFs」が可能になるとしている。
この研究は、PDFのレンダリングとテキスト抽出の境界に存在する25の抽出ギャップ(EG)を特定した。これらのギャップでは、攻撃者によって制御された、または抽出器に依存したテキストが抽出器によって返される一方、レンダリングされたページは無害または異なるコンテンツを表示する。抽出ギャップは、semantic overrides、hidden semantic injection、reading-order splits、font-decoding splitsの四つのカテゴリに分類され、そのうち14のギャップはこれまでのPDF-to-LLM攻撃には見られなかったメカニズムを持つ。
研究者らは、16のPDF処理スタックと7つの商用LLMサービスを対象にこれらのギャップを評価した。その結果、評価対象となったすべてのサービスにおいて少なくとも一つのギャップが露呈し、全ギャップのうち12/25から21/25が露呈した。この露出は、モデル自体のアイデンティティよりも、主にインジェストスタックに起因すると分析されている。また、テストされた安全フィルターが一部の隠しテキスト構造にしか対応していないことも示された。
研究チームは、特定された25のベンチマークギャップすべてに対応する静的スクリーニングスキャナーを開発した。これは問題のトリアージを支援し、長期的な防御策としてデュアルビューの一貫性(dual-view consistency)の重要性を提唱している。論文の著者はSide Liu氏とJiang Ming氏である。
参考: arXiv cs.CR (アーカイブ) — 2026年6月16日 13:00 (JST)