말은 (결코) 싸지 않다: LLM 공격에 대한 분류 체계 및 벤치마크 커버리지 감사

우리는 LLM 공격 벤치마크들이 위협 표면(threat surface)을 집합적으로 커버하는지 감사하기 위한 재사용 가능한 프레임워크를 소개합니다. 이는 STRIDE에 기반한 4$ imes$6 Target $ imes$ Technique 매트릭스로, 932개의 arXiv 보안 연구(2023--2026)에서 추출된 추론 시간(inference-time) 공격으로부터 구축된 507개의 리프(leaf) 분류 체계(데이터가 채워진 401개 및 위협 모델에서 유도된 106개 리프)를 바탕으로 구성되었습니다. 이 매트릭스는 개별 벤치마크의 일관성보다는 집합적인 커버리지를 감사하는 벤치마크 외부 검증(benchmark-external validation)을 가능하게 합니다. 이를 6개의 공개 벤치마크에 적용한 결과, 세 가지 주요 프레임워크(HarmBench, InjecAgent, AgentDojo)는 서로 겹치지 않는 셀을 점유하며 매트릭스의 최대 25%만을 커버하고 있음을 발견했습니다. 반면, STRIDE 위협 카테고리 전체(Service Disruption, Model Internals)는 해당 카테고리에서 발표된 공격들이 어떤 벤치마크도 테스트하지 않는 메커니즘을 통해 46$ imes$ 토큰 증폭 및 96%의 공격 성공률을 달성했음에도 불구하고, 표준화된 평가가 전혀 부재한 상태입니다. 2,521개의 고유한 공격 그룹 코퍼스는 광범위한 명칭 파편화(단일 공격에 대해 최대 29개의 표면 형태 존재)와 Safety & Alignment Bypass에 대한 과도한 집중을 추가로 드러내며, 이는 더 작은 규모에서는 보이지 않는 구조적 특성입니다. 분류 체계, 공격 기록 및 커버리지 매핑은 확장 가능한 아티팩트(artifacts)로 공개됩니다. 새로운 벤치마크가 등장함에 따라 동일한 매트릭스에 매핑할 수 있어, 커뮤니티가 평가 격차가 좁혀지고 있는지 추적할 수 있도록 합니다.