QUICK REVIEW

[論文レビュー] On the Insecurity of Keystroke-Based AI Authorship Detection: Timing-Forgery Attacks Against Motor-Signal Verification

David Condrey|arXiv (Cornell University)|Jan 24, 2026

User Authentication and Security Systems被引用数 2

ひとこと要約

論文は、タイミングベースのキーストローク検出器がコンテンツの出自を信頼性高く検証できないことを示す。コピー型とタイミング偽造攻撃は、キーストロークタイミング特徴を用いる分類器に対して99.8%の回避を許しつつ、運動の存在は検出できる。非識別性の境界を形式化し、タイミング信号を超えた防御方向を検討する。

ABSTRACT

Recent proposals advocate using keystroke timing signals, specifically the coefficient of variation ($δ$) of inter-keystroke intervals, to distinguish human-composed text from AI-generated content. We demonstrate that this class of defenses is insecure against two practical attack classes: the copy-type attack, in which a human transcribes LLM-generated text producing authentic motor signals, and timing-forgery attacks, in which automated agents sample inter-keystroke intervals from empirical human distributions. Using 13,000 sessions from the SBU corpus and three timing-forgery variants (histogram sampling, statistical impersonation, and generative LSTM), we show all attacks achieve $\ge$99.8% evasion rates against five classifiers. While detectors achieve AUC=1.000 against fully-automated injection, they classify $\ge$99.8% of attack samples as human with mean confidence $\ge$0.993. We formalize a non-identifiability result: when the detector observes only timing, the mutual information between features and content provenance is zero for copy-type attacks. Although composition and transcription produce statistically distinguishable motor patterns (Cohen's d=1.28), both yield $δ$ values 2-4x above detection thresholds, rendering the distinction security-irrelevant. These systems confirm a human operated the keyboard, but not whether that human originated the text. Securing provenance requires architectures that bind the writing process to semantic content.

研究の動機と目的

キーストロークベースのAI著者検出器に対するコピー型攻撃とタイミング偽造攻撃を定義する。
複数の検出器と7つのキーストローク特徴に対する攻撃の有効性を評価する。
タイミングのみの観測での制限を示す非識別性境界を形式化する。
純粋なタイミング信号を超える防御方向を評価する。

提案手法

キーストロークタイミング特徴と分類器を用いてHUMANとAIを区別するMotor-Signal Verification System（MSVS）をモデル化する。
ヒストグラムサンプリング、統計的な模倣、生成型LSTMの3つのタイミング偽造攻撃 varianteと、人間がAI生成テキストを転記するコピー型攻撃を導入する。
デルタ、平均IKI、IKI分散、ポーズ密度、バースト長、エントロピー、ディグラフ変動性を含む7つの特徴を用いて、13,000件のSBUキーストロークセッションと2,000件の攻撃セッションで経験的評価を行う。
すべての攻撃が≥99.8%の回避を達成し、人間対自動化のAUCは1.000、攻撃サンプルは平均信頼度≥0.993で人間として分類されることを示す。
タイミングのみの観測下での形而上の非識別定理を提供し、攻撃と人間の分布間の分布距離（JS、TV、KS）を議論する。

Figure 1: Distribution of $\delta$ across conditions. The threshold $\delta=0.269$ perfectly separates human from automated but admits all attacks.

実験結果

リサーチクエスチョン

RQ1コピー型攻撃は、運動信号のみを rely on する著者検出器を打ち破れるか？
RQ2タイミング偽造戦略は、多様なデータセットにまたがって複数のキーストロークベース検出器を回避するのにどの程度有効か？
RQ3タイミング信号のみを用いた出自検出には根本的な識別可能性の限界があるのか？
RQ4タイミング信号を超えたコンテンツ出自を保護するために、どのような防御方向が有効か？

主な発見

コピー型攻撃は標準自動閾値で全検出器を100%回避させ、運動の存在とコンテンツ出自の間に根本的なギャップがあることを示す。
タイミング偽造攻撃はヒストグラムおよびLSTM Varianteで100%回避、統計的変異体で5つの分類器に対し≥99.8%を達成する。
LSTMベースのタイミング偽造は平均デルタ0.877で人間に最も近いが、 security-relevant FRR要件（ evasionを50%未満にするには≥16% FRRが必要）下では人間と識別不能。
タイミングのみの観測下では、相互情報量I(f(tau); Provenance | s, Mu) = 0となり、コンテンツ出自を運動存在以上には特定できないという構造的非識別性境界が示される。
特徴レベルの除外解析では、どのキーストローク特徴も全攻撃タイプを人間と確実に分離できないが、すべての特徴は人間と自動注入を分離できる。
防御方向として、タイミング信号を超えるコンテンツ結合アプローチ（改訂履歴の一貫性、チャレンジ-応答、マイクロ意味論的改訂）が出自を守るために必要である。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。