論文の概要: AdInject: Real-World Black-Box Attacks on Web Agents via Advertising Delivery

• arxiv url: http://arxiv.org/abs/2505.21499v1
• Date: Tue, 27 May 2025 17:59:05 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-05-28 17:05:58.855439
• Title: AdInject: Real-World Black-Box Attacks on Web Agents via Advertising Delivery
• Title（参考訳）: AdInject: 広告配信によるWebエージェントのリアルタイムブラックボックス攻撃
• Authors: Haowei Wang, Junjie Wang, Xiaojun Jia, Rupeng Zhang, Mingyang Li, Zhe Liu, Yang Liu, Qing Wang,
• Abstract要約: Vision-Language Model (VLM)ベースのWeb Agentは、Webサイトとの人間的なインタラクションをシミュレートすることによって、複雑なタスクを自動化するためのステップである。 敵の環境注入攻撃に関する既存の研究は、しばしば非現実的な仮定に依存している。 本稿では,インターネット広告配信を活用して悪意のあるコンテンツをWebエージェントの環境に注入する,新規で現実的なブラックボックス攻撃手法であるAdInjectを提案する。
• 参考スコア（独自算出の注目度）: 19.989518524625954
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Vision-Language Model (VLM) based Web Agents represent a significant step towards automating complex tasks by simulating human-like interaction with websites. However, their deployment in uncontrolled web environments introduces significant security vulnerabilities. Existing research on adversarial environmental injection attacks often relies on unrealistic assumptions, such as direct HTML manipulation, knowledge of user intent, or access to agent model parameters, limiting their practical applicability. In this paper, we propose AdInject, a novel and real-world black-box attack method that leverages the internet advertising delivery to inject malicious content into the Web Agent's environment. AdInject operates under a significantly more realistic threat model than prior work, assuming a black-box agent, static malicious content constraints, and no specific knowledge of user intent. AdInject includes strategies for designing malicious ad content aimed at misleading agents into clicking, and a VLM-based ad content optimization technique that infers potential user intents from the target website's context and integrates these intents into the ad content to make it appear more relevant or critical to the agent's task, thus enhancing attack effectiveness. Experimental evaluations demonstrate the effectiveness of AdInject, attack success rates exceeding 60% in most scenarios and approaching 100% in certain cases. This strongly demonstrates that prevalent advertising delivery constitutes a potent and real-world vector for environment injection attacks against Web Agents. This work highlights a critical vulnerability in Web Agent security arising from real-world environment manipulation channels, underscoring the urgent need for developing robust defense mechanisms against such threats. Our code is available at https://github.com/NicerWang/AdInject.
• Abstract（参考訳）: Vision-Language Model (VLM)ベースのWeb Agentは、Webサイトとの人間的なインタラクションをシミュレートすることによって、複雑なタスクを自動化するための重要なステップである。 しかし、コントロールされていないWeb環境へのデプロイは、重大なセキュリティ上の脆弱性をもたらす。 敵の環境注入攻撃に関する既存の研究は、直接HTML操作、ユーザ意図の知識、エージェントモデルパラメータへのアクセスといった非現実的な仮定に依存し、実用性を制限することがよくある。 本稿では,インターネット広告配信を活用して悪意のあるコンテンツをWebエージェントの環境に注入する,新規で現実的なブラックボックス攻撃手法であるAdInjectを提案する。 AdInjectは、ブラックボックスエージェント、静的な悪意のあるコンテンツ制約、ユーザの意図に関する具体的な知識を前提として、以前の作業よりもはるかに現実的な脅威モデルの下で動作します。 AdInjectには、エージェントをクリックに誘導することを目的とした悪意ある広告コンテンツを設計する戦略と、ターゲットWebサイトのコンテキストから潜在的なユーザ意図を推測し、これらの意図を広告コンテンツに統合し、エージェントのタスクにより関連性や重要視するようにするためのVLMベースの広告コンテンツ最適化技術が含まれている。 実験では、AdInjectの有効性、ほとんどのシナリオで60%以上の攻撃成功率、特定のケースでは100%以上の攻撃成功率を示す。 このことは、一般的な広告配信が、Webエージェントに対する環境注入攻撃の強力な実世界のベクターとなっていることを強く示している。 この研究は、現実世界の環境操作チャネルから生じるWeb Agentのセキュリティの重大な脆弱性を強調し、このような脅威に対して堅牢な防御メカニズムを開発する緊急の必要性を強調している。 私たちのコードはhttps://github.com/NicerWang/AdInject.orgから入手可能です。

関連論文リスト

• The Hidden Dangers of Browsing AI Agents [0.0]
  本稿では,複数のアーキテクチャ層にまたがるシステム的脆弱性に着目し,このようなエージェントの総合的なセキュリティ評価を行う。 本研究は,ブラウジングエージェントのエンド・ツー・エンドの脅威モデルについて概説し,実環境への展開を確保するための実用的なガイダンスを提供する。
  論文  参考訳（メタデータ） (2025-05-19T13:10:29Z)
• AGENTFUZZER: Generic Black-Box Fuzzing for Indirect Prompt Injection against LLM Agents [54.29555239363013]
  本稿では,間接的なインジェクション脆弱性を自動的に検出し,悪用するための汎用的なブラックボックスファジィングフレームワークであるAgentXploitを提案する。 我々は、AgentXploitをAgentDojoとVWA-advの2つの公開ベンチマークで評価し、o3-miniとGPT-4oに基づくエージェントに対して71%と70%の成功率を達成した。 攻撃を現実世界の環境に適用し、悪質なサイトを含む任意のURLに誘導するエージェントをうまく誘導する。
  論文  参考訳（メタデータ） (2025-05-09T07:40:17Z)
• WASP: Benchmarking Web Agent Security Against Prompt Injection Attacks [36.97842000562324]
  我々は、Pmptインジェクション攻撃に対するWeb Agent Securityのエンドツーエンド評価のための新しいベンチマークであるWASPを紹介する。 高度な推論能力を含むトップレベルのAIモデルでさえ、単純で低便なヒューマンインジェクションによって騙される可能性があることを示す。 攻撃は最大86%で部分的には成功したが、最先端のエージェントでさえ、攻撃者の目標を完全に満たすのに苦労することが多い。
  論文  参考訳（メタデータ） (2025-04-22T17:51:03Z)
• Attacking Vision-Language Computer Agents via Pop-ups [61.744008541021124]
  VLMエージェントは、慎重に設計された対向的なポップアップによって容易に攻撃できることを示す。 この混乱は、エージェントが通常どおりのタスクを実行するのではなく、ポップアップをクリックしてしまう。 エージェントにポップアップを無視するよう要求したり、広告通知を含むような基本的な防御技術は、攻撃に対して効果がない。
  論文  参考訳（メタデータ） (2024-11-04T18:56:42Z)
• AdvWeb: Controllable Black-box Attacks on VLM-powered Web Agents [22.682464365220916]
  AdvWebは、Webエージェント向けに設計された新しいブラックボックス攻撃フレームワークである。 DPOを用いた逆プロンプトモデルの訓練と最適化を行う。 従来のアプローチとは異なり、我々の逆文字列注入はステルスと制御を維持している。
  論文  参考訳（メタデータ） (2024-10-22T20:18:26Z)
• Dissecting Adversarial Robustness of Multimodal LM Agents [70.2077308846307]
  我々は、VisualWebArena上に現実的な脅威モデルを用いて、200の敵タスクと評価スクリプトを手動で作成する。 我々は,クロボックスフロンティアLMを用いた最新のエージェントを,リフレクションやツリーサーチを行うエージェントを含む,壊すことに成功している。 AREを使用して、新しいコンポーネントの追加に伴うロバスト性の変化を厳格に評価しています。
  論文  参考訳（メタデータ） (2024-06-18T17:32:48Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。