論文の概要: Mind the Web: The Security of Web Use Agents

• arxiv url: http://arxiv.org/abs/2506.07153v1
• Date: Sun, 08 Jun 2025 13:59:55 GMT
• ステータス: 翻訳完了
• システム内更新日: 2025-06-10 16:33:10.691762
• Title: Mind the Web: The Security of Web Use Agents
• Title（参考訳）: Mind the Web: Web 利用エージェントのセキュリティ
• Authors: Avishag Shapira, Parth Atulbhai Gandhi, Edan Habler, Oleg Brodt, Asaf Shabtai,
• Abstract要約: 攻撃者は、悪意のあるコンテンツをWebページに埋め込むことで、Web利用エージェントの高特権能力を活用できることを示す。 本稿では,攻撃を明白にするのではなく,悪質なコマンドを有用なタスクガイダンスとして設定するタスクアラインインジェクション手法を提案する。 本稿では,監視機構,実行制約,タスク認識推論技術などを含む包括的緩和戦略を提案する。
• 参考スコア（独自算出の注目度）: 8.863542098424558
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Web-use agents are rapidly being deployed to automate complex web tasks, operating with extensive browser capabilities including multi-tab navigation, DOM manipulation, JavaScript execution and authenticated session access. However, these powerful capabilities create a critical and previously unexplored attack surface. This paper demonstrates how attackers can exploit web-use agents' high-privilege capabilities by embedding malicious content in web pages such as comments, reviews, or advertisements that agents encounter during legitimate browsing tasks. In addition, we introduce the task-aligned injection technique that frame malicious commands as helpful task guidance rather than obvious attacks. This technique exploiting fundamental limitations in LLMs' contextual reasoning: agents struggle in maintaining coherent contextual awareness and fail to detect when seemingly helpful web content contains steering attempts that deviate from their original task goal. Through systematic evaluation of four popular agents (OpenAI Operator, Browser Use, Do Browser, OpenOperator), we demonstrate nine payload types that compromise confidentiality, integrity, and availability, including unauthorized camera activation, user impersonation, local file exfiltration, password leakage, and denial of service, with validation across multiple LLMs achieving success rates of 80%-100%. These payloads succeed across agents with built-in safety mechanisms, requiring only the ability to post content on public websites, creating unprecedented risks given the ease of exploitation combined with agents' high-privilege access. To address this attack, we propose comprehensive mitigation strategies including oversight mechanisms, execution constraints, and task-aware reasoning techniques, providing practical directions for secure development and deployment.
• Abstract（参考訳）: Web利用エージェントは、複雑なWebタスクを自動化するために急速にデプロイされ、マルチタブナビゲーション、DOM操作、JavaScriptの実行、認証されたセッションアクセスを含む、広範囲なブラウザ機能で動作する。 しかし、これらの強力な能力は、クリティカルで以前は探索されていなかった攻撃面を生み出す。 本稿では,Web ページに悪意のあるコンテンツ(コメント,レビュー,広告など)を埋め込むことで,攻撃者が Web 利用エージェントの高特権能力を活用できることを示す。 さらに,悪質なコマンドを明らかな攻撃ではなく,有用なタスクガイダンスとして構成するタスクアラインインジェクション手法を導入する。 エージェントはコヒーレントな文脈認識を維持するのに苦労し、Webコンテンツに本来のタスク目標から逸脱したステアリングの試みが含まれていることを検知できない。 OpenAI Operator, Browser Use, Do Browser, OpenOperatorの4つの一般的なエージェント(OpenAI Operator, Browser Use, Do Browser, OpenOperator)を体系的に評価することにより,無許可のカメラアクティベーション,ユーザ偽装,ローカルファイルの消去,パスワードの漏洩,サービス拒否など,機密性や整合性,可用性を損なう9つのペイロードタイプを実証し, 80%～100%の成功率を達成した。 これらのペイロードは、安全機構を組み込んだエージェント間で成功し、公開ウェブサイトにコンテンツを投稿する機能だけを必要とし、エージェントの高特権アクセスと組み合わせて、エクスプロイトの容易さを考慮に入れた前例のないリスクを生み出した。 この攻撃に対処するため、我々は、監視機構、実行制約、タスク認識推論技術を含む包括的な緩和戦略を提案し、安全な開発と配備のための実践的な方向を提供する。

関連論文リスト

• The Hidden Dangers of Browsing AI Agents [0.0]
  本稿では,複数のアーキテクチャ層にまたがるシステム的脆弱性に着目し,このようなエージェントの総合的なセキュリティ評価を行う。 本研究は,ブラウジングエージェントのエンド・ツー・エンドの脅威モデルについて概説し,実環境への展開を確保するための実用的なガイダンスを提供する。
  論文  参考訳（メタデータ） (2025-05-19T13:10:29Z)
• AGENTFUZZER: Generic Black-Box Fuzzing for Indirect Prompt Injection against LLM Agents [54.29555239363013]
  本稿では,間接的なインジェクション脆弱性を自動的に検出し,悪用するための汎用的なブラックボックスファジリングフレームワークであるAgentFuzzerを提案する。 我々はAgentFuzzerをAgentDojoとVWA-advの2つの公開ベンチマークで評価し、o3-miniとGPT-4oに基づくエージェントに対して71%と70%の成功率を達成した。 攻撃を現実世界の環境に適用し、悪質なサイトを含む任意のURLに誘導するエージェントをうまく誘導する。
  論文  参考訳（メタデータ） (2025-05-09T07:40:17Z)
• AdvAgent: Controllable Blackbox Red-teaming on Web Agents [22.682464365220916]
  AdvAgentは、Webエージェントを攻撃するためのブラックボックスのレッドチームフレームワークである。 強化学習に基づくパイプラインを使用して、敵のプロンプトモデルをトレーニングする。 慎重な攻撃設計では、エージェントの弱点を効果的に活用し、ステルス性と制御性を維持する。
  論文  参考訳（メタデータ） (2024-10-22T20:18:26Z)
• AgentOccam: A Simple Yet Strong Baseline for LLM-Based Web Agents [52.13695464678006]
  本研究は, 観察空間と行動空間を簡略化することで, LLMベースのWebエージェントを強化する。 AgentOccam は以前の最先端および同時処理を 9.8 (+29.4%) と 5.9 (+15.8%) で上回っている。
  論文  参考訳（メタデータ） (2024-10-17T17:50:38Z)
• Compromising Embodied Agents with Contextual Backdoor Attacks [69.71630408822767]
  大型言語モデル(LLM)は、エンボディドインテリジェンスの発展に変化をもたらした。 本稿では,このプロセスにおけるバックドアセキュリティの重大な脅威を明らかにする。 ほんの少しの文脈的デモンストレーションを毒殺しただけで、攻撃者はブラックボックスLDMの文脈的環境を隠蔽することができる。
  論文  参考訳（メタデータ） (2024-08-06T01:20:12Z)
• WIPI: A New Web Threat for LLM-Driven Web Agents [28.651763099760664]
  我々は、Web Agentを間接的に制御し、公開されているWebページに埋め込まれた悪意ある命令を実行する、新しい脅威WIPIを導入する。 WIPIを成功させるためには、ブラックボックス環境で動作させる。 提案手法は,純ブラックボックスシナリオにおいても平均攻撃成功率(ASR)が90%を超えることを達成している。
  論文  参考訳（メタデータ） (2024-02-26T19:01:54Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。