論文の概要: A Whole New World: Creating a Parallel-Poisoned Web Only AI-Agents Can See
- arxiv url: http://arxiv.org/abs/2509.00124v1
- Date: Fri, 29 Aug 2025 08:14:52 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-09-04 15:17:03.096178
- Title: A Whole New World: Creating a Parallel-Poisoned Web Only AI-Agents Can See
- Title(参考訳): 新しい世界: パラレル・ポジショニングのWebを作るのはAIエージェントだけだ
- Authors: Shaked Zychlinski,
- Abstract要約: 悪意のあるWebサイトは、受信した要求をAIエージェントから派生したものとして識別し、そのコンテンツの異なる“クラック”バージョンを動的に提供する。
人間のユーザーは良心的なWebページを見るが、エージェントには、隠された悪意のある命令が埋め込まれた視覚的に同一のページが表示される。
この研究は脅威モデルを形式化し、エージェントフィンガープリントとクローキングの仕組みを詳述し、エージェントAIの将来に対する深刻なセキュリティへの影響について論じる。
- 参考スコア(独自算出の注目度): 0.0
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: This paper introduces a novel attack vector that leverages website cloaking techniques to compromise autonomous web-browsing agents powered by Large Language Models (LLMs). As these agents become more prevalent, their unique and often homogenous digital fingerprints - comprising browser attributes, automation framework signatures, and network characteristics - create a new, distinguishable class of web traffic. The attack exploits this fingerprintability. A malicious website can identify an incoming request as originating from an AI agent and dynamically serve a different, "cloaked" version of its content. While human users see a benign webpage, the agent is presented with a visually identical page embedded with hidden, malicious instructions, such as indirect prompt injections. This mechanism allows adversaries to hijack agent behavior, leading to data exfiltration, malware execution, or misinformation propagation, all while remaining completely invisible to human users and conventional security crawlers. This work formalizes the threat model, details the mechanics of agent fingerprinting and cloaking, and discusses the profound security implications for the future of agentic AI, highlighting the urgent need for robust defenses against this stealthy and scalable attack.
- Abstract(参考訳): 本稿では,Large Language Models (LLMs) を利用したWebブラウジングエージェントに対して,Webサイトクローキング技術を活用した新たな攻撃ベクトルを提案する。
これらのエージェントが普及するにつれて、ブラウザ属性、自動化フレームワークシグネチャ、ネットワーク特性を含む、ユニークでしばしば同種なデジタルフィンガープリントが、新しい、識別可能なWebトラフィックのクラスを作成します。
この攻撃は指紋認証を悪用する。
悪意のあるWebサイトは、受信したリクエストをAIエージェントから派生したものとして識別し、そのコンテンツの異なる“クローズ”バージョンを動的に提供する。
人間のユーザは良心的なWebページを見るが、エージェントには、間接的なプロンプトインジェクションのような、隠された悪意のある命令が埋め込まれた視覚的に同一のページが表示される。
このメカニズムにより、敵はエージェントの動作をハイジャックし、データの流出、マルウェアの実行、誤った情報伝達につながる。
この研究は脅威モデルを形式化し、エージェントのフィンガープリントとクローキングの仕組みを詳述し、エージェントAIの将来に対する深刻なセキュリティ上の影響について論じ、このステルスでスケーラブルな攻撃に対する堅牢な防御の必要性を強調している。
関連論文リスト
- Web Fraud Attacks Against LLM-Driven Multi-Agent Systems [16.324314873769215]
ウェブ詐欺攻撃はシステムのセキュリティとユーザーの安全に非無視的な脅威をもたらす。
本稿では,Web Fraud Attacksを提案する。Web Fraud Attacksは,悪意のあるWebサイトを訪問するためのマルチエージェントシステムの導入を目的とした,新しいタイプの攻撃手法である。
論文 参考訳(メタデータ) (2025-09-01T07:47:24Z) - BlindGuard: Safeguarding LLM-based Multi-Agent Systems under Unknown Attacks [58.959622170433725]
BlindGuardは、攻撃固有のラベルや悪意のある振る舞いに関する事前の知識を必要とせずに学習する、教師なしの防御方法である。
BlindGuardはマルチエージェントシステムにまたがる多様な攻撃タイプ(即時注入、メモリ中毒、ツール攻撃)を効果的に検出する。
論文 参考訳(メタデータ) (2025-08-11T16:04:47Z) - VisualTrap: A Stealthy Backdoor Attack on GUI Agents via Visual Grounding Manipulation [68.30039719980519]
この研究は、GUI要素に対するGUIエージェントをマッピングするテキストプランの視覚的基盤が脆弱性をもたらすことを明らかにしている。
視覚的接地を目的としたバックドア攻撃では、適切なタスク解決計画が与えられた場合でもエージェントの行動が損なわれる可能性がある。
そこで我々は,エージェントが意図したターゲットではなく,意図した位置をトリガーするテキストプランを見つけることをミスリードすることで,グラウンドディングをハイジャックできるVisualTrapを提案する。
論文 参考訳(メタデータ) (2025-07-09T14:36:00Z) - AgentVigil: Generic Black-Box Red-teaming for Indirect Prompt Injection against LLM Agents [54.29555239363013]
本稿では,間接的なインジェクション脆弱性を自動的に検出し,悪用するための汎用的なブラックボックスファジリングフレームワークであるAgentVigilを提案する。
我々はAgentVigilをAgentDojoとVWA-advの2つの公開ベンチマークで評価し、o3-miniとGPT-4oに基づくエージェントに対して71%と70%の成功率を達成した。
攻撃を現実世界の環境に適用し、悪質なサイトを含む任意のURLに誘導するエージェントをうまく誘導する。
論文 参考訳(メタデータ) (2025-05-09T07:40:17Z) - WASP: Benchmarking Web Agent Security Against Prompt Injection Attacks [36.97842000562324]
我々は、Pmptインジェクション攻撃に対するWeb Agent Securityのエンドツーエンド評価のための新しいベンチマークであるWASPを紹介する。
高度な推論能力を含むトップレベルのAIモデルでさえ、単純で低便なヒューマンインジェクションによって騙される可能性があることを示す。
攻撃は最大86%で部分的には成功したが、最先端のエージェントでさえ、攻撃者の目標を完全に満たすのに苦労することが多い。
論文 参考訳(メタデータ) (2025-04-22T17:51:03Z) - DoomArena: A framework for Testing AI Agents Against Evolving Security Threats [84.94654617852322]
本稿では,AIエージェントのセキュリティ評価フレームワークであるDoomArenaを紹介する。
プラグインフレームワークであり、現実的なエージェントフレームワークと簡単に統合できる。
モジュールであり、エージェントがデプロイされる環境の詳細から攻撃の開発を分離する。
論文 参考訳(メタデータ) (2025-04-18T20:36:10Z) - AdvAgent: Controllable Blackbox Red-teaming on Web Agents [22.682464365220916]
AdvAgentは、Webエージェントを攻撃するためのブラックボックスのレッドチームフレームワークである。
強化学習に基づくパイプラインを使用して、敵のプロンプトモデルをトレーニングする。
慎重な攻撃設計では、エージェントの弱点を効果的に活用し、ステルス性と制御性を維持する。
論文 参考訳(メタデータ) (2024-10-22T20:18:26Z) - Dissecting Adversarial Robustness of Multimodal LM Agents [70.2077308846307]
我々は、VisualWebArena上に現実的な脅威モデルを用いて、200の敵タスクと評価スクリプトを手動で作成する。
我々は,クロボックスフロンティアLMを用いた最新のエージェントを,リフレクションやツリーサーチを行うエージェントを含む,壊すことに成功している。
AREを使用して、新しいコンポーネントの追加に伴うロバスト性の変化を厳格に評価しています。
論文 参考訳(メタデータ) (2024-06-18T17:32:48Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。