論文の概要: MUZZLE: Adaptive Agentic Red-Teaming of Web Agents Against Indirect Prompt Injection Attacks

• arxiv url: http://arxiv.org/abs/2602.09222v1
• Date: Mon, 09 Feb 2026 21:46:18 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-02-11 20:17:43.259543
• Title: MUZZLE: Adaptive Agentic Red-Teaming of Web Agents Against Indirect Prompt Injection Attacks
• Title（参考訳）: MUZZLE: 間接的プロンプト注入攻撃に対するWebエージェントの適応的エージェント再チーム化
• Authors: Georgios Syros, Evan Rose, Brian Grinstead, Christoph Kerschbaumer, William Robertson, Cristina Nita-Rotaru, Alina Oprea,
• Abstract要約: MUZZLEは、間接的なプロンプトインジェクション攻撃に対するWebエージェントのセキュリティを評価する自動化フレームワークである。 エージェントの観察された実行軌跡に基づいて攻撃戦略を適用し、失敗した実行からのフィードバックを使用して攻撃を反復的に洗練する。 MUZZLEは、機密性、可用性、プライバシ特性に反する10の敵目標を持つ4つのWebアプリケーションに対する37の新たな攻撃を効果的に発見する。
• 参考スコア（独自算出の注目度）: 10.431616150153992
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Large language model (LLM) based web agents are increasingly deployed to automate complex online tasks by directly interacting with web sites and performing actions on users' behalf. While these agents offer powerful capabilities, their design exposes them to indirect prompt injection attacks embedded in untrusted web content, enabling adversaries to hijack agent behavior and violate user intent. Despite growing awareness of this threat, existing evaluations rely on fixed attack templates, manually selected injection surfaces, or narrowly scoped scenarios, limiting their ability to capture realistic, adaptive attacks encountered in practice. We present MUZZLE, an automated agentic framework for evaluating the security of web agents against indirect prompt injection attacks. MUZZLE utilizes the agent's trajectories to automatically identify high-salience injection surfaces, and adaptively generate context-aware malicious instructions that target violations of confidentiality, integrity, and availability. Unlike prior approaches, MUZZLE adapts its attack strategy based on the agent's observed execution trajectory and iteratively refines attacks using feedback from failed executions. We evaluate MUZZLE across diverse web applications, user tasks, and agent configurations, demonstrating its ability to automatically and adaptively assess the security of web agents with minimal human intervention. Our results show that MUZZLE effectively discovers 37 new attacks on 4 web applications with 10 adversarial objectives that violate confidentiality, availability, or privacy properties. MUZZLE also identifies novel attack strategies, including 2 cross-application prompt injection attacks and an agent-tailored phishing scenario.
• Abstract（参考訳）: 大規模言語モデル(LLM)ベースのWebエージェントは、Webサイトと直接対話し、ユーザに代わってアクションを実行することで、複雑なオンラインタスクを自動化するために、ますます多くデプロイされている。 これらのエージェントは強力な能力を提供するが、その設計は、信頼できないWebコンテンツに埋め込まれた間接的なインジェクション攻撃を露呈し、敵がエージェントの動作をハイジャックし、ユーザーの意図を侵害することを可能にする。 この脅威に対する認識の高まりにもかかわらず、既存の評価は、固定された攻撃テンプレート、手動で選択された注入面、あるいは狭い範囲のシナリオに依存しており、実際に遭遇した現実的で適応的な攻撃をキャプチャする能力を制限する。 本稿では,Webエージェントの間接的インジェクション攻撃に対する安全性を評価するための自動エージェントフレームワークMUZZLEを提案する。 MUZZLEはエージェントの軌道を利用して、高濃度の注入面を自動的に識別し、機密性、完全性、可用性の侵害を標的とするコンテキスト認識の悪意のある命令を適応的に生成する。 従来のアプローチとは異なり、MUZLEはエージェントの観察された実行軌跡に基づいて攻撃戦略を適応し、失敗した実行からのフィードバックを使って攻撃を反復的に洗練する。 我々は、多様なWebアプリケーション、ユーザタスク、エージェント設定にまたがるMUZZLEを評価し、人間の介入を最小限に抑えて、Webエージェントのセキュリティを自動かつ適応的に評価する能力を実証した。 その結果,MUZLEは,機密性,可用性,プライバシ性に反する10の敵目標を持つ4つのWebアプリケーションに対して,37の新たな攻撃を効果的に発見できることがわかった。 MUZLEはまた、2つのクロスアプリケーションプロンプトインジェクション攻撃とエージェント調整フィッシングシナリオを含む、新しい攻撃戦略を特定する。

関連論文リスト

• It's a TRAP! Task-Redirecting Agent Persuasion Benchmark for Web Agents [52.81924177620322]
  大規模な言語モデルを利用したWebベースのエージェントは、メール管理やプロフェッショナルネットワーキングといったタスクにますます利用されている。 動的Webコンテンツへの依存は、インジェクション攻撃の引き金に弱い: インターフェース要素に隠された敵対的命令は、エージェントが元のタスクから逸脱するように説得する。 本稿では,タスクリダイレクトエージェントの説得ベンチマーク(TRAP)について紹介する。
  論文  参考訳（メタデータ） (2025-12-29T01:09:10Z)
• Cuckoo Attack: Stealthy and Persistent Attacks Against AI-IDE [64.47951172662745]
  Cuckoo Attackは、悪意のあるペイロードを構成ファイルに埋め込むことで、ステルス性と永続的なコマンド実行を実現する新しい攻撃である。 攻撃パラダイムを初期感染と持続性という2つの段階に分類する。 当社は、ベンダーが製品のセキュリティを評価するために、実行可能な7つのチェックポイントを提供しています。
  論文  参考訳（メタデータ） (2025-09-19T04:10:52Z)
• Mind the Web: The Security of Web Use Agents [11.075673765065103]
  本稿では,Webページに悪意のあるコンテンツを埋め込むことで,攻撃者がWeb利用エージェントを利用する方法を示す。 本稿では,悪質なコマンドをタスクガイダンスとしてフレーム化するタスクアラインインジェクション手法を提案する。 本稿では,監視機構,実行制約,タスク認識推論技術などを含む包括的緩和戦略を提案する。
  論文  参考訳（メタデータ） (2025-06-08T13:59:55Z)
• AdInject: Real-World Black-Box Attacks on Web Agents via Advertising Delivery [19.989518524625954]
  Vision-Language Model (VLM)ベースのWeb Agentは、Webサイトとの人間的なインタラクションをシミュレートすることによって、複雑なタスクを自動化するためのステップである。 敵の環境注入攻撃に関する既存の研究は、しばしば非現実的な仮定に依存している。 本稿では,インターネット広告配信を活用して悪意のあるコンテンツをWebエージェントの環境に注入する,新規で現実的なブラックボックス攻撃手法であるAdInjectを提案する。
  論文  参考訳（メタデータ） (2025-05-27T17:59:05Z)
• AgentVigil: Generic Black-Box Red-teaming for Indirect Prompt Injection against LLM Agents [54.29555239363013]
  本稿では,間接的なインジェクション脆弱性を自動的に検出し,悪用するための汎用的なブラックボックスファジリングフレームワークであるAgentVigilを提案する。 我々はAgentVigilをAgentDojoとVWA-advの2つの公開ベンチマークで評価し、o3-miniとGPT-4oに基づくエージェントに対して71%と70%の成功率を達成した。 攻撃を現実世界の環境に適用し、悪質なサイトを含む任意のURLに誘導するエージェントをうまく誘導する。
  論文  参考訳（メタデータ） (2025-05-09T07:40:17Z)
• WASP: Benchmarking Web Agent Security Against Prompt Injection Attacks [36.97842000562324]
  我々は、Pmptインジェクション攻撃に対するWeb Agent Securityのエンドツーエンド評価のための新しいベンチマークであるWASPを紹介する。 高度な推論能力を含むトップレベルのAIモデルでさえ、単純で低便なヒューマンインジェクションによって騙される可能性があることを示す。 攻撃は最大86%で部分的には成功したが、最先端のエージェントでさえ、攻撃者の目標を完全に満たすのに苦労することが多い。
  論文  参考訳（メタデータ） (2025-04-22T17:51:03Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。