論文の概要: Atomicity for Agents: Exposing, Exploiting, and Mitigating TOCTOU Vulnerabilities in Browser-Use Agents

• arxiv url: http://arxiv.org/abs/2603.00476v1
• Date: Sat, 28 Feb 2026 05:25:03 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-03-03 19:50:56.21502
• Title: Atomicity for Agents: Exposing, Exploiting, and Mitigating TOCTOU Vulnerabilities in Browser-Use Agents
• Title（参考訳）: エージェントの原子性:ブラウザ利用エージェントにおけるTOCTOU脆弱性の暴露・爆発・緩和
• Authors: Linxi Jiang, Zhijie Liu, Haotian Luo, Zhiqiang Lin,
• Abstract要約: ブラウザ利用エージェントにおけるTOCTOU脆弱性に関する大規模な実証的研究を行った。 動的または敵対的なWebコンテンツは、意図しないアクションを誘発するためにこのウィンドウを利用することができる。 我々は、事前実行検証に基づく軽量な緩和を設計する。
• 参考スコア（独自算出の注目度）: 15.381306470663695
• License: http://creativecommons.org/licenses/by/4.0/
• Abstract: Browser-use agents are widely used for everyday tasks. They enable automated interaction with web pages through structured DOM based interfaces or vision language models operating on page screenshots. However, web pages often change between planning and execution, causing agents to execute actions based on stale assumptions. We view this temporal mismatch as a time of check to time of use (TOCTOU) vulnerability in browser-use agents. Dynamic or adversarial web content can exploit this window to induce unintended actions. We present a large scale empirical study of TOCTOU vulnerabilities in browser-use agents using a benchmark that spans synthesized and real world websites. Using this benchmark, we evaluate 10 popular open source agents and show that TOCTOU vulnerabilities are widespread. We design a lightweight mitigation based on pre-execution validation. It monitors DOM and layout changes during planning and validates the page state immediately before action execution. This approach reduces the risk of insecure execution and mitigates unintended side effects in browser-use agents.
• Abstract（参考訳）: ブラウザ利用エージェントは日常の作業に広く使われている。 構造化DOMベースのインターフェースやページスクリーンショットで動作するビジョン言語モデルを通じて、Webページの自動インタラクションを可能にする。 しかし、Webページは計画と実行の間で頻繁に変更され、エージェントは古い仮定に基づいてアクションを実行する。 我々は、この時間的ミスマッチを、ブラウザ使用エージェントのTOCTOU脆弱性チェックの時間であると考えている。 動的または敵対的なWebコンテンツは、意図しないアクションを誘発するためにこのウィンドウを利用することができる。 ブラウザ利用エージェントにおけるTOCTOU脆弱性に関する大規模な実証的研究を,合成されたWebサイトと実世界のWebサイトにまたがるベンチマークを用いて行った。 このベンチマークを用いて、10の人気のあるオープンソースエージェントを評価し、TOCTOU脆弱性が広く利用されていることを示す。 我々は、事前実行検証に基づく軽量な緩和を設計する。 計画中のDOMとレイアウトの変更を監視し、アクション実行直前にページの状態を検証する。 このアプローチは、安全でない実行のリスクを低減し、ブラウザ使用エージェントの意図しない副作用を軽減する。

関連論文リスト

• It's a TRAP! Task-Redirecting Agent Persuasion Benchmark for Web Agents [52.81924177620322]
  大規模な言語モデルを利用したWebベースのエージェントは、メール管理やプロフェッショナルネットワーキングといったタスクにますます利用されている。 動的Webコンテンツへの依存は、インジェクション攻撃の引き金に弱い: インターフェース要素に隠された敵対的命令は、エージェントが元のタスクから逸脱するように説得する。 本稿では,タスクリダイレクトエージェントの説得ベンチマーク(TRAP)について紹介する。
  論文  参考訳（メタデータ） (2025-12-29T01:09:10Z)
• In-Browser LLM-Guided Fuzzing for Real-Time Prompt Injection Testing in Agentic AI Browsers [0.0]
  大規模言語モデル(LLM)ベースのエージェントがWebブラウザに統合され、Webタスクの強力な自動化を提供する。 それらは間接的なインジェクション攻撃に対して脆弱で、Webページに隠された悪意のある命令は、エージェントを不必要なアクションに騙す。 本稿では,ブラウザ上で完全に動作し,LDMによって誘導される新しいファジィングフレームワークについて紹介する。
  論文  参考訳（メタデータ） (2025-10-15T13:39:13Z)
• BrowserArena: Evaluating LLM Agents on Real-World Web Navigation Tasks [51.803138848305814]
  我々はBrowserArenaを紹介した。BrowserArenaは、ユーザから送信されたタスクを収集するオープンソースのエージェント評価プラットフォームである。 Captcha解決、ポップアップバナー削除、URLへのダイレクトナビゲーションの3つの一貫した障害モードを特定します。 本研究は,Webエージェントの多様性と脆性の両方を明らかにする。
  論文  参考訳（メタデータ） (2025-10-02T15:22:21Z)
• WALT: Web Agents that Learn Tools [66.73502484310121]
  WALTは、Webサイト機能を再利用不能なツールにリバースエンジニアリングするフレームワークである。 WALTはアドホックなスキルを仮説化するのではなく、既にウェブサイトに設計されている自動化の堅牢な実装を公開している。 VisualWebArenaとWebArenaでは、WALTはより少ないステップとLLM依存の推論でより高い成功を達成している。
  論文  参考訳（メタデータ） (2025-10-01T23:41:47Z)
• WAREX: Web Agent Reliability Evaluation on Existing Benchmarks [2.3381951994604977]
  本稿では,既存のベンチマークを用いた Web Agent Reliability Evaluation を提案する。 WebArena、WebVoyager、REALの3つの人気のあるベンチマークでWAREXの影響を測定します。 実験の結果,WAREXの導入はタスク成功率の大幅な低下を招き,最先端エージェントの堅牢性に限界があることが示唆された。
  論文  参考訳（メタデータ） (2025-09-28T20:51:05Z)
• A Whole New World: Creating a Parallel-Poisoned Web Only AI-Agents Can See [0.0]
  悪意のあるWebサイトは、受信した要求をAIエージェントから派生したものとして識別し、そのコンテンツの異なる“クラック”バージョンを動的に提供する。 人間のユーザーは良心的なWebページを見るが、エージェントには、隠された悪意のある命令が埋め込まれた視覚的に同一のページが表示される。 この研究は脅威モデルを形式化し、エージェントフィンガープリントとクローキングの仕組みを詳述し、エージェントAIの将来に対する深刻なセキュリティへの影響について論じる。
  論文  参考訳（メタデータ） (2025-08-29T08:14:52Z)
• Manipulating LLM Web Agents with Indirect Prompt Injection Attack via HTML Accessibility Tree [8.511846002129522]
  敵はWebページHTMLにユニバーサルな敵のトリガーを埋め込んでエージェントの動作をハイジャックできることを示す。 本システムは,ターゲット攻撃と一般攻撃の両方において,実際のWebサイト間で高い成功率を示す。
  論文  参考訳（メタデータ） (2025-07-20T03:10:13Z)
• VPI-Bench: Visual Prompt Injection Attacks for Computer-Use Agents [74.6761188527948]
  完全なシステムアクセスを持つコンピュータ利用エージェント(CUA)は、セキュリティとプライバシの重大なリスクを負う。 我々は、悪意のある命令がレンダリングされたユーザーインターフェイスに視覚的に埋め込まれた視覚的プロンプトインジェクション(VPI)攻撃について検討する。 実験により,現在のCUAとBUAは,それぞれのプラットフォーム上で最大51%,100%の速度で騙すことができることがわかった。
  論文  参考訳（メタデータ） (2025-06-03T05:21:50Z)
• WASP: Benchmarking Web Agent Security Against Prompt Injection Attacks [36.97842000562324]
  我々は、Pmptインジェクション攻撃に対するWeb Agent Securityのエンドツーエンド評価のための新しいベンチマークであるWASPを紹介する。 高度な推論能力を含むトップレベルのAIモデルでさえ、単純で低便なヒューマンインジェクションによって騙される可能性があることを示す。 攻撃は最大86%で部分的には成功したが、最先端のエージェントでさえ、攻撃者の目標を完全に満たすのに苦労することが多い。
  論文  参考訳（メタデータ） (2025-04-22T17:51:03Z)
• MIP against Agent: Malicious Image Patches Hijacking Multimodal OS Agents [60.92962583528122]
  オペレーティングシステム(OS)エージェントの最近の進歩により、視覚言語モデル(VLM)がユーザのコンピュータを直接制御できるようになった。 これらのOSエージェントに対する新たなアタックベクターを発見した:MIP(Malicious Image Patches) MIPは、OSエージェントにキャプチャされたとき、特定のAPIを活用することで有害なアクションを誘導する画面領域を逆向きに乱した。
  論文  参考訳（メタデータ） (2025-03-13T18:59:12Z)
• Dissecting Adversarial Robustness of Multimodal LM Agents [70.2077308846307]
  我々は、VisualWebArena上に現実的な脅威モデルを用いて、200の敵タスクと評価スクリプトを手動で作成する。 我々は,クロボックスフロンティアLMを用いた最新のエージェントを,リフレクションやツリーサーチを行うエージェントを含む,壊すことに成功している。 AREを使用して、新しいコンポーネントの追加に伴うロバスト性の変化を厳格に評価しています。
  論文  参考訳（メタデータ） (2024-06-18T17:32:48Z)
• WebSuite: Systematically Evaluating Why Web Agents Fail [2.200477647229223]
  我々は、ジェネラリストWebエージェントの最初の診断ベンチマークであるWebSuiteについて説明する。 このベンチマークスイートは、ボタンをクリックするなどの個々のタスクと、カートにアイテムを追加するなどのエンドツーエンドタスクの両方で構成されている。 我々は、テキストベースとマルチモーダルの2つの一般的なジェネラリストWebエージェントを評価し、各エージェントに固有の弱点を特定する。
  論文  参考訳（メタデータ） (2024-06-01T00:32:26Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。