論文の概要: WebTrap: Stealthy Mid-Task Hijacking of Browser Agents During Navigation

• arxiv url: http://arxiv.org/abs/2605.08310v1
• Date: Fri, 08 May 2026 14:06:03 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-05-12 23:28:49.556208
• Title: WebTrap: Stealthy Mid-Task Hijacking of Browser Agents During Navigation
• Title（参考訳）: WebTrap: ナビゲーション中のブラウザエージェントのステルスなミッドタスクハイジャック
• Authors: Zhichao Liu, Wenbo Pan, Haining Yu, Ge Gao, Tianqing Zhu, Xiaohua Jia,
• Abstract要約: ブラウザエージェントに対する既存のプロンプトインジェクション攻撃は、2つの重要なギャップを露呈する。 我々は,ミッドタスクのハイジャックインジェクション攻撃であるWebTrapを提案する。 本稿では,WebTrapがエージェントのナビゲーション脆弱性を悪用していることを示す。
• 参考スコア（独自算出の注目度）: 45.65437250616012
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: Browser agents are increasingly deployed in long-horizon tasks, which require executing extended action chains to accomplish user goals. However, this prolonged execution process provides attackers with more opportunities to inject malicious instructions. Existing prompt injection attacks against browser agents expose two key gaps: (1) low effectiveness, as attacks optimized for toy baselines fail to achieve end-to-end goals in real-world scenarios with complex environments and longer steps; (2) weak stealthiness, since most attacks pit the attack goal against the user goal, causing a significant drop in system usability under attack. To address these gaps, we propose WebTrap, a mid-task hijacking injection attack. It employs multi-step instruction fusion steering to seamlessly combine both goals, enabling the agent to resume the original user task after executing the attack goal. Furthermore, we design a context-grounded generation method to align the injected content with the task environment and system instructions, maximizing the hijacking success rate. Extensive experiments on two browser agent tasks, based on extended WASP and InjecAgent environments, demonstrate that our method achieves a high attack success rate while preserving the usability of the original system. We find that WebTrap exploits the agent's navigation vulnerabilities, binding the two goals so tightly that standard defense mechanisms cannot restore the system to normal operation. These findings reveal a critical vulnerability in agent systems during long-horizon tasks that they can be stealthily hijacked.
• Abstract（参考訳）: ブラウザエージェントは、ユーザー目標を達成するために拡張アクションチェーンの実行を必要とする長期タスクにますますデプロイされる。 しかし、この長期実行プロセスは攻撃者に悪意のある命令を注入する機会を与える。 既存のブラウザエージェントに対する即時インジェクション攻撃は、(1) トイベースラインに最適化されたアタックが、複雑な環境と長いステップを持つ現実のシナリオでエンドツーエンドの目標を達成するのに失敗するため、2) 多くの攻撃がユーザ目標に対して攻撃目標を落とし、アタック中のシステムユーザビリティが著しく低下する、という2つの大きなギャップを露呈する。 これらのギャップに対処するため、我々は、ミッドタスクのハイジャックインジェクション攻撃であるWebTrapを提案する。 マルチステップの命令融合ステアリングを使用して、両方の目標をシームレスに組み合わせ、エージェントが攻撃目標を実行した後、元のユーザタスクを再開できるようにする。 さらに,タスク環境とシステム命令とを一致させてハイジャック成功率を最大化するコンテキストグラウンド生成手法を設計する。 拡張WASPおよびInjecAgent環境に基づく2つのブラウザエージェントタスクに対する大規模な実験により、本手法が元のシステムのユーザビリティを保ちながら高い攻撃成功率を達成することを示した。 We found that WebTrap exploits the agent's navigation vulnerabilities, that the two goal so tightly that to standard Defense mechanism cannot restore the system to normal operation。 これらの結果は、長時間の作業中にエージェントシステムに重大な脆弱性があることを示し、ひそかにハイジャックされる可能性がある。

関連論文リスト

• WebAgentGuard: A Reasoning-Driven Guard Model for Detecting Prompt Injection Attacks in Web Agents [117.65855863464863]
  Webエージェントはインジェクション攻撃に対して非常に脆弱である。 システム・プロンプト・ディフェンス(英語版)やエージェントの直接微調整を含む既存の防御は、効果が限られている。 本稿では,WebAgentGuardを導入し,インジェクション検出のためのマルチモーダルガードモデルを提案する。
  論文  参考訳（メタデータ） (2026-04-14T04:50:35Z)
• SkillJect: Automating Stealthy Skill-Based Prompt Injection for Coding Agents with Trace-Driven Closed-Loop Refinement [120.52289344734415]
  エージェントスキルに適したステルスプロンプトインジェクションのための自動フレームワークを提案する。 フレームワークは、明示的なステルス制約の下でインジェクションスキルを合成するアタックエージェント、インジェクションされたスキルを使用してタスクを実行するコードエージェント、アクショントレースをログする評価エージェントの3つのエージェントでクローズドループを形成する。 本手法は,現実的な環境下で高い攻撃成功率を達成する。
  論文  参考訳（メタデータ） (2026-02-15T16:09:48Z)
• MUZZLE: Adaptive Agentic Red-Teaming of Web Agents Against Indirect Prompt Injection Attacks [10.431616150153992]
  MUZZLEは、間接的なプロンプトインジェクション攻撃に対するWebエージェントのセキュリティを評価する自動化フレームワークである。 エージェントの観察された実行軌跡に基づいて攻撃戦略を適用し、失敗した実行からのフィードバックを使用して攻撃を反復的に洗練する。 MUZZLEは、機密性、可用性、プライバシ特性に反する10の敵目標を持つ4つのWebアプリケーションに対する37の新たな攻撃を効果的に発見する。
  論文  参考訳（メタデータ） (2026-02-09T21:46:18Z)
• It's a TRAP! Task-Redirecting Agent Persuasion Benchmark for Web Agents [52.81924177620322]
  大規模な言語モデルを利用したWebベースのエージェントは、メール管理やプロフェッショナルネットワーキングといったタスクにますます利用されている。 動的Webコンテンツへの依存は、インジェクション攻撃の引き金に弱い: インターフェース要素に隠された敵対的命令は、エージェントが元のタスクから逸脱するように説得する。 本稿では,タスクリダイレクトエージェントの説得ベンチマーク(TRAP)について紹介する。
  論文  参考訳（メタデータ） (2025-12-29T01:09:10Z)
• Cuckoo Attack: Stealthy and Persistent Attacks Against AI-IDE [64.47951172662745]
  Cuckoo Attackは、悪意のあるペイロードを構成ファイルに埋め込むことで、ステルス性と永続的なコマンド実行を実現する新しい攻撃である。 攻撃パラダイムを初期感染と持続性という2つの段階に分類する。 当社は、ベンダーが製品のセキュリティを評価するために、実行可能な7つのチェックポイントを提供しています。
  論文  参考訳（メタデータ） (2025-09-19T04:10:52Z)
• Context manipulation attacks : Web agents are susceptible to corrupted memory [37.66661108936654]
  Plan Injection"は、これらのエージェントの内部タスク表現を、この脆弱なコンテキストをターゲットとして破壊する、新しいコンテキスト操作攻撃である。 プランインジェクションはロバスト・プロンプト・インジェクション・ディフェンスを回避し,攻撃成功率を同等のプロンプト・ベース・アタックの最大3倍に向上することを示す。 この結果から,安全なメモリ処理はエージェントシステムにおける第一級の関心事であることが示唆された。
  論文  参考訳（メタデータ） (2025-06-18T14:29:02Z)
• Mind the Web: The Security of Web Use Agents [11.075673765065103]
  本稿では,Webページに悪意のあるコンテンツを埋め込むことで,攻撃者がWeb利用エージェントを利用する方法を示す。 本稿では,悪質なコマンドをタスクガイダンスとしてフレーム化するタスクアラインインジェクション手法を提案する。 本稿では,監視機構,実行制約,タスク認識推論技術などを含む包括的緩和戦略を提案する。
  論文  参考訳（メタデータ） (2025-06-08T13:59:55Z)
• AgentVigil: Generic Black-Box Red-teaming for Indirect Prompt Injection against LLM Agents [54.29555239363013]
  本稿では,間接的なインジェクション脆弱性を自動的に検出し,悪用するための汎用的なブラックボックスファジリングフレームワークであるAgentVigilを提案する。 我々はAgentVigilをAgentDojoとVWA-advの2つの公開ベンチマークで評価し、o3-miniとGPT-4oに基づくエージェントに対して71%と70%の成功率を達成した。 攻撃を現実世界の環境に適用し、悪質なサイトを含む任意のURLに誘導するエージェントをうまく誘導する。
  論文  参考訳（メタデータ） (2025-05-09T07:40:17Z)
• AdvAgent: Controllable Blackbox Red-teaming on Web Agents [22.682464365220916]
  AdvAgentは、Webエージェントを攻撃するためのブラックボックスのレッドチームフレームワークである。 強化学習に基づくパイプラインを使用して、敵のプロンプトモデルをトレーニングする。 慎重な攻撃設計では、エージェントの弱点を効果的に活用し、ステルス性と制御性を維持する。
  論文  参考訳（メタデータ） (2024-10-22T20:18:26Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。