通用网页代理在自动完成真实网站上的各种任务方面展现出非凡的潜力，显著提高了人类的生产力。然而，网页任务（如预订航班）通常涉及用户的个人身份信息（PII），如果网页代理意外与受损网站交互，可能会面临隐私风险，而这种情况在文献中鲜有研究。在这项工作中，我们通过首次研究通用网页代理在对抗环境中的隐私风险来弥合这一差距。首先，我们提出了一种针对网站攻击的现实威胁模型，其中我们考虑了两个对抗目标：窃取用户的特定PII或整个用户请求。然后，我们提出了一种新颖的攻击方法，称为环境注入攻击（EIA）。EIA 注入旨在适应代理操作环境的恶意内容，我们的工作将 EIA 特定应用于网页环境中的隐私场景。我们从 Mind2Web 收集了 177 个涉及真实网站上不同 PII 类别的操作步骤，并使用迄今为止最强大的通用网页代理框架之一进行实验。结果表明，EIA 在窃取特定 PII 方面实现了高达 70% 的攻击成功率，在窃取完整用户请求方面实现了 16% 的攻击成功率。此外，通过访问隐蔽性和对防御系统提示进行实验，我们表明 EIA 难以检测和缓解。值得注意的是，未针对网页进行良好调整的攻击可以通过人工检查来检测，这导致我们讨论了安全性和自主性之间的权衡。然而，额外的攻击者努力可以使 EIA 无缝地适应，使这种监督无效。因此，我们进一步讨论了网站在部署前和部署后阶段的防御措施，而无需依赖人工监督，并呼吁更先进的防御策略。