通用网页代理在自主完成真实网站上的各种任务方面展现出非凡的潜力，极大地提高了人类的工作效率。然而，网页任务，例如预订航班，通常涉及用户的个人身份信息（PII），如果网页代理意外与受损网站交互，可能会存在隐私风险，而这种情况在文献中尚未得到充分探讨。在这项工作中，我们通过对通用网页代理在对抗环境中的隐私风险进行首次研究来缩小这一差距。首先，我们针对网站攻击提出了一种现实的威胁模型，其中我们考虑了两个对抗目标：窃取用户的特定 PII 或整个用户请求。然后，我们提出了一种新颖的攻击方法，称为环境注入攻击（EIA）。EIA 注入旨在适应代理运行环境的恶意内容，我们的工作将 EIA 特别用于网页环境中的隐私场景。我们从 Mind2Web 收集了 177 个涉及真实网站上各种 PII 类别的操作步骤，并使用迄今为止最强大的通用网页代理框架之一进行了实验。结果表明，EIA 在窃取特定 PII 方面实现了高达 70% 的攻击成功率，在窃取完整用户请求方面实现了 16% 的攻击成功率。此外，通过访问隐蔽性并使用防御系统提示进行实验，我们表明 EIA 难以检测和缓解。值得注意的是，不适合网页的攻击可以通过人工检查来检测，这导致我们讨论了安全性和自主性之间的权衡。然而，攻击者额外的努力可以使 EIA 无缝适应，从而使这种监督变得无效。因此，我们进一步讨论了网站在部署前和部署后阶段的防御措施，而无需依赖人工监督，并呼吁更先进的防御策略。