arXiv:2409.11295v4 宣告类型: replace-cross 摘要：通用网络代理在自主完成广泛任务方面展示了惊人的潜力，显著提升了人类的工作效率。然而，网络任务，如预订航班，通常涉及用户的个人身份信息(PII)，如果网络代理意外与被泄露的网站交互，用户的PII可能会面临潜在的隐私风险，这一场景在文献中尚未得到充分探索。在本工作中，我们通过进行首个关于通用网络代理在对抗环境中的隐私风险的研究来缩小这一差距。首先，我们提出了一个针对网站的现实威胁模型，其中我们考虑了两个对抗目标：窃取用户的特定PII或整个用户请求。然后，我们提出了一种新的攻击方法，称为环境注入攻击(EIA)。EIA注入能够适应代理操作环境的恶意内容，并且我们的工作具体将EIA实例化为网络环境中隐私场景下的防御措施。我们在真实的Mind2Web网站上收集了涉及多种PII类别的177个操作步骤，并使用迄今为止最强大的通用网络代理框架之一进行了实验。结果表明，EIA在窃取特定PII方面的成功率最高为70%，在窃取完整用户请求方面的成功率约为16%。此外，通过测试EIA的隐蔽性和使用防御系统提示，我们表明EIA难以被检测和缓解。值得注意的是，那些不很好地适应网页的攻击可以被人工检查检测到，从而引发我们在安全性和自主性之间的权衡讨论。但是，额外的攻击者努力可以使EIA无缝适应，从而使这种监督无效。因此，我们进一步讨论在网站部署前和部署后阶段的防御措施，而不依赖于人工监督，并呼吁采取更先进的防御策略。