ترجمه فارسی مقاله EIA: حمله تزریق محیطی به عوامل وب عمومی برای نشت حریم خصوصی

چکیده

Generalist web agents have evolved rapidly and demonstrated remarkable potential. However, there are unprecedented safety risks associated with these them, which are nearly unexplored so far. In this work, we aim to narrow this gap by conducting the first study on the privacy risks of generalist web agents in adversarial environments. First, we present a threat model that discusses the adversarial targets, constraints, and attack scenarios. Particularly, we consider two types of adversarial targets: stealing users’ specific personally identifiable information (PII) or stealing the entire user request. To achieve these objectives, we propose a novel attack method, termed Environmental Injection Attack (EIA). This attack injects malicious content designed to adapt well to different environments where the agents operate, causing them to perform unintended actions. This work instantiates EIA specifically for the privacy scenario. It inserts malicious web elements alongside persuasive instructions that mislead web agents into leaking private information, and can further leverage CSS and JavaScript features to remain stealthy. We collect 177 actions steps that involve diverse PII categories on realistic websites from the Mind2Web dataset, and conduct extensive experiments using one of the most capable generalist web agent frameworks to date, SeeAct. The results demonstrate that EIA achieves up to 70% ASR in stealing users’ specific PII. Stealing full user requests is more challenging, but a relaxed version of EIA can still achieve 16% ASR. Despite these concerning results, it is important to note that the attack can still be detectable through careful human inspection, highlighting a trade-off between high autonomy and security. This leads to our detailed discussion on the efficacy of EIA under different levels of human supervision as well as implications on defenses for generalist web agents.

چکیده به فارسی (ترجمه ماشینی)

عوامل وب عمومی گرا به سرعت تکامل یافته و پتانسیل قابل توجهی را نشان داده اند.با این حال ، خطرات ایمنی بی سابقه ای در ارتباط با این آنها وجود دارد که تاکنون تقریباً ناشناخته هستند.در این کار ، هدف ما این است که با انجام اولین مطالعه در مورد خطرات حریم خصوصی عوامل وب عمومی در محیط های مخالف ، این شکاف را محدود کنیم.اول ، ما یک الگوی تهدید را ارائه می دهیم که در مورد اهداف مخالف ، محدودیت ها و سناریوهای حمله بحث می کند.به ویژه ، ما دو نوع هدف مخالف را در نظر می گیریم: سرقت اطلاعات خاص شناسایی شخصی کاربران (PII) یا سرقت کل درخواست کاربر.برای دستیابی به این اهداف ، ما یک روش حمله جدید ، به نام حمله تزریق محیط زیست (EIA) را پیشنهاد می کنیم.این حمله به محتوای مخرب طراحی شده برای سازگاری خوب با محیط های مختلفی که مأمورین در آن کار می کنند ، تزریق می کند و باعث می شود آنها اقدامات ناخواسته انجام دهند.این کار به طور خاص EIA را برای سناریوی حریم خصوصی فوری می کند.این عناصر وب مخرب را در کنار دستورالعمل های اقناعی که مأمورین وب را در نشت اطلاعات خصوصی گمراه می کند ، درج می کند و می تواند از ویژگی های CSS و JavaScript بیشتر بهره ببرد تا مخفیانه باقی بماند.ما 177 مرحله اقدام را جمع آوری می کنیم که شامل دسته های مختلف PII در وب سایت های واقع گرایانه از مجموعه داده Mind2Web است و آزمایش های گسترده ای را با استفاده از یکی از توانا ترین چارچوب های عامل وب عمومی تا به امروز انجام می دهیم.نتایج نشان می دهد که EIA در سرقت PII خاص کاربران به 70 ٪ ASR دست می یابد.سرقت درخواست های کامل کاربر چالش برانگیزتر است ، اما یک نسخه آرام از EIA هنوز هم می تواند به 16 ٪ ASR برسد.علیرغم این نتایج مربوط به این ، توجه به این نکته حائز اهمیت است که این حمله هنوز هم می تواند از طریق بازرسی دقیق انسانی قابل تشخیص باشد ، و نشان دهنده تجارت بین استقلال بالا و امنیت است.این منجر به بحث مفصل ما در مورد اثربخشی EIA در سطوح مختلف نظارت انسان و همچنین پیامدهای مربوط به دفاع برای عوامل وب عمومی است.