Исследователи из Сеульского национального университета выявили критическую уязвимость Agent Data Injection, позволяющую злоумышленникам манипулировать действиями автономных веб-агентов. Через внедрение вредоносного контента на веб-страницы атакующие могут принуждать агентов выполнять несанкционированные клики и действия, обходя стандартные механизмы защиты и используя доверие системы к данным из внешней среды.

Проблема заключается в том, как агенты интерпретируют DOM-структуру страниц и реагируют на интерактивные элементы. Злоумышленники размещают скрытые или обманчивые элементы управления, которые агент воспринимает как легитимные инструкции. В ходе экспериментов исследователи продемонстрировали, как ИИ-агенты, предназначенные для автоматизации покупок или навигации, совершали действия, инициированные скрытыми скриптами, что ставит под угрозу безопасность транзакций и конфиденциальность пользовательских данных.

Эта атака эксплуатирует разрыв между тем, что видит пользователь, и тем, как агент парсит HTML-код. Поскольку агенты часто полагаются на упрощенные представления страниц для экономии токенов, они становятся уязвимы к инъекциям, которые невидимы для человека, но критичны для логики выполнения кода. Исследователи подчеркивают необходимость внедрения более строгих методов валидации контента и визуальной верификации элементов интерфейса перед их активацией.

Ключевые факты

  • Уязвимость позволяет злоумышленникам выполнять произвольные клики через внедрение вредоносного кода в DOM-структуру.
  • Атаки успешно протестированы на популярных фреймворках для создания веб-агентов, использующих LLM для навигации.
  • Метод обходит типичные фильтры безопасности, так как вредоносный контент выглядит как обычный элемент веб-страницы.
  • Исследование проведено специалистами Сеульского национального университета (SNU).
  • Основная рекомендация — внедрение многоуровневой проверки интерактивных элементов и ограничение прав агентов при взаимодействии с внешними ресурсами.