Исследователи из Сеульского национального университета выявили критическую уязвимость Agent Data Injection, позволяющую злоумышленникам манипулировать действиями автономных веб-агентов. Через внедрение вредоносного контента на веб-страницы атакующие могут принуждать агентов выполнять несанкционированные клики и действия, обходя стандартные механизмы защиты и используя доверие системы к данным из внешней среды.
Проблема заключается в том, как агенты интерпретируют DOM-структуру страниц и реагируют на интерактивные элементы. Злоумышленники размещают скрытые или обманчивые элементы управления, которые агент воспринимает как легитимные инструкции. В ходе экспериментов исследователи продемонстрировали, как ИИ-агенты, предназначенные для автоматизации покупок или навигации, совершали действия, инициированные скрытыми скриптами, что ставит под угрозу безопасность транзакций и конфиденциальность пользовательских данных.
Эта атака эксплуатирует разрыв между тем, что видит пользователь, и тем, как агент парсит HTML-код. Поскольку агенты часто полагаются на упрощенные представления страниц для экономии токенов, они становятся уязвимы к инъекциям, которые невидимы для человека, но критичны для логики выполнения кода. Исследователи подчеркивают необходимость внедрения более строгих методов валидации контента и визуальной верификации элементов интерфейса перед их активацией.
Ключевые факты
- Уязвимость позволяет злоумышленникам выполнять произвольные клики через внедрение вредоносного кода в DOM-структуру.
- Атаки успешно протестированы на популярных фреймворках для создания веб-агентов, использующих LLM для навигации.
- Метод обходит типичные фильтры безопасности, так как вредоносный контент выглядит как обычный элемент веб-страницы.
- Исследование проведено специалистами Сеульского национального университета (SNU).
- Основная рекомендация — внедрение многоуровневой проверки интерактивных элементов и ограничение прав агентов при взаимодействии с внешними ресурсами.