It's a TRAP! Task-Redirecting Agent Persuasion Benchmark for Web Agents

📄 arXiv: 2512.23128 📥 PDF

作者: Karolina Korgul, Yushi Yang, Arkadiusz Drohomirecki, Piotr Błaszczyk, Will Howard, Lukas Aichberger, Chris Russell, Philip H.S. Torr, Adam Mahdi, Adel Bibi

分类: cs.HC, cs.AI, cs.MA

发布日期: 2026-07-05


💡 一句话要点

提出TRAP基准以研究网络代理的任务重定向问题

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: 网络代理 提示注入 任务重定向 说服技术 安全性研究 动态内容 基准测试

📋 核心要点

  1. 现有的网络代理在动态内容环境中易受提示注入攻击,导致任务重定向,影响其性能和可靠性。
  2. 本文提出TRAP基准,通过研究说服技术对网络代理的影响,揭示其在真实任务中的脆弱性。
  3. 实验结果显示,六个模型中平均25%的任务受到影响,且小的界面变化可显著提高攻击成功率,表明系统性脆弱性。

📝 摘要(中文)

随着大型语言模型驱动的网络代理在电子邮件管理和专业网络等任务中的应用日益增多,它们对动态网页内容的依赖使其易受提示注入攻击。本文介绍了任务重定向代理说服基准(TRAP),用于研究说服技术如何误导自主网络代理完成现实任务。在六个前沿模型中,代理在平均25%的任务中易受提示注入影响(GPT-5为13%,DeepSeek-R1为43%),而小的界面或上下文变化往往会使成功率翻倍,揭示了网络代理的系统性心理脆弱性。此外,我们还提供了一个模块化的社会工程注入框架,并在高保真网站克隆上进行了受控实验,为基准扩展提供了可能。

🔬 方法详解

问题定义:本文旨在解决网络代理在动态网页环境中易受提示注入攻击的问题。现有方法未能有效识别和防御这些攻击,导致任务重定向和性能下降。

核心思路:论文的核心思路是通过建立TRAP基准,系统性地研究说服技术如何影响网络代理的决策过程,从而识别其脆弱性。

技术框架:整体架构包括基准设计、实验设置和结果分析三个主要模块。基准设计用于创建多样化的任务和攻击场景,实验设置则在高保真网站克隆上进行,最后通过结果分析评估代理的表现。

关键创新:最重要的技术创新点在于建立了一个专门针对网络代理的说服基准,填补了现有研究的空白,并提供了一个模块化的注入框架,便于后续研究。

关键设计:在实验中,设计了多种提示注入策略,并通过对比不同模型的表现,分析了界面变化对攻击成功率的影响,揭示了系统性心理脆弱性。具体参数设置和损失函数设计在实验部分进行了详细说明。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果表明,在六个前沿模型中,平均25%的任务受到提示注入影响,其中GPT-5的影响率为13%,而DeepSeek-R1高达43%。小的界面或上下文变化可使攻击成功率翻倍,揭示了网络代理的系统性脆弱性。

🎯 应用场景

该研究的潜在应用领域包括网络安全、智能助手和自动化系统等。通过识别和理解网络代理的脆弱性,可以为开发更安全和可靠的智能代理提供理论基础,提升用户信任度和系统效率。

📄 摘要(原文)

Web-based agents powered by large language models are increasingly used for tasks such as email management or professional networking. Their reliance on dynamic web content, however, makes them vulnerable to prompt injection attacks: adversarial instructions hidden in interface elements that persuade the agent to divert from its original task. We introduce the Task-Redirecting Agent Persuasion Benchmark (TRAP), a benchmark for studying how persuasion techniques misguide autonomous web agents on realistic tasks. Across six frontier models, agents are susceptible to prompt injection in 25% of tasks on average (13% for GPT-5 to 43% for DeepSeek-R1), with small interface or contextual changes often doubling success rates and revealing systemic, psychologically driven vulnerabilities in web-based agents. We also provide a modular social-engineering injection framework with controlled experiments on high-fidelity website clones, allowing for further benchmark expansion.