⏶2
AdInject:现实世界中通过广告投放对Web代理进行的黑盒攻击
发表
由 
NicerWang 提交
NicerWang 提交作者: Haowei Wang, Junjie Wang, 
Xiaojun Jia, Rupeng Zhang, Mingyang Li, Zhe Liu, Yang Liu, Qing Wang
Haowei Wang, Junjie Wang, Xiaojun Jia, Rupeng Zhang, Mingyang Li, Zhe Liu, Yang Liu, Qing Wang摘要
基于视觉-语言模型 (VLM) 的 Web 代理通过模拟与网站的人类交互,代表了自动化复杂任务的重大一步。然而,它们在不受控的网络环境中的部署引入了显著的安全漏洞。关于对抗性环境注入攻击的现有研究通常依赖不切实际的假设,例如直接的 HTML 操作、用户意图知识或访问代理模型参数,这限制了它们的实际适用性。在本文中,我们提出了 AdInject,一种新颖且真实的黑盒攻击方法,它利用互联网广告投放将恶意内容注入 Web 代理的环境。与先前工作相比,AdInject 在一个显著更现实的威胁模型下运行,假设代理是黑盒的、恶意内容存在静态约束,并且无需特定的用户意图知识。AdInject 包含旨在诱导代理点击的恶意广告内容设计策略,以及一种基于 VLM 的广告内容优化技术。该技术从目标网站的上下文推断潜在的用户意图,并将这些意图整合到广告内容中,使其对代理的任务显得更相关或更关键,从而提高攻击有效性。实验评估证明了 AdInject 的有效性,在大多数场景下攻击成功率超过 60%,在某些情况下接近 100%。这强烈表明,普遍存在的广告投放构成了针对 Web 代理进行环境注入攻击的一种强大且真实的载体。这项工作突出了 Web 代理安全中源于真实世界环境操纵渠道的一个关键漏洞,强调了开发强大防御机制以应对此类威胁的迫切需求。我们的代码可在 https://github.com/NicerWang/AdInject 获取。
基于视觉-语言模型 (VLM) 的网络代理代表着通过模拟人类与网站的交互来自动化复杂任务迈出了重要一步。然而,它们在不受控的网络环境中的部署引入了重大的安全漏洞。
现有关于对抗性环境注入攻击的研究通常依赖于不切实际的假设,例如直接 HTML 操作、用户意图知识或访问代理模型参数,这限制了它们的实际适用性。
在本文中,我们提出了 AdInject,一种新颖且真实的黑盒攻击方法,该方法利用互联网广告投递将恶意内容注入网络代理的环境中。AdInject 在比以往工作显著更现实的威胁模型下运行,假设黑盒代理、静态恶意内容限制以及没有用户意图的特定知识。
AdInject 包括设计恶意广告内容的策略,旨在误导代理点击,以及一种基于 VLM 的广告内容优化技术,该技术从目标网站的上下文推断潜在用户意图,并将这些意图整合到广告内容中,使其对代理的任务显得更相关或更关键,从而增强攻击效果。
实验评估证明了 AdInject 的有效性,在大多数场景中攻击成功率超过 60%,在某些情况下接近 100%。这有力地表明,普遍存在的广告投递构成了针对网络代理的环境注入攻击的一种强大且真实的载体。
这项工作突出了源于真实环境操纵渠道的网络代理安全性中的一个关键漏洞,强调了开发针对此类威胁的强大防御机制的紧迫性。
我们的代码可在 https://github.com/NicerWang/AdInject 获取。