Daily Arxiv

전 세계에서 발간되는 인공지능 관련 논문을 정리하는 페이지 입니다.
본 페이지는 Google Gemini를 활용해 요약 정리하며, 비영리로 운영 됩니다.
논문에 대한 저작권은 저자 및 해당 기관에 있으며, 공유 시 출처만 명기하면 됩니다.

AdInject: Real-World Black-Box Attacks on Web Agents via Advertising Delivery

Created by
  • Haebom

저자

Haowei Wang, Junjie Wang, Xiaojun Jia, Rupeng Zhang, Mingyang Li, Zhe Liu, Yang Liu, Qing Wang

개요

본 논문은 웹 에이전트에 대한 새로운 블랙박스 공격 기법인 AdInject을 제안한다. 기존 연구들이 비현실적인 가정(직접적인 HTML 조작, 사용자 의도에 대한 지식, 에이전트 모델 파라미터 접근 등)에 의존하는 것과 달리, AdInject는 인터넷 광고 배달 시스템을 활용하여 악성 콘텐츠를 웹 에이전트의 환경에 주입한다. 블랙박스 에이전트, 정적 악성 콘텐츠 제약, 사용자 의도에 대한 지식 부재라는 현실적인 위협 모델 하에서 작동하며, 에이전트를 오도하여 클릭하게 만드는 악성 광고 콘텐츠 설계 전략과 VLM 기반 광고 콘텐츠 최적화 기법을 포함한다. 실험 결과, 대부분의 시나리오에서 60% 이상, 특정 경우에는 100%에 가까운 공격 성공률을 보이며, 광고 배달 시스템이 웹 에이전트에 대한 환경 주입 공격의 강력한 실제 경로임을 보여준다. 이는 실제 환경 조작 채널에서 발생하는 웹 에이전트 보안의 심각한 취약성을 강조하며, 이러한 위협에 대한 강력한 방어 메커니즘 개발의 필요성을 시사한다. 소스 코드는 GitHub에서 공개한다.

시사점, 한계점

시사점:
인터넷 광고 배달 시스템이 웹 에이전트에 대한 현실적인 공격 경로임을 증명.
VLM 기반 웹 에이전트의 보안 취약성을 명확히 제시.
실제 환경 조작을 고려한 새로운 공격 기법 AdInject 제시.
강력한 방어 메커니즘 개발의 필요성을 강조.
한계점:
AdInject의 효과는 특정 웹사이트 및 광고 플랫폼에 의존적일 수 있음.
다양한 유형의 웹 에이전트와 광고 형식에 대한 일반화 가능성에 대한 추가 연구 필요.
방어 메커니즘에 대한 구체적인 제안은 부족.
👍