WAAA：当智能体浏览器复活经典 Web 攻击

这是什么？

在论文 「WAAA! Web Adversaries Against Agentic Browsers」（arXiv 2605.05509，2026 年 5 月 6 日提交，cs.CR）中，Sohom Datta、Alex Nahapetyan、William Enck 与 Alexandros Kapravelos 指出，智能体浏览器的安全研究存在一个盲点。此前几乎所有工作都只研究一种威胁：间接提示注入。但智能体浏览器本质上仍是浏览器，它驱动着真实的已认证会话，因此继承了全部传统 Web 攻击的历史——跨站请求伪造（CSRF）、点击劫持（clickjacking）、跨源数据窃取、界面伪装，以及为欺骗人类而设计的各类社会工程手段。作者为这类系统构建了首个面向 Web 的威胁模型，并据此推导出一个涵盖 Web 与 LLM 两个空间的 20 种攻击分类法，其中实现了 18 种。

工作原理

作者将浏览器智能体标准的 See → Act（看见→行动）模型加以扩展，以覆盖浏览器的所有组件，随后把智能体刻画为一个混淆代理（confused deputy）：一个具有特权、却无法可靠区分合法任务步骤与攻击者在页面上植入的指令或界面元素的行为者。正是这一单一属性重新撕开了旧伤口。

现代浏览器花了二十年构筑防御——其中最重要的是同源策略（SOP）——以阻止一个站点代表用户读取或操作另一个站点。一个在多标签页与多会话间运作的 LLM 智能体，可能被不可信的页面内容引导去执行恰恰是这些被禁止的跨源操作，从而实际上绕过了浏览器本应强制执行的边界。论文给出的结果是：一旦智能体能被其所读取的内容影响，10 种 Web 威胁便会重现，且往往被放大。经典 CSRF 需要诱使受害者发出单次伪造请求；而智能体则可能被说服，以「完成任务」之名，在多个源之间串联起大量此类操作。

论文并未把这视为单一模型的怪癖。一项泛化性研究在来自多家厂商的 4 个主流 LLM 上运行了 20 种攻击中的 14 种，发现它们可以复现，这表明问题是范式层面的弱点，而非某个有缺陷的单一产品。研究结论归纳为五大失效模式——智能体浏览器在面对传统 Web 威胁与 LLM 威胁时反复崩溃的方式——作者由此得出结论：这些系统在适配当下的 Web 之前，必须重新架构。

为何重要

对构建者而言，结论令人不安：仅针对提示注入加固智能体浏览器是必要的，但远远不够。攻击面是 LLM 攻击与全部历史 Web 攻击目录的并集，而智能体的自主性把过去依赖用户的利用（受害者必须点击）变成了自动化的利用（由智能体点击）。由于智能体携带着用户的 Cookie 与会话，其影响半径就是这些会话所能触及的一切——邮箱、银行、内部工具。任何在前沿模型之上部署「边浏览边行动」智能体的人都暴露在风险之中，无论选用哪家厂商。

防御

论文的核心处方是架构层面的，而非单一过滤器：

• 对智能体重新施加源边界。 把智能体当作不可信的跨源行为者，对其操作重新施加同源策略式的隔离，而不是任其在标签页、会话与源之间自由穿行。
• 将任务意图与页面内容分离。 混淆代理问题是根因；防御必须为智能体的真实任务提供一条可信通道，并拒绝把不可信页面渲染出的指令或「按钮」当作授权。
• 对改变状态及跨源的操作设卡。 对敏感操作（提交表单、支付、共享、文件访问）要求明确且受限的用户确认，不要因为页面提出请求就让智能体自动完成。
• 测试并集，而非仅测提示注入。 用经典 Web 攻击目录——CSRF、点击劫持、界面伪装、跨源读取——对智能体浏览器进行红队测试，并在多个基础模型上测试，因为这些失效会发生迁移。

状态

项目	详情
披露	arXiv 2605.05509，2026 年 5 月 6 日提交（cs.CR）
作者	S. Datta、A. Nahapetyan、W. Enck、A. Kapravelos
范围	首个面向 Web 的智能体浏览器威胁模型；20 种攻击分类法，实现 18 种
关键发现	10 种早已缓解的 Web 威胁重现（往往被放大）；在 4 个 LLM／多家厂商间可复现；5 大失效模式
缓解	围绕源隔离与混淆代理遏制重新架构智能体，而不仅是过滤提示注入