系统:运行中
← 返回所有攻击
DEFENSE MEDIUM NEW

跨站提示:威胁 Web 智能体的“XSS 式”攻击面

加州大学伯克利分校的一篇论文为 Web 智能体版的 XSS 命名——跨站提示(XSP),并提出一个系统级封闭层,在不改动网站的前提下将攻击成功率从 85.5% 降至 0.7%。

2026-07-15 // 6 min affects: web-agents, browser-agents, llm-agents, autonomous-browsing-agents

这是什么?

2026 年 7 月 9 日,加州大学伯克利分校的研究者发表论文,提出了跨站提示(Cross-Site Prompting,XSP)这一概念,以及一种名为 Prismata 的防御方案。XSP 指的是自主浏览器智能体从开放 Web 继承而来的一类威胁:一个正常网站会把发布者生成的可信内容与不可信的第三方内容——产品评论、广告、用户留言——混在一起,而攻击者会在这些不可信区域里植入自然语言指令。当 Web 智能体为完成任务而读取页面时,就可能听从被植入的指令:在评论中回复并附上用户的银行卡信息,或者重置某个账户的密码。

作者有意将这一威胁描述为跨站脚本(XSS)在智能体一侧的对应物。这一类比不止于修辞:XSS 在数十年前就证明了在同一页面上交织可信与不可信内容是危险的,而 XSP 让同样的问题以一种经典修复手段不再适用的形式重新浮现。本文只总结其防御性贡献,不含任何可复用的攻击载荷,因为论文的价值在于封闭模型,而非注入本身。

工作原理

XSS 的防御之所以无法直接迁移,是因为 XSP 的载荷并非可执行代码,而是自然语言和图像:输入过滤器无法区分指令与数据,不可信的外部内容也无法简单地与模型上下文隔离。

论文的核心观察被作者称为Web 纠缠问题(web entanglement problem)。对于使用工具的智能体,“发送邮件”这类动作具有固定且可验证的语义。而对于 Web 智能体,同一个 click(id) 可能完成一笔购买、回复攻击者的评论,或与一条赞助广告交互——承载安全含义的是页面结构,而非动作本身。要推导出安全策略,防御方必须对这一结构进行推理,但该结构又与它试图控制的不可信内容相互纠缠;因此推理这一行为本身,又把防御重新暴露在被操纵的风险之下。

Prismata 用两个思路化解这一难题。动态信任推导会追踪从 DOM 根节点到每个可交互元素的关键路径;作者在 1,500 多个最热门站点、90,000 多个不可信内容实例上测量后发现,仅有 1.2% 的不可信内容真正位于这类路径之上——大多数注入根本到不了打标决策环节。对于剩余情形,他们借用 1977 年 Biba 完整性模型的“禁止向下读、禁止向上写”规则,在不可信文本进入上下文之前识别结构边界——例如“Reviews”这样的标题、aria-label 属性、review-card 这样的类名。随后,机械封闭根据所得标签删改内容,并将智能体允许执行的动作限制在任务范围之内。以上两步都无需网站开发者做任何标注。

为何重要

Web 智能体正从演示走向日常使用,并且以用户已认证的会话身份行事:它们可以下单、发消息、修改设置、转移资金。因此,通过页面内容进行的间接注入就成了通往数据外泄与账户接管的直接通道,而不只是一个错误答案。

论文背后一个令人不安的结论是:模型层防御——训练模型去抵抗注入——一再被自适应攻击绕过,而现有多数 Web 智能体防御恰恰属于这种信任模型的类别。基于来源的控制(只读域名)和像 CaMeL 那样的预先规划方案,要么过于粗粒度,要么在依赖数据的浏览任务上举步维艰。把 XSP 命名为一个类别,能让防御者独立于任何具体投递手法,对整个攻击族进行推理。

防御建议

论文自身给出的处方是上下文最小权限:同时约束智能体能看到什么它能做什么,并以任务为界,把这一约束落在浏览器与智能体之间的系统层,而不是寄望于模型自觉行事。在其 WebArena 评测中,配合 WASP 与自适应压力测试,该方法将平均攻击成功率从 85.5% 降至 0.7%,把受攻击时的任务完成率从 4.5% 提升到 23.0%,而对正常效用的代价不大(任务成功率从 29.9% 变为 26.6%)。

有三点经验超出了这一具体系统。其一,应把任何 Web 智能体动作都视为需要一个基于页面结构的授权决策,而非基于模型对它刚读到文本的判断。其二,按任务限定能力:一个被要求购买领结的智能体,就不应存在通往密码重置或私信的路径,超出范围的按钮应在设计上被禁用。其三,网站运营方通过遵循让信任边界显式化的 Web 卫生实践——语义化标题、无障碍标签、清晰的容器类名——来降低用户暴露面;在该研究中,这将未覆盖的残余路径从约 0.1% 降至 0.017%。

状态

项目详情
类型学术研究(防御方案),并非产品漏洞
来源arXiv:2607.08147v1 [cs.CR],2026 年 7 月 9 日发表(加州大学伯克利分校)
威胁类别跨站提示(XSP)——经不可信页面内容的间接提示注入
防御Prismata:通过动态信任推导 + 机械封闭实现的上下文最小权限
报告效果攻击成功率 85.5% → 0.7%;效用 29.9% → 26.6%(WebArena / WASP)
CVE无——不针对特定产品缺陷

Sources