← 返回 2026-04-16

现实世界威胁下的移动 GUI 智能体:我们准备好了吗? Mobile GUI Agents under Real-world Threats: Are We There Yet?

Guohong Liu, Jialei Ye, Jiacheng Liu, Yuanchun Li, Wei Liu, Pengzhi Gao, Jian Luan, Yunxin Liu 📅 2026-04-14 👍 3 2026-07-13 08:36
Adversarial Robustness Android LLM Security Mobile GUI Agent Prompt Injection

提出 AgentHazard 框架,在 Android 上注入第三方内容攻击,系统性揭示现有移动 GUI 智能体在 42% 误导率下不堪一击。

前置知识

GUI Agent (大模型驱动的图形界面智能体)

基于大语言模型或多模态模型的智能体,通过观察屏幕截图和界面元素树(Android XML hierarchy),经过感知-规划-行动(perception-planning-acting)的循环,自主调用点击、输入等操作完成用户指定任务。典型代表包括 UI-TARS-1.5、M3A、AutoDroid 等。

本论文的核心研究对象就是移动 GUI 智能体,理解其工作循环(屏幕截图 → XML 树 → LLM 推理 → 动作)是理解为什么 10 个 token 的注入内容就能导致任务失败的前提。

Prompt Injection (提示注入攻击)

攻击者通过在模型可读取的外部内容(网页、邮件、聊天记录)中嵌入恶意指令,使 LLM 偏离原本任务、转而执行攻击者指定行为的攻击方式。本文的'误导内容'本质上就是 GUI 智能体场景下的视觉/文本提示注入。

论文的威胁模型建立在这一概念基础上,但将其扩展到移动 GUI 场景,通过修改第三方用户生成内容(如帖子、商品名、联系人消息)而非系统级注入,实现更隐蔽的现实威胁。

Misleading Rate (误导率)

论文提出的关键评估指标:智能体在对抗性环境下,是否执行了攻击者预定义的'错误动作'(误导点击或误导终止)的比例。形式化定义为 MR(π, G) = (1/|E_adv|) Σ I[∃r∈R_attack: (s_t, a_t) |= r],独立于任务成功率。

这是论文最具创新性的指标设计之一——把'被误导'和'任务失败'解耦,因为被误导的智能体仍可能通过后续推理自愈,这一区分对评估鲁棒性至关重要。

Android Accessibility Service

Android 系统提供的辅助功能服务,可监听 UI 状态变化事件(AccessibilityEvent),获取界面元素的文本、位置、属性等信息,本用于无障碍辅助。

论文的 AgentHazard 框架核心就是劫持(hook)Accessibility 事件流,在系统向智能体返回 UI 状态前注入对抗内容,从而实现无 root、无需修改 APK 的实时内容替换。

研究动机

现有 GUI 智能体基准(如 AndroidWorld、Mind2Web、AitW)几乎全部基于静态、干净的应用内容设计——为了保证不同测试间的环境一致性,它们刻意回避真实世界中充斥的第三方内容。这种'温室式'评估严重低估了真实部署风险:现实中移动应用每天展示海量用户生成内容(UGC),包括社交媒体帖子、电商商品描述、邮件、广告、用户消息、个人文件等,而这些内容恰恰可能成为攻击者操纵智能体的攻击面。作者团队通过实际调研发现,既有的攻击研究(如 pop-up 注入、隐藏 HTML 元素、不可见元素等)存在三大致命缺陷:第一,隐蔽性差,98.3% 的浮动弹窗可被 GPT-4o-mini 检测器识别;第二,复杂度低,攻击模式固定单一;第三,在 Android 上可行性差,因系统权限管控严格,弹窗注入与隐藏元素攻击几乎无法由无权限第三方实施。因此,移动 GUI 智能体在'恶意第三方内容'这一真实威胁维度上的鲁棒性评估存在巨大空白。

本文的目标是本文的核心目标是用可复现、可扩展的科学方法,系统性回答'移动 GUI 智能体是否真的准备好应对现实世界威胁'这一问题。具体而言:(1)构建一套面向'无特权第三方内容'威胁模型的安全评估基础设施 AgentHazard;(2)覆盖端到端动态任务执行(122 个可复现任务,12 款应用)和大规模静态场景(3,000+ 攻击样本,33 款商业 App)两种互补的评估模式;(3)在 6 个开源/商业 GUI 智能体 × 5 个主流 LLM 后端的交叉组合上开展综合评测,量化误导率与成功率下降;(4)探索可行的防御方向,为社区提供后续设计指南。

与已有工作不同的是,本文的独特切入角度是'无特权第三方内容威胁模型'——攻击者只能控制应用内合法可写的第三方内容区域(帖子标题、商品名、联系人备注等),不能修改 APK、不能控制系统 UI、不能访问智能体的隐藏状态。这一威胁模型源自 Android 系统级权限控制的现实约束,使得传统弹窗注入、隐藏元素攻击几乎不可行。作者团队提出用运行时插桩(Runtime Instrumentation)而非'模拟'攻击内容的方式,直接在真实 Android 应用上注入对抗字符串,既保证攻击可行性,又通过渲染在原生组件覆盖层之上保持高隐蔽性(检测率仅 37.9%,对比弹窗 98.3%),从根本上弥合了既有研究的'可行性-隐蔽性-复杂性'三角缺口。

核心方法

AgentHazard 的整体思路是先解决'怎么稳定可复现地发起移动 GUI 攻击'这一工程难题,再基于此基础设施构建一套双轨评估套件。直觉上,如果我们要系统测试智能体被第三方内容欺骗的概率,最直接的办法就是在真实 App 上注入对抗文本——但真实 App 的内容由推荐算法、用户历史、网络延迟共同决定,极不稳定,且大量是良性内容。论文的解法是构建一个 Android 应用(称为 GUI 劫持模块),它注册为 Accessibility Service 监听 UI 状态转换,在智能体请求 UI 状态时,根据预加载的 JSON 攻击配置,把目标屏幕上的指定元素实时替换为对抗文本(同时同步修改截图和 XML 元素树),从而把'模拟对抗内容'转化为'精准投放到真实 App 界面'。整个框架分两层:底层是劫持与攻击模块,负责内容注入与动作记录;上层是评估套件,包括动态任务执行环境和静态状态-规则数据集。

核心创新点是'针对无特权第三方内容通道的运行时内容插桩'。和已有方法的本质区别在于:第一,攻击表面从'系统级 UI 控件'(弹窗、悬浮窗)转移到'应用内容区域'(帖子、商品名),后者是任何注册用户都能合法写入的地方,因此威胁模型更贴近现实;第二,实现机制是 Accessibility Service 级别的运行时替换而非 APK 重打包或 root 提权,因此部署门槛低、可在标准 AVD 上运行;第三,攻击内容与原 UI 元素共享渲染样式(字体、颜色、对齐),保证视觉一致性,使得外部检测器难以区分;第四,配套定义了'误导率'指标,把'被误导动作'和'任务失败'解耦,这是评估智能体鲁棒性而非简单准确率的关键。

方法步骤详情

动态环境构建与运行的具体步骤如下:第一步,从 12 款开源 Android 应用(Markor、Broccoli、Pro Expense、Tasks、Simple Calendar Pro 等)中筛选 122 个可复现的任务,每个任务对应一个用户目标(如'在 Markor 中合并指定笔记');第二步,人工标注员为每个任务设计'攻击配置'(Target Screen Configuration),包括 packageName、activityName、触发条件(allow/deny 列表)、目标元素定位器(resource-id/text/class)以及要注入的对抗文本字符串及渲染属性(fontSize、backgroundColor、textColor);第三步,部署 AgentHazard 的 GUI 劫持模块(打包为 app-release.apk),启动监听 Accessibility 事件;第四步,智能体进入'感知-规划-行动'循环:每一步发出 UI 状态请求,劫持模块匹配当前 screen 与攻击配置,若条件满足则将对抗文本渲染覆盖在目标元素之上,并同步修改返回给智能体的 XML 元素树(s_t = (v_t, T_t));第五步,动作判定模块维护两类误导规则 R_attack——r_click:点击坐标落在攻击者指定区域 R_target 即判为误导点击,r_terminate:智能体选择 terminate 动作即判为误导终止;第六步,episode 终止后,系统根据 R_success 判定任务是否成功,并独立统计误导率 MR 与成功率下降 ΔSR。静态数据集则进一步把每个 (s, R_attack, R_success) 元组解耦,使用 LLM(GPT-4o/Claude)按提示模板自动生成对抗文本,平均长度仅 10 tokens,使大规模离线评测可行。

技术新颖性

技术新颖性体现在三个层面:其一,工程层面,首次实现不依赖 root、不重打包 APK 的真实 Android 应用内容插桩,使用 UiAutomator Selector 做精确元素定位,支持 allow/deny 条件触发器,确保攻击内容只出现在上下文匹配的 UI 状态;其二,概念层面,把'第三方合法写入区域'作为独立威胁面,与系统级攻击(弹窗、HTML 注入)区分,定义了更真实的移动威胁模型;其三,评测层面,把误导率 MR 从成功率 SR 中解耦——这是评估智能体'是否会被带偏'而非'是否完成任务'的关键,使得即便任务最终成功也能捕捉中间步骤的脆弱性,同时静态数据集+LLM 自动生成对抗文本的 pipeline 解决了'真实 App 内容稀疏且不稳定'的难题,使 3,000+ 场景的大规模评测成为可能。

Overview of the AgentHazard framework.
Figure 2: Overview of the AgentHazard framework.
Configuration pattern of one target screen, with two target elements to be modified.
Figure 3: Configuration pattern of one target screen, with two target elements to be modified.
Examples of attack content generated by LLM and rendered on the screenshot.
Figure 10: Examples of attack content generated by LLM and rendered on the screenshot.

实验结果

实验在 6 个 GUI 智能体(M3A、T3A、AutoDroid、Aria UI、UGround、UI-TARS-1.5)和 5 个 LLM 后端(GPT-4o、GPT-4o-mini、Claude-4-sonnet、DeepSeek-V3、DeepSeek-R1、GPT-5)上展开,核心发现有以下几点。发现一:在动态环境下,所有智能体在平均仅 10 tokens 的对抗内容下平均误导率达 42.0%,其中 M3A@GPT-4o 成功率达 47.4% 但误导率高达 50.5%,M3A@GPT-4o-mini 误导率甚至达到 59.0%,UGround@GPT-4o 成功率下降 31.1 个百分点(从 46.7% 降至 15.6%),AriaUI@GPT-4o-mini 误导率达 59.0%——这说明单纯追求 SR 的优化反而扩大了被攻击面。发现二:唯一商用移动智能体 UI-TARS-1.5 表现明显更优,SR 55.3% 几乎不下降(ΔSR 仅 2.9),误导率仅 8.8%,证明面向 GUI 的领域微调对提升鲁棒性有实质效果。发现三:视觉模态反而放大脆弱性——静态数据集上 GPT-4o-mini 在 text 模态下 MR 为 53.8%,在 vision 模态下升至 60.5%,在 multi-modal 模态下飙升至 72.6%,SR 暴跌至 13.5%;GPT-5 也呈现同样的递增(11.5% → 16.6% → 24.5%),说明模型对视觉对抗信息的识别能力弱于文本。发现四:攻击在 LLM 间可迁移,平均 MR 普遍超过 30%,Claude-4-sonnet 表现最佳(平均 MR 11.2%),DeepSeek 系列次之(29.8%–33.7%),GPT-5(17.5%)已接近 Claude 水平,显著优于 GPT-4o(53.9%)和 GPT-4o-mini(62.3%),说明鲁棒性是当前 LLM 的共性短板而非个别缺陷。发现五:攻击类型敏感度差异显著——GPT-4o 对 terminate 攻击更敏感(MR 67.8% vs click 37.3%),Claude-4-sonnet 反过来对 click 更敏感(22.8% vs terminate 6.0%),反映了训练数据与对齐策略差异。发现六:混合攻击(Mixed Actions,3 个误导元素含 click+terminate)威力最大,M3A@4o 的 MR 达到 83.3%,远超单一类型。发现七:简单对抗训练不足以根治——对 Qwen-2.5-VL-7B 做 LoRA 微调(rank=8, 4×A100, 1 epoch),Adv SFT 把 MR 从基线的 61.5% 降至 30.6%,但仍处于高位;值得注意的是 Benign SFT 反而把 MR 推高至 74.6%,注意力可视化显示其注意更集中、更容易被定向误导(图 7)。

Evaluation results with different agent settings of AgentHazard dynamic environment benchmark.
Table 1: Evaluation results with different agent settings of AgentHazard dynamic environment benchmark.
Evaluation results on AgentHazard static dataset. We select different backbone LLMs and evaluate their performance on static dataset, with different modalities.
Table 2: Evaluation results on AgentHazard static dataset. We select different backbone LLMs and evaluate their performance on static dataset, with different modalities.
Evaluation results on adversarial training against misleading content attacks.
Table 3: Evaluation results on adversarial training against misleading content attacks.
Detailed Application List of Our Benchmark.
Table 4: Detailed Application List of Our Benchmark.
Examples of adversarial strings generated.
Table 5: Examples of adversarial strings generated.
Stealthiness comparison between attacks based on popup windows and our framework.
Table 6: Stealthiness comparison between attacks based on popup windows and our framework.
Performance comparison of different backbone LLMs.
Figure 4: Performance comparison of different backbone LLMs.
LLM evaluation results on different misleading actions in static dataset.
Figure 5: LLM evaluation results on different misleading actions in static dataset.
Comparison of misleading rates across different numbers of misleading elements.
Figure 6: Comparison of misleading rates across different numbers of misleading elements.
Attention visualization across different types of training.
Figure 7: Attention visualization across different types of training.
Token length distribution of misleading content in AgentHazard dynamic and static parts.
Figure 9: Token length distribution of misleading content in AgentHazard dynamic and static parts.
查看结构化数据
任务指标本文基线提升
移动 GUI 动态任务执行(M3A@GPT-4o) Misleading Rate (MR, ↓) 50.5% 无攻击环境下 MR=0%(理想基线) 无改善,反而暴露出严重脆弱性
移动 GUI 动态任务执行(UGround@GPT-4o) Success Rate Drop (ΔSR, ↓) 31.1 个百分点(从 46.7% → 15.6%) 良性任务成功率 46.7% 降幅接近 2/3,严重退化
静态数据集-多模态(GPT-4o-mini) Misleading Rate (MR, ↓) 72.6% 文本模态下 MR=53.8% MR 比文本模态上升 18.8 个百分点,视觉模态脆弱性加剧
静态数据集-多模态(GPT-4o-mini) Adversarial Success Rate (SR_adv, ↑) 13.5% 良性 SR=52.6% SR_adv 较良性下降 39.1 个百分点
商用智能体鲁棒性(UI-TARS-1.5) ΔSR / MR ΔSR=2.9, MR=8.8% 通用 LLM 后端平均 ΔSR=13.6, MR=42.0% MR 比通用后端低 33 个百分点,ΔSR 低 10 个百分点以上
LLM 跨后端鲁棒性(Claude-4-sonnet) 平均 Misleading Rate (↓) 11.2% GPT-4o 53.9%, GPT-4o-mini 62.3% 比 GPT-4o 系列低 40+ 个百分点,接近 Claude 自身水平
对抗训练防御(Qwen-2.5-VL-7B) Misleading Rate (↓) Adv SFT: 30.6% No SFT: 61.5%, Benign SFT: 74.6% MR 较无训练降低 30.9 个百分点,但仍处于较高水平

局限与改进

作者在文中明确承认的局限性包括三点:第一,框架不支持 UI 元素内的图片修改(图像嵌入攻击是另一个潜在攻击面);第二,基准覆盖的应用与动作类型有限,主要覆盖 12 款开源应用和 33 款商业应用,且仅评估误导点击与误导终止两类基础动作,无法穷举所有可能的恶意后果(隐私泄露、金融欺诈、重定向到钓鱼站点等);第三,无法声称穷尽所有对抗内容模式,3,000+ 场景只是基线测量,实际攻击空间更大。作者自己的观察还显示,虽然视觉模态引入明显放大脆弱性,但视觉编码层面的具体原因(信息密度 vs UI 设计偏重视觉显著性)尚未被严格分离;同时,Benign SFT 反而使 MR 上升至 74.6% 这一反直觉现象(注意力更集中→更容易被定向误导)提示训练数据偏差可能加剧脆弱性,需要更系统的研究。

独立分析的弱点

独立审视论文,有以下值得关注的弱点及对应改进方向。弱点一:威胁模型仅考虑'内容文本注入',未覆盖图像、音频、视频等多模态对抗内容——比如被篡改的商品图片或头像,可能绕过纯文本检测器,改进方向是把 Accessibility Service 注入扩展到图像替换(如 OCR 注入或图像哈希替换)。弱点二:误导动作仅建模 click 和 terminate 两类,不能覆盖更复杂的'误导文本输入'(如让智能体把密码发给攻击者)或'误导逻辑推理链'(如分多步引导智能体泄露隐私),改进方向是引入多步诱导式攻击与基于 LLM 的逆向任务合成。弱点三:静态数据集的对抗内容由 LLM 自动生成,虽然高效但缺乏对人类真实攻击者创造力的模拟,LLM 生成的对抗文本可能存在风格同质化(都是'XXX 已禁用'式的系统通知风),改进方向是引入对抗性人类研究或多模态生成模型扩展攻击多样性。弱点四:评估场景以单条注入为主,真实场景可能是多条对抗内容协同(论文 Figure 6 虽涉及混合攻击但仅 18 个任务),改进方向是把多元素联合攻击纳入标准化基准。弱点五:鲁棒性差异分析未控制训练数据分布——Claude-4-sonnet 与 GPT-5 更鲁棒可能源自 RLHF 偏好,而非内生推理能力,改进方向是开展受控消融实验,把'训练范式'作为独立变量。

未来方向

作者提出的未来方向有三:(1)改进识别能力,LLM 需在视觉模态上提升对对抗内容的甄别,可借鉴 UI 语义先验或离线探索机制积累界面组件知识;(2)UI 信任建模,为不同来源(系统、第三方、用户输入)的 UI 区域建立动态信任分,据此加权决策而非等同视之;(3)不确定性感知动作选择,智能体应在低置信度时主动询问用户或拒绝执行高风险操作。基于研究结果可延伸的方向还包括:操作系统层面的源标注 API(让 App 开发者标注 GUI 元素的来源/权限元数据)、智能体感知的安全 OS(区分人类与智能体的动作权限边界)、对抗性人类研究(招募红队构造真实攻击样本)、跨平台扩展(把 AgentHazard 框架迁移到 iOS/Web/桌面)以及将'误导率'纳入主流 GUI 智能体排行榜(如 AndroidWorld)作为与 SR 并列的核心指标。

复现评估

复现评估方面表现优秀:论文承诺开源所有代码与数据(agenthazard.github.io),许可证为 CC BY-NC-ND 4.0(论文)+ MIT(代码);代码组织为 code/android_world(动态环境)+ code/AgentHazard(静态评估)+ code/mitigation-training(对抗训练),并提供完整的 .sh 脚本与 CLI 工具。数据集包括 122 个动态任务配置和 3,000+ 静态场景,以及预编译的 APK(app-release.apk)和评估任务压缩包(data/exp.7z)。环境依赖明确:Ubuntu 22.04 + Python 3.11+ + Android SDK API Level 33;动态评估需 AVD + 2×24GB 3090 GPU,静态评估仅需 OpenAI/Anthropic/DeepSeek API Key;对抗训练需 4×80GB A100。模型版本明确标注(gpt-4o-2024-11-20, gpt-4o-mini-2024-07-18, deepseek-r1-250528 等)。所有结果均跑两轮取平均以减少 LLM 随机性。复现难度:静态部分较易(纯 Python + API,3 小时可完成),动态部分中等(需配 AVD + 多智能体后端,约 6 小时+),对抗训练较复杂(需 A100 集群与 ms-swift 框架)。整体开源程度与文档完整度处于系统类论文的较高水平,社区可直接基于此基准持续跟踪后续智能体的鲁棒性进展。