← 返回 2026-02-17

SPILLAGE:Web智能体的过度信息泄露问题研究 SPILLage: Agentic Oversharing on the Web

Jaechul Roh, Eugene Bagdasarian, Hamed Haddadi, Ali Shahin Shamsabadi 📅 2026-02-13 👍 0 2026-07-13 08:35
LLM安全 Web智能体 信息泄露 行为分析 隐私保护

揭示Web智能体在任务执行中通过行为模式过度泄露用户隐私的系统性问题

前置知识

情境完整性

情境完整性是一个评估信息流动是否恰当的框架,由Nissenbaum在2004年提出。该框架认为,信息流动是否合适取决于三个参数:涉及的参与者(发送者、接收者、主体)、传输的信息类型、以及支配信息流动的原则。在Web智能体场景中,当用户委托购物任务给智能体并授予其访问个人资源的权限时,用户期望特定的传输原则:智能体应该只传达完成任务所需的信息。

本文基于情境完整性理论来定义和评估Web智能体是否尊重用户的隐私期望,理解这个概念对于识别什么是合理的、什么是不合理的泄露至关重要。

Web智能体

Web智能体是由大语言模型驱动、能够在开放网络上自动化执行任务的系统。与仅在受控聊天机器人环境中回答问题的标准LLM不同,Web智能体在野外行动,与第三方交互并留下可观测的行动轨迹。它们接收用户指令,访问用户资源(如邮件、日历),并与实时动态的网页环境交互来完成从信息检索到交易执行的各种任务。

本文的核心研究对象就是Web智能体,理解其工作原理和与传统聊天机器人的区别是理解其独特隐私风险的基础。

被动观察者

被动观察者是指监控智能体可观测行为的第三方。与假设有prompt注入或恶意站点行为的对抗性威胁模型不同,本文中的观察者是严格被动的。观察者可以记录智能体的可观测操作,但无法访问用户的原始请求、智能体的内部推理,也不能修改网站内容来操纵智能体的行为。网站操作员记录服务器端请求或客户端JavaScript分析脚本记录页面浏览、点击、滚动等都可以扮演观察者的角色。

本文研究的就是在非对抗性场景下,Web智能体如何向被动的第三方观察者泄露用户隐私信息。

研究动机

现有方法在评估Web智能体隐私保护方面存在严重的局限性。首先,大多数工作只关注文本泄露,即检测智能体是否在生成的文本中直接包含敏感信息(Zharmagambetov等,2025;Shao等,2025;Liao等,2025)。这种方法完全忽略了行为泄露,即智能体通过点击、滚动、导航模式等行为所泄露的信息。其次,现有研究主要在对抗性场景下评估泄露(如prompt注入或恶意站点行为),并将其视为一个二元检测结果。然而,在非对抗性场景下,Web智能体可能通过四种不同方式泄露信息:直接显式地输入到文本字段、隐式地通过语义推断泄露、直接显式的行为操作、以及隐式的行为模式观察。更重要的是,传统LLM隐私评估只关注生成的文本,但Web智能体不仅生成文本,还会执行操作——点击、滚动、导航和选择过滤器。每个操作都是网站可观测的,创造了独立于文本的行为轨迹来揭示信息。如图1所示,一个智能体可能不会直接输入离婚状态,但通过浏览单身母亲类别的产品,其导航模式就向观察者泄露了用户的婚姻状况。

本文的目标是本文的具体目标是系统性地评估Web智能体在代表用户在实时网站上执行任务时,是否能够有效保护和尊重用户隐私期望。具体来说,作者希望回答:Web智能体在处理包含任务相关和任务不相关信息混合的用户请求时,如何处理用户资源?它们是否会不恰当地向外部观察者泄露任务无关信息?这种泄露通过什么渠道发生、以什么形式呈现?以及如何设计框架和防御机制来减少这种隐私泄露?通过建立系统性的评估框架和大规模实验,本文旨在揭示Web智能体隐私风险的全貌,为构建隐私-效用对齐的Web智能体奠定基础。

与已有工作不同的是,本文的独特切入角度在于首次将个体在线行为中的过度分享概念(Agger,2012)翻译到代表用户行事的自主Web智能体上。与现有工作的关键区别在于:本文关注非对抗性场景下的过度分享,即来自智能体自身在实时网站上的任务执行行为,而不是外部攻击或平台配置错误;本文建立了2×2分类法来同时捕捉内容和行为两个渠道的泄露,以及显式和隐式两种直接程度;本文在实时网站(Amazon和eBay)上进行评估,而不是在模拟的文本环境中;本文提出了步骤级别的检测方法,可以系统性地、细粒度地测量泄露风险。这个多维度的视角揭示了现有方法遗漏的关键盲点:虽然之前的工作关注文本泄露,但Web智能体也会通过点击、滚动和导航模式进行行为泄露,这可以被监控。

核心方法

SPILLAGE框架的核心思想是将Web智能体的过度分享问题形式化为一个2×2分类法。这个分类法沿着两个正交维度来刻画过度分享:直接程度(显式vs隐式)和渠道(内容vs行为)。直接程度维度捕捉泄露信息的可恢复性——显式泄露意味着任务无关信息$s_{irrelevant}$逐字出现在智能体的操作中(例如在搜索栏输入glucose test strips for recently divorced women),而隐式泄露意味着$s_{irrelevant}$是可推断的但未逐字陈述(例如反复输入blood glucose for single mom暗示了离婚状态)。渠道维度区分信息如何泄露——内容泄露通过文本内容输入(搜索查询、表单条目),行为泄露通过行为导航操作(点击、过滤器、滚动)。交叉这两个维度产生了四种不同的过度分享类别:显式内容(CE)、隐式内容(CI)、显式行为(BE)、隐式行为(BI)。框架建立后,作者构建了第一个在实时网站上评估过度分享的基准,跨越两个实时电商网站(Amazon和eBay),设计了180个任务,并通过步骤级别的LLM-Judge检测过度分享事件。

核心创新点是建立了SPILLAGE(Systematic Patterns of Implicit & Loud Leakage in web AGEnts)框架,这是第一个同时捕捉内容和行为泄露、显式和隐式形式的分类法。与仅关注文本泄露或仅关注显式泄露的现有工作不同,SPILLAGE提供了全面的多维度视角。这揭示了三个关键洞察:第一,行为泄露比内容泄露更严重——在Amazon上使用Browser-Use时,gpt-4o产生了905次行为泄露事件,而内容泄露只有182次,相差5倍。第二,框架设计重新分配但不会消除风险——Browser-Use的细粒度操作空间产生更长的轨迹和更多泄露机会,而AutoGen将任务压缩到更少步骤但表现出更高的每步泄露率。第三,隐私和效用是对齐的——移除任务无关信息实际上可以将任务成功率提高最多17.9%,表明实现高Web智能体效用不需要承受过度分享。

方法步骤详情

SPILLAGE方法的完整流程包括四个主要步骤。第一步是形式化问题,定义三个参与方:用户U提供包含用户请求和访问用户资源R的用户提示P,资源R包含任务相关信息$S_{relevant}$和任务无关信息$S_{irrelevant}$;Web智能体W在用户 behalf上在Web环境中执行任务,其与Web环境的交互产生Web行动轨迹$A = \{a_1, a_2, ..., a_n\}$;被动观察者O监控智能体的可观测操作以测量自然过度分享。第二步是建立分类法,定义四种过度分享类别C = {CE, CI, BE, BI},其中C和B表示基于内容和行为的过度分享,下标E和I分别指显式和隐式形式。第三步是创建基准数据集,作者通过三阶段过程构建合成用户personas:首先定义购物任务并生成10个用户属性,然后手动将这些属性划分为$S_{relevant}$和$S_{irrelevant}$,最后将每个persona渲染为三种提示样式(chat、email、generic)。第四步是审计过度分享,使用步骤级别的LLM-Judge(gpt-4o-mini)检查每个执行步骤的操作、状态/内存更新,以检测过度分享事件,产生跨越数千个智能体轨迹的步骤级别注释,实现系统性、细粒度的过度分享风险测量。

技术新颖性

SPILLAGE的技术新颖性体现在多个方面。首先,这是第一个同时覆盖内容和行为两个泄露渠道的框架——表5显示,现有工作要么只关注内容要么只关注行为,要么只关注显式要么只关注隐式,很少同时考虑。其次,这是第一个在实时网站上评估所有四种过度分享类型的工作,而不是在模拟环境中。第三,提出了步骤级别的检测方法,使用LLM-based evaluator(gpt-4o-mini)来自动化审计过程,为每个操作输出结构化JSON,包含类别c、涉及的属性s、证据和推理。第四,建立了第一个在实时网站上评估过度分享的基准,包含180个任务和ground-truth注释区分任务相关和任务无关属性。第五,揭示了隐私和效用的对齐关系——移除任务无关信息不仅保护隐私,还提高了任务成功率。最后,进行了商业Web智能体的实证研究,发现Perplexity Comet在多个实例中直接将用户对话的大段粘贴到第三方搜索界面,泄露敏感个人信息(如创伤历史、药物使用、雇主详情),而Brave AI Browsing和ChatGPT Atlas始终完成任务且不披露任务无关或敏感的用户信息。

SPILLAGE framework overview. Top: A user grants the agent access to resources containing both task-relevant (green) and task-irrelevant (red) information alongside a shopping request. Bottom: Four oversharing channels illustrated on Amazon.
Figure 1: SPILLAGE framework overview. Top: A user grants the agent access to resources containing both task-relevant (green) and task-irrelevant (red) information alongside a shopping request. Bottom: Four oversharing channels illustrated on Amazon.
SPILLAGE information flow. The user U provides a user prompt P consisting of two components: a user request (task instruction) and access to user resources R containing both task-relevant ($S_{relevant}$) and task-irrelevant ($S_{irrelevant}$) information.
Figure 2: SPILLAGE information flow. The user U provides a user prompt P consisting of two components: a user request (task instruction) and access to user resources R containing both task-relevant ($S_{relevant}$) and task-irrelevant ($S_{irrelevant}$) information.
SPILLAGE Taxonomy. Formalizes four types of oversharing as a 2 × 2 categorization across two dimensions: channel (Content vs. Behavioral) and directness (Explicit vs. Implicit).
Figure 3: SPILLAGE Taxonomy. Formalizes four types of oversharing as a 2 × 2 categorization across two dimensions: channel (Content vs. Behavioral) and directness (Explicit vs. Implicit).

实验结果

大规模实验揭示了三个关键发现。第一,过度分享是普遍存在的:gpt-4o基础的智能体仅在Amazon上就 committed 1,151次显式行为过度分享。过度分享在每个配置中都发生,Browser-Use产生更高的绝对次数(在Amazon上使用gpt-4o为1,251次),由于其更长的Web行动轨迹,而AutoGen产生较少的次数但更高的每步过度分享率。Amazon在所有设置中始终比eBay产生更多过度分享。第二,行为泄露比内容泄露严重得多——在Amazon上使用Browser-Use时,gpt-4o产生了905次行为泄露事件对比182次内容泄露事件(相差5倍);在eBay上使用AutoGen时,342次对比46次(相差7倍)。Amazon上的行为泄露率在Browser-Use下达到0.326 [0.257, 0.395],在AutoGen下达到0.610 [0.444, 0.786]。第三,隐私和效用是对齐的:在智能体执行之前从用户请求中手动移除所有$S_{irrelevant}$,可以将任务成功率提高最多+17.9%(在Amazon的generic prompt下Browser-Use从73.4%提高到99.4%),两者在Amazon和eBay的大多数提示样式上都达到了近乎完美的准确性。有趣的是,当在系统提示中添加明确的避免任务无关属性指令时,过度分享率反而增加,定性分析表明强调task-irrelevant可能会增加其在模型推理中的显著性,导致更长的Web行动轨迹和更多过度分享机会。对于隐式过度分享,gpt-4o产生了比o3多一个数量级的隐式过度分享(在Amazon上内容泄露325次对比12次,行为泄露45次对比8次),这可能是因为更强的模型能够推断$S_{irrelevant}$相关概念、通过包含未请求的偏好来预见用户需求,以及在多步推理中维护详细的上下文摘要来传播$S_{irrelevant}$。

Explicit oversharing on Amazon with gpt-4o. Browser-Use generates higher volume (905 behavioral), while AutoGen exhibits higher per-step rates.
Table 1: Explicit oversharing on Amazon with gpt-4o. Browser-Use generates higher volume (905 behavioral), while AutoGen exhibits higher per-step rates.
Explicit oversharing on eBay with gpt-4o. AutoGen shows higher behavioral oversharing (342 total), while Browser-Use exhibits lower overall volume.
Table 2: Explicit oversharing on eBay with gpt-4o. AutoGen shows higher behavioral oversharing (342 total), while Browser-Use exhibits lower overall volume.
Implicit oversharing on Amazon and eBay using Browser-Use with gpt-4o. Amazon exhibits higher implicit content oversharing than eBay.
Table 3: Implicit oversharing on Amazon and eBay using Browser-Use with gpt-4o. Amazon exhibits higher implicit content oversharing than eBay.
Utility performance after removing all task-irrelevant information from the prompt. Both Browser-Use and AutoGen improve compared to their respective baselines.
Table 4: Utility performance after removing all task-irrelevant information from the prompt. Both Browser-Use and AutoGen improve compared to their respective baselines.
Comparison with prior privacy evaluation frameworks for web agents.
Table 5: Comparison with prior privacy evaluation frameworks for web agents.
Illustrative oversharing examples grounded in the SPILLAGE taxonomy.
Table 12: Illustrative oversharing examples grounded in the SPILLAGE taxonomy.
Overall oversharing occurrences for AutoGen and Browser-Use across three styles (Chat, Email and Generic) on Amazon and eBay, grouped by model (gpt-4o, o3, o4-mini).
Figure 4: Overall oversharing occurrences for AutoGen and Browser-Use across three styles (Chat, Email and Generic) on Amazon and eBay, grouped by model (gpt-4o, o3, o4-mini).
Examples of responses from Brave AI Browsing and ChatGPT Atlas when prompted with persona-rich shopping queries.
Figure 11: Examples of responses from Brave AI Browsing and ChatGPT Atlas when prompted with persona-rich shopping queries.
Examples of oversharing occurrences using Perplexity Comet Browser Assistant.
Figure 12: Examples of oversharing occurrences using Perplexity Comet Browser Assistant.
查看结构化数据
任务指标本文基线提升
Explicit Behavioral Oversharing (Amazon, gpt-4o, Browser-Use, generic prompt) Oversharing Rate 0.626 [0.257, 0.395] N/A (first-of-its-kind benchmark) N/A
Task Success (Amazon, Browser-Use, generic prompt) Accuracy (%) 100.0 (+10.7% after removing irrelevant info) 89.3% (before sanitization) +10.7%
Task Success (Amazon, Browser-Use, chat prompt) Accuracy (%) 100.0 (+17.9% after removing irrelevant info) 82.1% (before sanitization) +17.9%
Implicit Content Oversharing (Amazon, gpt-4o, Browser-Use) Oversharing Rate 0.110 N/A N/A
Explicit Content Oversharing (Amazon, gpt-4o, AutoGen, generic prompt) Oversharing Rate 0.009 N/A N/A

局限与改进

本文存在三个主要局限性。首先,作者专注于OpenAI模型,这些模型目前驱动大多数部署的Web智能体;扩展到其他模型家族可能会揭示不同的过度分享模式。作者通过对商业Web智能体的定性研究(Brave AI Browsing、ChatGPT Atlas和Perplexity Comet)来补充这一点,发现生产系统在隐私保护方面差异很大。其次,180个任务针对电子商务,选择它是因为$S_{relevant}$和$S_{irrelevant}$的自然混合以及丰富的交互表面;分类法本身可以推广到其他领域,如医疗保健、法律服务、旅行预订和金融领域。任何智能体代表用户在外部网站上导航的领域(如房地产搜索、旅行预订、医疗保健门户或求职申请)都表现出类似的过度分享风险,可以使用相同的分类法和方法论进行评估。第三,作者将智能体限制在单网站会话中,而生产部署通常跨越多个域。跨站点行动轨迹将通过第三方跟踪器实现更丰富的推断攻击。此外,LLM-Judge评估器可能存在评估偏见或漏检,虽然作者使用gpt-4o-mini并设计了详细的评估标准,但LLM-based评估的局限性仍然存在。

独立分析的弱点

独立分析显示,SPILLAGE框架虽然全面,但在某些方面仍有改进空间。首先,当前的分类法假设被动观察者只能观测操作轨迹,但现实中的观察者可能通过更复杂的技术(如时序分析、跨站点关联、元数据挖掘)推断更多信息。论文提到了网络层面的trait推断工作(Jeong等,2026),但未将其纳入框架。其次,LLM-Judge评估器虽然有效,但存在成本高、速度慢的潜在问题,对于生产环境中的实时监控可能不适用。需要探索更轻量级的检测机制或混合方法。第三,论文主要关注单站点场景,但生产中的Web智能体通常会跨多个域执行任务,跨站点行动轨迹可以通过第三方跟踪器实现更丰富的推断攻击。未来的研究应该扩展到多站点场景,研究跨域推断的累积风险。第四,论文的防御方向相对初步,主要探讨了输入阶段过滤,但对于行为泄露和隐式泄露的防御机制设计还不够深入。最后,论文虽然分析了三个模型(gpt-4o、o3、o4-mini)的差异,但对于如何针对不同模型特性设计特定防御措施的研究还不够充分。

未来方向

作者提出了有价值的未来研究方向。首先,输入阶段过滤已经证明有效,但还需要探索更精细化的过滤机制,而不仅仅是移除所有任务无关信息。可能的改进方向包括:开发上下文感知的过滤系统,能够根据任务动态判断哪些信息是相关的;探索差分隐私技术,在保护隐私的同时保留有用信息;研究用户可配置的隐私策略,让用户自己决定哪些信息可以被使用。其次,需要探索操作级别的监控机制,因为行为泄露比内容泄露严重5倍,所以仅文本过滤是不够的。可能的方向包括:开发实时的行为分析系统,检测异常的导航模式;设计操作级别的隐私预算机制,限制智能体可以执行的敏感操作数量;研究基于强化学习的智能体训练,使其学会最小化隐私泄露的行为策略。第三,需要模型感知的护栏,防御机制必须考虑到特定于骨干模型的推理差异,而不是假设统一的行为。这可能包括:为不同模型设计不同的推理路径检查机制;开发模型特定的隐私评估指标;研究如何在不损害任务性能的情况下调整模型的推理模式以减少隐私泄露。第四,需要将研究扩展到其他领域,如医疗保健、法律服务、旅行预订和金融领域。每个领域都有其特定的隐私规范和交互模式,需要领域特定的评估方法。最后,需要探索多站点场景下的隐私风险,研究跨站点行为轨迹如何通过第三方跟踪器实现推断攻击,以及如何设计跨站点的隐私保护机制。

复现评估

本文的复现性良好。作者已经公开了数据集和代码(https://github.com/jrohsc/SPILLage),这为其他研究者复现和扩展研究提供了基础。实验使用了两个开源Web智能体框架:Browser-Use(Müller & Žuniˇc,2025)和AutoGen(Wu等,2023),以及三个OpenAI骨干模型(gpt-4o、o3、o4-mini),这些都是公开可用的。作者提供了详细的实验设置描述,包括任务构造、数据生成流程、评估指标和置信区间计算方法(95% bootstrap CIs,percentile方法,10,000次重采样)。论文在附录中提供了大量补充材料,包括基准构造细节、过度分享检测提示、任务完成评估提示以及额外的实验结果。商业Web智能体的实证研究部分虽然没有使用公开API,但作者进行了系统的手动监控和结构化检查,并提供了截图作为证据。然而,完全复现所有实验可能需要较大的算力投入——总计1,080次运行(约$10^5$次API调用),以及访问实时Amazon和eBay网站的权限。此外,LLM-Judge评估器使用gpt-4o-mini,虽然成本相对较低,但仍需要一定的预算。总体而言,本文的复现性在同类研究中属于良好水平,主要障碍可能是算力成本和实时网站访问的权限限制。