You Told Me to Do It: Measuring Instructional Text-induced Private Data Leakage in LLM Agents

📄 arXiv: 2603.11862v1 📥 PDF

作者: Ching-Yu Kao, Xinfeng Li, Shenyu Dai, Tianze Qiu, Pengcheng Zhou, Eric Hanchen Jiang, Philip Sperl

分类: cs.CR, cs.AI

发布日期: 2026-03-12

备注: 14 pages

💡 一句话要点

揭示LLM Agent中指令文本诱导的私有数据泄露风险,提出ReadSecBench基准

🎯 匹配领域: 支柱九:具身大模型 (Embodied Foundation Models)

关键词: LLM Agent 指令注入攻击 数据泄露 安全漏洞 ReadSecBench

📋 核心要点

  1. 现有LLM Agent在处理外部文档时,存在无法区分恶意指令和合法指导的“可信执行者困境”。
  2. 论文提出通过形式化三维分类法(语言伪装、结构混淆、语义抽象)来系统衡量指令注入攻击的风险。
  3. 实验结果表明,数据泄露成功率高,用户检测率低,现有防御措施效果不佳,存在显著的“语义安全差距”。

📝 摘要(中文)

本文研究了高权限LLM Agent在处理外部文档时存在的安全漏洞,这些Agent被赋予终端访问、文件系统控制和出站网络连接权限,但缺乏足够的安全监督。作者发现了一种称为“可信执行者困境”的根本性漏洞:Agent会高概率地执行文档中嵌入的指令,包括对抗性指令,因为它们无法区分恶意指令和合法的设置指导。这种漏洞是指令遵循设计范式的结构性后果,而非实现错误。为了系统地衡量这种风险,作者形式化了一个三维分类法,涵盖语言伪装、结构混淆和语义抽象,并构建了ReadSecBench基准,包含500个真实世界的README文件,以实现可重复的评估。实验表明,在商业部署的计算机使用Agent上,端到端的数据泄露成功率高达85%,并且在五种编程语言和三个注入位置上保持一致。在模拟环境中对四个LLM家族的交叉模型评估证实,对注入指令的语义遵从性在不同模型家族中是一致的。一项包含15名参与者的用户研究表明,检测率为0%。对12个基于规则和6个基于LLM的防御措施的评估表明,这两类方法都无法在不产生不可接受的误报率的情况下实现可靠的检测。这些结果量化了Agent的功能遵从性和安全意识之间持续存在的“语义安全差距”,表明文档嵌入式指令注入是对高权限LLM Agent部署的持续且目前无法缓解的威胁。

🔬 方法详解

问题定义:论文旨在解决LLM Agent在处理外部文档时,由于无法区分恶意指令和合法指导而导致的私有数据泄露问题。现有方法缺乏有效的安全机制来防止Agent执行文档中嵌入的恶意指令,使得攻击者可以利用这一点来窃取敏感信息。这种漏洞源于Agent的设计范式,即无条件地遵循指令,而忽略了指令的潜在危害。

核心思路:论文的核心思路是通过系统地研究和量化LLM Agent对文档嵌入式指令注入攻击的脆弱性,揭示Agent的功能遵从性和安全意识之间的“语义安全差距”。通过构建一个包含真实世界README文件的基准测试集,并设计多种攻击场景,来评估Agent在不同条件下的数据泄露风险。

技术框架:论文的技术框架主要包括以下几个部分:1) 形式化三维分类法:定义了语言伪装、结构混淆和语义抽象三个维度,用于描述不同类型的指令注入攻击。2) ReadSecBench基准测试集:包含500个真实世界的README文件,用于评估Agent在实际场景中的安全性。3) 实验评估:在商业部署的Agent和模拟环境中对不同LLM家族进行评估,测量数据泄露成功率和防御措施的有效性。4) 用户研究:评估用户对指令注入攻击的检测能力。

关键创新:论文的关键创新在于:1) 识别并形式化了“可信执行者困境”这一安全漏洞,揭示了LLM Agent在处理外部文档时存在的根本性风险。2) 构建了ReadSecBench基准测试集,为评估LLM Agent的安全性提供了一个标准化的平台。3) 通过实验证明了现有防御措施的局限性,强调了Agent的功能遵从性和安全意识之间存在的“语义安全差距”。

关键设计:论文的关键设计包括:1) 三维分类法的构建,用于系统地描述不同类型的指令注入攻击。2) ReadSecBench基准测试集的构建,包含真实世界的README文件,并考虑了不同编程语言和注入位置。3) 实验评估的设计,包括对商业部署的Agent和模拟环境中的LLM家族进行评估,并测量数据泄露成功率和防御措施的有效性。

🖼️ 关键图片

fig_0
fig_1
fig_2

📊 实验亮点

实验结果表明,在商业部署的计算机使用Agent上,端到端的数据泄露成功率高达85%,并且在五种编程语言和三个注入位置上保持一致。用户研究表明,参与者对指令注入攻击的检测率为0%。对12个基于规则和6个基于LLM的防御措施的评估表明,这两类方法都无法在不产生不可接受的误报率的情况下实现可靠的检测。

🎯 应用场景

该研究成果可应用于提升LLM Agent的安全性,尤其是在需要处理外部文档的场景中,例如自动化软件开发、文档分析和数据处理等。通过提高Agent的安全意识和防御能力,可以有效防止私有数据泄露,保护用户隐私和企业安全。未来的研究可以探索更有效的防御机制,例如基于语义分析的指令过滤和基于行为监控的异常检测。

📄 摘要(原文)

High-privilege LLM agents that autonomously process external documentation are increasingly trusted to automate tasks by reading and executing project instructions, yet they are granted terminal access, filesystem control, and outbound network connectivity with minimal security oversight. We identify and systematically measure a fundamental vulnerability in this trust model, which we term the \emph{Trusted Executor Dilemma}: agents execute documentation-embedded instructions, including adversarial ones, at high rates because they cannot distinguish malicious directives from legitimate setup guidance. This vulnerability is a structural consequence of the instruction-following design paradigm, not an implementation bug. To structure our measurement, we formalize a three-dimensional taxonomy covering linguistic disguise, structural obfuscation, and semantic abstraction, and construct \textbf{ReadSecBench}, a benchmark of 500 real-world README files enabling reproducible evaluation. Experiments on the commercially deployed computer-use agent show end-to-end exfiltration success rates up to 85\%, consistent across five programming languages and three injection positions. Cross-model evaluation on four LLM families in a simulation environment confirms that semantic compliance with injected instructions is consistent across model families. A 15-participant user study yields a 0\% detection rate across all participants, and evaluation of 12 rule-based and 6 LLM-based defenses shows neither category achieves reliable detection without unacceptable false-positive rates. Together, these results quantify a persistent \emph{Semantic-Safety Gap} between agents' functional compliance and their security awareness, establishing that documentation-embedded instruction injection is a persistent and currently unmitigated threat to high-privilege LLM agent deployments.