Prismata:限制web代理中的跨站点提示注入
Hacker News2026年7月10日 21:03
查看PDF HTML(实验性)摘要:自主网络代理承诺可以自动化日常浏览任务,但继承了网络上最古老的攻击面之一。跨站脚本证明,混合受信任和不受信任的内容是危险的,即使在良性的页面上。代理通过将自然语言解释为指令重新显现了这一风险,允许第三方和用户生成的内容通过提示注入劫持代理。核心挑战在于推导特定任务的安全策略需要对与攻击者内容纠缠的页面结构进行推理。我们介绍了Prismata,这是一种为网络代理执行上下文最小权限的防御措施,限制代理可以看到的内容和可以执行的操作。Prismata的动态信任推导生成页面内容的权限标签,具有结构限制保证,受到经典完整性模型的启发,限制任何标记错误,使标签只能降低权限且错误标记受到限制。Prismata的机械限制通过编辑内容和限制代理能力来强制执行这些标签。重要的是,这些机制不需要开发人员的注释,因此Prismata支持大量的网站。针对最近发布的网络代理攻击,包括自适应变体,Prismata显著减少了攻击成功率,同时保持了良性任务的实用性。主题:密码学和安全(cs.CR);人工智能(cs.AI)引用为:arXiv:2607.08147 [cs.CR](或arXiv:2607.08147v1 [cs.CR]版本)https://doi.org/10.48550/arXiv.2607.08147 arXiv发行的DOI由DataCite提供提交历史来自:Corban Villa [查看电子邮件] [v1] 2026年7月9日星期四06:37:52 UTC(4,724 KB)
本站免费、广告极少。如果觉得有帮助,可以请我们喝杯咖啡 —— 任何金额都对持续运营有实际帮助。
☕请我喝杯咖啡