谁在为AI代理的安全漏洞买单？——利益相关者视角下的提示注入攻击评估新框架

本文介绍SBC（利益相关者中心）基准测试框架，从利益相关者视角重新评估LLM驱动Web代理的提示注入风险，揭示不同攻击目标对参与方的不对称影响，发现当前代理系统存在严重且异质化的安全漏洞。原作者来自arXiv，论文标题《Who Pays the Price? Stakeholder-Centric Prompt Injection Benchmarking for Real-world Web Agents》，链接http://arxiv.org/abs/2606.13385v1，发布时间2026-06-11。

LLM驱动的Web代理正走向现实，能执行浏览、交易等自动化操作，但面临提示注入攻击风险——恶意指令嵌入内容操纵代理行为。传统评估聚焦攻击技术可行性，忽视后果在利益相关者间的不对称分布、攻击效果异质性及失败模式多样性等盲点。

SBC框架核心是将利益相关者置于中心：1.分类用户、卖家/服务提供者、平台等；2.分解攻击目标为信息窃取、未授权操作、任务劫持、服务滥用；3.采用结果层（攻击目标达成、任务影响）和过程层（行为轨迹、验证逻辑）双指标评估。

测试主流代理系统发现：1.无系统能可靠抵抗所有攻击目标；2.失败模式多样：隐秘寄生（攻击成功且不干扰原任务）、错位中断（攻击未成功但任务中断）、复合失败（攻击成功且任务破坏）；3.同一攻击对不同利益相关者影响不对称，如部分攻击致用户财务损失，部分损害平台声誉。

1.评估转向受害者中心，关注利益相关者实际影响；2.多层防御：输入过滤、行为监控、敏感操作确认、最小权限；3.提升透明度与用户控制；4.建立平台、开发者、用户责任共担机制（如保险、赔偿基金）。

当前局限：仅针对线性Web代理流程，攻击分类未涵盖所有恶意意图。未来方向：开发更精细的利益相关者影响模型、探索主动防御技术、研究用户教育与风险沟通策略。