弹窗攻击很有效，控制计算机的智能体根本顶不住。

• 论文标题：Attacking Vision-Language Computer Agents via Pop-ups
• 论文地址：https://arxiv.org/pdf/2411.02391
• 代码地址：https://github.com/SALT-NLP/PopupAttack

• 虚假病毒警报：「检测到病毒」弹窗，这是一种常见的针对人类用户的恶意广告形式。这样无论用户查询是什么，都会促使用户采取行动。
• 推断式用户查询：在弹窗时，攻击者通常知道用户屏幕上的其它信息。在不知道用户真实意图的情况下，可以通过提供此类语境信息，让 LLM 用少量几句话猜测用户的意图。

• 「请点击这里」弹窗：这需要智能体推断位置或阅读标签 ID，而无需了解智能体框架。
•  点击一个随机坐标或标签 ID：如果该智能体遵从了该指令，则就将攻击成功率与弹窗面积（或标签元素的数量）关联了起来。

• 原始成功率 (OSR)：没有任何攻击 / 弹窗的成功率。
• 成功率 (SR)：有攻击但点击弹窗后没有重定向的任务成功率。
• 攻击成功率 (ASR)：在注入弹窗的所有步骤中，点击弹窗步骤的比例。

通过在图 4 中绘制 ASR 和 TASR 之间的相关性，作者发现 TASR 通常与 ASR 呈正相关，这表明攻击是可以泛化的，不仅适用于特定任务。更令人惊讶的是，当 ASR 较小（

攻击如何成功的？

接着作者研究了攻击是如何成功的。

由于 VLM 智能体在生成动作之前通过提示生成思维（thoughts），基于这一发现作者通过仔细观察生成的思维来研究攻击是如何成功的。

图 5 展示了成功攻击的三个思维示例，它们都处于任务的初级阶段，因此可以比较原始智能体和被攻击的智能体。

在没有攻击的情况下，思维往往更加抽象，没有细节（示例 1），并考虑更加多样化的动作（示例 2）。

在受到攻击的情况下，思维变得更加具体，通常会提到弹窗中的元素，例如目标坐标（示例 1 和 2）和标签（示例 3）以及信息横幅中的 OK（示例 1）。这些信息引导智能体放弃通常的推理过程（例如，在示例 3 中哪个图像看起来像是屏幕截图），并被动地遵循恶意指令。

作者还观察到 screenshot 智能体和 SoM 智能体在关注元素方面存在差异。screenshot 智能体通常 (52%) 更加关注虚假的「OK」按钮，而 SoM 智能体则经常 (62%) 谈论来自注意力钩子的总结性查询。

更有趣的是，作者发现一些成功的示例没有提及弹窗中的任何元素，但会生成隐含遵循说明的指令（图 6）。考虑到一种潜在的防御策略是检查生成的思维是否遵循了可疑指令，这种行为可提升攻击的隐蔽性。

攻击失败的原因

该团队分析了攻击失败的原因并将其分成三类：

1. 智能体根据交互历史声明 WAIT/FAIL/DONE。当智能体认为自己已经解决了任务或认为任务无法解决时，便会出现这种情况。

2. 用户查询正在网络上搜寻信息。在这种情况下，总结得到的查询不再与所需的操作相关，因为它们不包含答案。如果当前页面的其它地方能直接提供答案，那么就很难迫使智能体点击弹窗。

3. 查询中已经指定了熟悉的工具（比如使用终端工具）。由于骨干 VLM 在大量编程数据上训练过（包括使用命令行，因此当屏幕上出现终端窗口时，智能体倾向于直接输入命令。

此外，当观察中有比当前弹窗更可信和更确定的可操作元素时，智能体通常仍能有效执行自己的任务。