一度毒を入れれば、永遠に悪用：環境注入型メモリ汚染攻撃によるWebエージェントへの攻撃

要旨: メモリは、LLMベースのWebエージェントをパーソナライズし強力にする一方で、悪用可能にもします。過去のやり取りを保存して将来のタスクをパーソナライズすることで、エージェントは意図せずに、Webサイトとセッションをまたいで持続する攻撃対象領域（アタックサーフェス）を作り出します。既存のセキュリティ研究では、メモリに関する攻撃者モデルとして、攻撃者がメモリ保管領域へ直接注入したり、利用者間で共有されたメモリを悪用できることが前提とされてきました。しかし本論文では、より現実的な脅威モデルとして、環境の観測だけによる汚染（contamination）を提示します。私たちは、環境注入型の軌跡ベース・エージェント・メモリ汚染（Environment-injected Trajectory-based Agent Memory Poisoning, eTAMP）を導入します。これは、直接的なメモリへのアクセスを必要とせずに、セッション間・サイト間の侵害を達成する最初の攻撃です。単一の汚染された観測（例：細工された製品ページを閲覧すること）によって、エージェントのメモリが静かに汚染され、その後、異なるWebサイト上での将来のタスクの際に作動し、許可（permission）ベースの防御をすり抜けます。 （Visual）WebArenaに対する実験の結果、2つの重要な知見が得られました。第一に、eTAMPは実質的な攻撃成功率を達成します。GPT-5-miniで最大32.5%、GPT-5.2で23.4%、GPT-OSS-120Bで19.5%です。第二に、フラストレーション悪用（Frustration Exploitation）を発見しました。環境ストレス下にあるエージェントは、劇的に攻撃に対する脆弱性が高まります。例えば、クリックが落ちる、または文字が判読不能に化ける状況で、ASRが最大8倍まで増加します。注目すべき点として、より高能力なモデルほど安全とは限りません。GPT-5.2は、タスク性能が優れているにもかかわらず、実質的な脆弱性を示します。OpenClaw、ChatGPT Atlas、Perplexity CometのようなAIブラウザの台頭により、私たちの結果は、環境注入型メモリ汚染に対する防御の緊急性を強調しています。