要約
研究チームがモバイルGUIエージェントの安全性を評価するフレームワーク「AgentHazard」を発表。 SNS投稿や広告を介した攻撃で全エージェントが平均42%の誤誘導率を示し、実用展開への課題が浮き彫りに。 視覚機能が脆弱性を高めるという逆説的知見は、エージェント開発者に設計の再考を迫る。
モバイルAIエージェント、敵対的攻撃に42%誤誘導と判明
Mobile GUI Agents under Real-world Threats: Are We There Yet?
Pro
深掘り分析
原文を読む →
https://huggingface.co/papers/2507.04227
本論文はモバイルGUIエージェント(スマートフォンのUIを自律操作するAIエージェント)が現実世界の脅威に対して安全かを問う研究。提案フレームワーク「AgentHazard」は、(1)UIハイジャックによるリアルタイム敵対的コンテンツ注入ツール、(2)12アプリ122タスクの動的評価環境、(3)3000件超の静的攻撃シナリオデータセット、の3要素で構成される。攻撃は平均わずか10トークンの誤誘導テキストをSNS投稿や広告などの正規UIコンポーネントに埋め込む「非特権攻撃」であり、root権限不要で実行可能な点がリアリスティックである。実験ではGPT-4oベースのM3Aが約60%、GPT-4o-miniベースのAriaUIも約60%の誤誘導率を示した。特筆すべき発見として、視覚モダリティを加えると誤誘導率がさらに上昇(テキストのみ37.8%→マルチモーダル62.0%)することが確認された。GPT-5でも11.5%の誤誘導率が残り、問題がモデル固有でなく構造的であることを示す。敵対的SFTで誤誘導率は74.6%→30.6%に下がるが、依然として高く、アーキテクチャレベルの対策(信頼スコア付きUIリージョン管理、破壊的操作への承認要求など)の必要性を訴えている。