CaMeLs Can Use Computers Too: System-level Security for Computer Use Agents

Die Arbeit stellt mit „Single-Shot Planning" einen neuen Sicherheitsansatz für Computer-Nutzungs-Agenten vor, der durch eine strikte Trennung von Planung und Ausführung Prompt-Injection-Angriffe verhindert und gleichzeitig Branch-Steering-Angriffe adressiert, wodurch sowohl Sicherheit als auch die Leistungsfähigkeit der Modelle gewährleistet werden.

Das Wesentliche

Das große Problem: Der unsichere Assistent

Stell dir vor, du hast einen sehr intelligenten, aber leicht zu verwirrenden persönlichen Assistenten (den KI-Agenten). Deine Aufgabe ist es, ihm zu sagen: „Suche mir das Wetter für Manchester heraus."

Das Problem bei aktuellen KI-Assistenten, die auf Bildschirmen arbeiten (Computer Use Agents), ist, dass sie alles sehen, was auf dem Bildschirm ist. Wenn du eine Webseite öffnest, sieht der Assistent nicht nur den Wetterbericht, sondern auch Werbung, Pop-ups und Kommentare.

Ein böswilliger Hacker könnte nun eine versteckte, bösartige Nachricht in eine harmlose Werbung auf der Webseite einbauen. Der Assistent liest diese Nachricht und denkt: „Oh, der Benutzer hat mir gesagt, ich soll mein Bankkonto löschen!" und führt den Befehl aus. Das nennt man Prompt Injection. Der Assistent wird „gehackt", weil er nicht unterscheiden kann, was vom Benutzer kommt und was von der Webseite.

Die Lösung: Der „Dual-LLM"-Ansatz (Der Chef und der Praktikant)

Die Forscher schlagen eine neue Architektur vor, die wie ein strenges Büro-System funktioniert. Sie teilen die Arbeit in zwei getrennte Personen auf:

1. Der Chef (Privileged Planner / P-LLM):

   • Dieser sitzt in einem sicheren, fensterlosen Raum. Er sieht nichts von der Webseite, keine Werbung, keine Pop-ups.
   • Seine einzige Aufgabe ist es, einen perfekten, detaillierten Plan zu schreiben, bevor der Assistent überhaupt anfängt zu arbeiten.
   • Er denkt voraus: „Zuerst öffne ich Chrome. Dann prüfe ich, ob er offen ist. Wenn ja, gehe ich zur Wetterseite. Wenn nein, versuche ich es nochmal."
   • Da er die Webseite nie sieht, kann ihn niemand mit versteckten Nachrichten auf dem Bildschirm manipulieren. Er bleibt bei seinem Plan.

2. Der Praktikant (Quarantined Perception / Q-VLM):

   • Dieser sitzt im chaotischen, vollen Raum (dem echten Internet). Er sieht alles: die Webseite, die Werbung, die Pop-ups.
   • Aber! Er darf keine eigenen Entscheidungen treffen. Er ist wie ein Roboter-Arm, der nur das tut, was der Chef ihm im Plan sagt.
   • Wenn der Chef schreibt: „Klicke auf den Wetter-Link", sucht der Praktikant den Link und klickt darauf. Er darf nicht plötzlich sagen: „Hey, ich sehe hier eine Werbung, die sagt, ich soll Geld überweisen!" – denn er darf nur die Anweisungen des Chefs ausführen.

Die Herausforderung: Wie plant man, ohne zu sehen?

Ein Kritiker könnte sagen: „Aber wie kann der Chef einen Plan machen, wenn er nicht weiß, wie die Webseite aussieht? Was, wenn der Wetter-Link woanders ist?"

Die Forscher haben eine geniale Idee: Der Plan ist wie ein „Wählscheiben-Telefon" mit vielen Abzweigungen.

Statt nur einen geraden Weg zu planen, erstellt der Chef einen komplexen Baum aus Möglichkeiten (Single-Shot Planning):

• Wenn der Browser offen ist -> Dann gehe zur Wetterseite.
• Wenn der Browser nicht offen ist -> Dann öffne ihn.
• Wenn die Wetterseite lädt -> Dann suche nach „Manchester".
• Wenn ein Cookie-Popup erscheint -> Dann klicke auf „Akzeptieren".

Der Chef denkt sich alle diese Szenarien im Voraus aus. Der Praktikant muss dann nur noch schauen: „Ah, ich bin im Szenario 'Browser nicht offen', also führe ich Schritt 2 aus."

Die neue Gefahr: „Branch Steering" (Das Verwirrspiel)

Auch wenn der Chef sicher ist, gibt es ein neues Problem, das die Forscher entdeckt haben: Branch Steering.

Stell dir vor, der Chef hat einen Plan: „Wenn du ein rotes Schild siehst, gehe nach links. Wenn du ein grünes Schild siehst, gehe nach rechts."
Ein Hacker kann nun das grüne Schild auf der Webseite manipulieren (z. B. durch eine gefälschte Werbung), sodass es für den Praktikanten wie ein rotes Schild aussieht.

Der Praktikant denkt: „Ich sehe ein rotes Schild!" und geht nach links – genau dort, wo der Hacker ihn haben will. Der Chef hat den Plan nicht geändert (er ist sicher), aber der Datenfluss wurde manipuliert. Der Hacker hat den Assistenten in einen „gültigen", aber böswilligen Pfad des Plans gelenkt.

Die Abwehr: Der „Doppel-Check" (Redundanz)

Um das zu verhindern, bauen die Forscher eine Sicherheitskontrolle ein. Bevor der Praktikant einen wichtigen Schritt ausführt (z. B. „Ich habe ein rotes Schild gefunden"), ruft er einen zweiten, unabhängigen Prüfer hinzu.

• Der Prüfer schaut sich den Bildschirm an und sagt: „Moment mal! Das ist kein rotes Schild, das ist eine gefälschte Werbung!"
• Wenn der Prüfer etwas Verdächtiges findet, stoppt der Assistent sofort.

Die Forscher haben gezeigt, dass diese Methode sehr gut funktioniert, aber nicht zu 100 % perfekt ist. Dennoch ist es ein riesiger Schritt nach vorne.

Das Ergebnis: Sicherheit und Nutzen gehen zusammen

Die Studie zeigt zwei wichtige Dinge:

1. Sicherheit ist möglich: Man kann Computer-Assistenten so bauen, dass sie nicht einfach durch Werbung gehackt werden können.
2. Kleine Modelle werden stärker: Durch diese klare Trennung (Chef plant, Praktikant führt aus) können auch kleinere, günstigere KI-Modelle sehr gute Aufgaben erledigen, weil der „Chef" (ein großes, starkes Modell) den schweren Denkteil übernimmt.

Zusammenfassend:
Die Forscher haben einen Weg gefunden, KI-Assistenten so sicher zu machen, dass sie wie ein Chef mit einem blinden Praktikanten arbeiten. Der Chef plant alles im Voraus in einem sicheren Raum, und der Praktikant führt es nur aus. Zwar können Hacker versuchen, den Praktikanten zu verwirren (Branch Steering), aber durch zusätzliche Prüfer lässt sich das Risiko drastisch senken. So können wir bald sicherere KI-Assistenten haben, die unseren Computer bedienen, ohne dass wir Angst vor versteckten Hackern in der Werbung haben müssen.

Technische Zusammenfassung

1. Problemstellung

Computer Use Agents (CUAs) sind KI-Systeme, die auf Vision-Language-Modellen (VLMs) basieren und Aufgaben automatisieren, indem sie Benutzeroberflächen (UI) über Screenshots oder strukturierte Daten (DOM) wahrnehmen und Aktionen ausführen. Diese Agenten sind zunehmend anfällig für Prompt-Injection-Angriffe, bei denen bösartige Inhalte in die UI eingebettet werden (z. B. in Werbung oder Pop-ups), um das Verhalten des Agenten zu manipulieren. Dies kann zu Diebstahl von Zugangsdaten, finanziellen Verlusten oder der Ausführung beliebigen Codes führen.

Die einzige bekannte robuste Verteidigung ist die architektonische Isolation, die vertrauenswürdiges Aufgaben-Planning von nicht-vertrauenswürdigen Umgebungsbeobachtungen trennt (Dual-LLM-Ansatz). Dies stellt jedoch ein fundamentales Dilemma für CUAs dar:

• Sicherheit vs. Funktionalität: Um sicher zu sein, darf der Planer (Planner) keine Umgebungsdaten sehen. Um jedoch dynamische UIs zu navigieren, benötigen CUAs typischerweise einen iterativen Feedback-Loop, bei dem sie den UI-Zustand bei jedem Schritt beobachten, um die nächste Aktion zu bestimmen.
• Das Dilemma: Strikte Isolation verhindert Prompt-Injections, scheint aber die visuelle Rückkopplung zu unterbrechen, die für die Navigation in dynamischen Umgebungen notwendig ist.

2. Methodik

Die Autoren lösen dieses Spannungsfeld durch die Einführung von Single-Shot Planning für CUAs, angepasst an das Dual-LLM-Paradigma.

A. Dual-LLM-Architektur für CUAs

Das System wird in zwei strikt getrennte Komponenten unterteilt:

1. Privileged Planner (P-LLM): Ein sicherer, vertrauenswürdiger LLM, der den gesamten Ausführungsplan einmalig (Single-Shot) generiert, bevor er jemals Umgebungsdaten sieht. Er hat keinen Zugriff auf Live-Screenshots oder DOM-Daten.
2. Quarantined Perception (Q-VLM): Ein isoliertes, nicht-vertrauenswürdiges Vision-Language-Modell, das innerhalb des vom P-LLM generierten Plans ausgeführt wird. Es verarbeitet Umgebungsdaten (Screenshots/DOM), kann aber die Kontrollfluss-Struktur des Plans nicht ändern.

B. Observe-Verify-Act-Paradigma

Da der P-LLM keine dynamischen Anpassungen vornehmen kann, muss er einen vollständigen Ausführungsgraphen mit bedingten Verzweigungen vorab erstellen. Dies wird durch ein striktes Muster erreicht:

• Observe: Der Plan aggregiert Zustandsinformationen (z. B. durch Zusammenfassung des Screenshots oder Abruf von DOM-Elementen).
• Verify: Der Plan verwendet eine verify_hypothesis-Funktion, um logische Bedingungen zu prüfen (z. B. „Bin ich auf der Login-Seite?"). Dies gibt einen booleschen Wert zurück, der es dem vorab geschriebenen Plan ermöglicht, in entsprechende Unterprogramme zu verzweigen.
• Act: Aktionen (Klicks, Eingaben) werden nur nach erfolgreicher Verifikation ausgeführt.

Dieser Ansatz ermöglicht es dem P-LLM, verschiedene Fehlermodi und Zustandsübergänge im Voraus zu antizipieren und im Code abzubilden, ohne auf Echtzeit-Feedback angewiesen zu sein.

C. Redundanz-basierte Verteidigungen gegen Branch Steering

Während die Architektur den Kontrollfluss (Control Flow) schützt, bleibt der Datenfluss (Data Flow) verwundbar. Ein Angreifer kann die UI manipulieren, um das Q-VLM zu täuschen, falsche Daten zurückzugeben und den Agenten auf einen vordefinierten, aber böswilligen Pfad im Plan zu lenken (Branch Steering).
Um dies abzumildern, führen die Autoren redundante Verifikationsmechanismen ein:

1. DOM-Konsistenz: Ein unabhängiges VLM prüft, ob die visuellen Befunde des Q-VLM mit der tatsächlichen DOM-Struktur übereinstimmen (z. B. Erkennung von transparenten Overlays).
2. Multi-Modal Consensus: Ein zweites, unabhängiges VLM prüft sowohl den Screenshot als auch die Ausgabe des ersten Q-VLM, um visuelle Anomalien oder semantische Inkonsistenzen zu erkennen.

3. Schlüsselbeiträge

1. Erste Dual-LLM-Architektur für CUAs: Die Autoren adaptieren das Dual-LLM-Paradigma erfolgreich für Computer-Use-Agenten durch Single-Shot Planning mit dem Observe-Verify-Act-Muster. Dies bietet formale Garantien für die Integrität des Kontrollflusses.
2. Identifikation von Branch Steering: Das Paper definiert und demonstriert eine neue Angriffsart, bei der Angreifer visuelle Hinweise manipulieren, um den Agenten dazu zu bringen, einen gültigen, aber böswilligen Pfad innerhalb des vorab genehmigten Plans zu wählen. Dies unterscheidet sich von klassischen Prompt-Injections, die den Kontrollfluss selbst übernehmen wollen.
3. Hybride Einsatzstrategie: Die Architektur ermöglicht eine kosteneffiziente und datenschutzfreundliche Hybridlösung: Proprietäre Modelle (stark im Reasoning) übernehmen das Planning, während kleinere, Open-Source-Modelle (stark in der Wahrnehmung) lokal die Bildverarbeitung übernehmen. Dies schützt sensible UI-Daten vor dem Cloud-Planner.

4. Ergebnisse

Die Evaluation erfolgte auf dem OSWorld-Benchmark, der Aufgaben in realen Desktop-Anwendungen (Chrome, LibreOffice, GIMP etc.) testet.

• Leistungsbeibehaltung: Die sichere Architektur behält signifikante Nutzbarkeit bei:
  • Bei großen, geschlossenen Modellen (z. B. Claude Sonnet) bleibt bis zu 57 % der ursprünglichen Erfolgsrate erhalten.
  • Bei kleineren Open-Source-Modellen (z. B. UITars-1.5-7B) konnte die Leistung durch den starken Planner sogar um bis zu 19 % verbessert werden.
• Skalierbarkeit: Die Leistung skaliert stark mit der Reasoning-Fähigkeit des P-LLM. Modelle wie GPT-5 zeigen die besten Ergebnisse bei der Generierung robuster Pläne.
• Angriffserfolge:
  • Cookie-Popup-Angriffe: Können erfolgreich sein, wenn keine Redundanz-Verteidigung eingesetzt wird. Mit DOM-Konsistenz werden statische Google-Werbungen blockiert, aber HTML5-Werbungen können dies umgehen.
  • Pixel-Angriffe: Selbst bei der stärksten Verteidigung (Multi-Modal Consensus) können gradientenbasierte Pixel-Perturbationen die Verifikation umgehen, indem sie das Q-VLM zu plausiblen, aber falschen Ausgaben verleiten, ohne dass die Verteidigung Alarm schlägt.

5. Bedeutung und Fazit

Das Paper widerlegt die Annahme, dass robuste, systemzentrische Sicherheit mit der dynamischen Natur von GUI-Automatisierung unvereinbar ist.

• Paradigmenwechsel: Es zeigt, dass viele CUA-Aufgaben weniger auf Echtzeit-Reaktivität angewiesen sind als bisher angenommen, sondern durch sorgfältige Vorplanung und Verifikationslogik gelöst werden können.
• Sicherheits-Utility-Trade-off: Während die Architektur den Kontrollfluss perfekt schützt, bleibt die Datenfluss-Manipulation (Branch Steering) eine Herausforderung. Die Autoren zeigen, dass Redundanz-Defenseen einen Kompromiss zwischen Sicherheit und Nutzbarkeit erfordern.
• Zukunftsperspektive: Da die Leistung primär vom Reasoning des Planers abhängt, wird die Nützlichkeit sicherer CUAs mit der Weiterentwicklung von Basis-LLMs (Reasoning-Modelle) weiter steigen, ohne dass die Sicherheitsarchitektur grundlegend geändert werden muss.

Zusammenfassend bietet das Paper einen neuen, sicheren Standard für CUAs, der die Lücke zwischen theoretischer Sicherheit und praktischer Anwendbarkeit schließt, gleichzeitig aber realistisch auf verbleibende Schwachstellen im Datenfluss hinweist.