CaMeLs Can Use Computers Too: System-level Security for Computer Use Agents

Dit paper introduceert een veiligheidsarchitectuur voor Computer Use Agents die prompt-injectie-aanvallen voorkomt door een vertrouwd 'Single-Shot' planner te gebruiken om een volledig uitvoeringsgraf vooraf te genereren, terwijl aanvullende maatregelen nodig zijn om branch-steering-aanvallen te weren zonder de functionaliteit te offeren.

De kern

Titel: Camels in de Computer: Hoe we AI-agenten veilig maken tegen hackers

Stel je voor dat je een AI-assistent hebt die je computer voor je kan bedienen. Deze assistent, een "Computer Use Agent" (CUA), kan op je scherm kijken, op knoppen klikken, tekst typen en zelfs software openen. Het is alsof je een robot hebt die je bureau voor je opstelt.

Maar er is een groot probleem: deze robots zijn heel makkelijk te bedriegen. Als een hacker een nep-advertentie of een valse knop op een website plaatst, kan de robot denken: "Oh, ik moet hier op klikken!" en vervolgens je wachtwoorden stelen of je bankrekening leeghalen. Dit heet een "Prompt Injection" aanval.

De auteurs van dit paper zeggen: "Nee, we kunnen dit oplossen!" Ze hebben een slimme manier bedacht om deze robots veilig te maken, zelfs als ze door de computer van een hacker lopen.

Hier is hoe het werkt, vertaald naar alledaagse taal:

1. Het oude probleem: De robot die te veel ziet

Normaal gesproken werkt een AI-agent als een mens die een taak doet:

• Kijken: "Wat zie ik op het scherm?"
• Denken: "Wat moet ik nu doen?"
• Doen: "Klikken!"
• Herhalen: "Kijk weer, denk weer, doe weer..."

Het gevaar is dat de "Denk"-fase (het brein van de AI) ook het scherm ziet. Als er een valse knop op het scherm staat, denkt de AI: "Die knop is belangrijk, ik klik erop!" en hij valt in de val.

2. De oplossing: Twee robots in plaats van één (De "Dual-LLM" architectuur)

De auteurs splitsen de taak op in twee gescheiden robots, net als een koning en een spion.

• De Koning (De Planner): Deze zit in een beveiligde kamer (een "privilege zone"). Hij ziet niets van het scherm. Zijn enige taak is om een volledig stappenplan te schrijven voordat hij de computer binnenkomt. Hij denkt: "Eerst open ik Chrome, dan ga ik naar de weerwebsite, dan typ ik 'Manchester' in." Hij maakt zelfs een plan voor als het misgaat: "Als de website niet laadt, probeer ik het opnieuw."
• De Spion (De Waarnemer): Deze robot zit in een quarantaine-ruimte. Hij ziet wel het scherm, maar hij mag niet denken of beslissen. Hij is alleen een camera en een hand. Hij kijkt naar het plan van de Koning en voert alleen de instructies uit: "Kijk, is Chrome open? Ja? Dan klik ik op het icoontje."

De analogie:
Stel je voor dat je een chef (De Koning) hebt die een recept schrijft in een veilig kantoor. De kok (De Spion) staat in de keuken en ziet alleen de ingrediënten. De kok mag niet zelf beslissen om suiker toe te voegen als er een valse sticker op de suikerzak staat; hij volgt strikt het recept van de chef. Als er een gif in de suiker zit, is dat een probleem voor de kok, maar de chef heeft al bepaald dat er suiker moet worden gebruikt, niet gif.

3. Het nieuwe probleem: "Branch Steering" (Het omleiden van de weg)

De auteurs ontdekten dat hackers een nieuwe manier vonden om dit systeem te omzeilen. Ze noemen dit "Branch Steering".

Stel je voor dat de Koning een plan heeft: "Ga naar de ingang, en als de deur open is, ga naar links. Als de deur dicht is, ga naar rechts."
De hacker kan de deur niet openbreken (dat is verboden), maar hij kan wel een nep-deur neerzetten die eruitziet alsof hij open is.

• De Spion kijkt naar de nep-deur en zegt: "Deur is open!"
• De Koning (die het plan al had) zegt: "Oké, ga dan naar links."
• Maar "naar links" leidt nu naar een valstroom van de hacker.

De hacker heeft de AI niet gedwongen om iets nieuws te doen; hij heeft de AI misleid om een bestaande, veilige route te kiezen die per ongeluk gevaarlijk is geworden.

4. De extra beveiliging: De "Tweede Mening"

Om dit op te lossen, voegen de auteurs een dubbel-check toe.
Voordat de Spion een knop indrukt, laat hij zijn bevindingen zien aan een onafhankelijke controleur (een tweede AI).

• Spion: "Ik zie een knop die zegt 'Accepteer Cookies'."
• Controleur: "Laat me de code van de website zien. Oh, wacht, die knop zit in een advertentieblok dat door een hacker is geplaatst. Dat is verdacht!"

Als de twee niet overeenkomen, stopt de robot en zegt hij: "Ik ga dit niet doen."

5. Wat levert dit op?

De auteurs hebben dit getest op een heleboel taken (zoals weer checken, bestanden openen, etc.).

• Veiligheid: Het werkt! De robots kunnen geen willekeurige commando's meer uitvoeren die niet in het plan stonden.
• Snelheid: Het is niet perfect. De robots zijn iets trager dan zonder beveiliging (ongeveer 57% van de oorspronkelijke snelheid voor de slimste modellen), maar voor kleinere, goedkopere modellen wordt het zelfs beter (tot 19% sneller), omdat de slimme "Koning" het zware denkwerk doet.
• Privacy: Je kunt de "Koning" (die het plan maakt) in de cloud laten draaien, en de "Spion" (die naar je scherm kijkt) op je eigen laptop. Zo ziet de cloud nooit je persoonlijke schermbeelden.

Conclusie

Dit paper laat zien dat we AI-agenten veilig kunnen maken door ze te splitsen in een planner (die veilig is) en een uitvoerder (die het scherm ziet). Hoewel hackers nog steeds kunnen proberen om de uitvoerder te misleiden, is het nu veel moeilijker om de hele computer over te nemen. Het is als het bouwen van een burcht met een onzichtbare muur tussen de commandant en de soldaten: de soldaten kunnen niet plotseling beslissen om de poort open te gooien, tenzij de commandant dat al had gepland.

Kortom: Camels (de AI-agenten) kunnen nu veilig computers gebruiken, zolang ze maar een goed beveiligd plan hebben en niet blindelings naar nep-advertenties kijken!

Technische samenvatting

Probleemstelling

Computer Use Agents (CUA's) zijn systemen die gebaseerd zijn op Vision-Language Models (VLM's) en taken automatiseren door gebruikersinterfaces (UI) te observeren via screenshots of gestructureerde data (zoals DOM-boomen) en vervolgens acties uit te voeren. Deze agents worden steeds vaker vertrouwd met open-ended controle over computerinterfaces.

De huidige architectuur van CUAs is echter fundamenteel kwetsbaar voor prompt injection-aanvallen. Omdat deze agents continu de UI-status moeten observeren om de volgende stap te bepalen, kunnen kwaadaardige inhoud (zoals valse pop-ups, gemanipuleerde advertenties of DOM-injecties) de agent omleiden om ongeautoriseerde acties uit te voeren, zoals het stelen van inloggegevens of het uitvoeren van willekeurige code.

Bestaande veiligheidsoplossingen, zoals het "Dual-LLM"-paradigma (waarbij een vertrouwde planner en een geïsoleerde waarnemer gescheiden zijn), werken goed voor tekstgebaseerde agents met goed gedefinieerde tools. Echter, bij CUAs ontstaat een fundamenteel conflict:

1. Veiligheid vereist isolatie: De planner mag geen toegang hebben tot onbetrouwbare omgevingsdata om prompt injections te voorkomen.
2. Functionaliteit vereist observatie: CUAs hebben continue visuele feedback nodig om dynamische UI's te navigeren.

De traditionele aanname was dat strikte isolatie de functionaliteit van CUAs onmogelijk zou maken. Dit paper daagt deze aanname uit.

Methodologie

De auteurs introduceren een nieuwe architectuur die de Dual-LLM-structuur aanpast voor CUAs door gebruik te maken van Single-Shot Planning en een Observe-Verify-Act-paradigma.

1. Architectuur: Dual-LLM met Single-Shot Planning

Het systeem bestaat uit twee gescheiden componenten:

• Privileged Planner (P-LLM): Een beveiligd taalmodel dat alleen de taak en de beschikbare tools kent. Het genereert vooraf een volledig uitvoeringsplan (een graaf met conditionele vertakkingen) zonder enige toegang tot de live omgeving of screenshots. Dit voorkomt dat de planner zelf wordt gehackt via prompt injection.
• Quarantined Perception (Q-VLM): Een onbetrouwbare Vision-Language Model dat binnen de grenzen van het vooraf gegenereerde plan werkt. Het verwerkt screenshots en DOM-data om specifieke waarnemingen te doen (bijv. "waar is de knop?"). Het kan de controleflow (de volgorde van stappen) niet wijzigen, alleen data teruggeven die door het plan wordt verwerkt.

2. Observe-Verify-Act Paradigma

Om de kloof tussen statisch plannen en dynamische uitvoering te overbruggen, dwingt het systeem de P-LLM om een plan te genereren dat strikt volgt op dit patroon:

• Observe: Het plan verzamelt eerst statusinformatie (via samenvattingen van screenshots of DOM-elementen).
• Verify: Het plan gebruikt een verify_hypothesis-functie om logische voorwaarden te controleren (bijv. "Zit ik op de login-pagina?"). Dit retourneert een boolean of statuscode.
• Act: Acties (klikken, typen) worden pas uitgevoerd na verificatie.
  Dit stelt de planner in staat om vooraf rekening te houden met meerdere foutscenario's en state-overgangen, zonder dat het model tijdens de uitvoering moet "nadenken" over de volgorde.

3. Defensies tegen Data-Flow Aanvallen (Branch Steering)

Hoewel de architectuur Control Flow Integrity (CFI) garandeert (de agent kan geen willekeurige commando's uitvoeren), blijft er een kwetsbaarheid bestaan: Branch Steering.

• Het probleem: Een aanvaller kan de UI manipuleren (bijv. een nep-cookiebanner) zodat de Q-VLM een specifiek resultaat teruggeeft. Dit dwingt het vooraf geschreven plan om een "geldige" maar kwaadaardige vertakking te kiezen (bijv. naar een kwaadaardige site gaan in plaats van de beoogde site).
• De oplossing: De auteurs implementeren redundantie als extra verdediging:
  • DOM Consistency: Een onafhankelijk model controleert of de visuele bevindingen van de Q-VLM overeenkomen met de echte DOM-structuur (om te detecteren of een element een nep-advertentie is).
  • Multi-Modal Consensus: Een tweede, onafhankelijk VLM controleert zowel de screenshot als de output van de eerste Q-VLM om visuele anomalieën of semantische mismatches te detecteren.

Kernbijdragen

1. Eerste Dual-LLM-architectuur voor CUAs: De auteurs tonen aan dat strikte system-level isolatie mogelijk is voor computergebruik door over te schakelen van iteratieve planning naar Single-Shot Planning met conditionele vertakkingen.
2. Identificatie van "Branch Steering": Ze definiëren een nieuwe aanvalsvector waarbij aanvallen niet de controleflow breken, maar de dataflow manipuleren om de agent een kwaadaardig pad binnen het legitieme plan te laten kiezen.
3. Hybride Deploy-strategie: De architectuur maakt het mogelijk om een krachtig, gesloten model (voor planning) te combineren met een lokaal, open-source model (voor waarneming). Dit behoudt privacy (de planner ziet nooit screenshots) en verlaagt kosten.
4. Empirische Validatie: Uitgebreide evaluatie op het OSWorld-benchmark.

Resultaten

De auteurs evalueerden hun systeem op het OSWorld-benchmark, dat taken meet in realistische desktop-omgevingen (Chrome, LibreOffice, GIMP, etc.).

• Prestatiebehoud: De beveiligde architectuur behoudt tot 57% van de oorspronkelijke prestaties van geavanceerde gesloten modellen (zoals Claude Sonnet 4.5) op de taaksluitingspercentages.
• Verbetering voor Open-Source Modellen: Voor kleinere open-source modellen (zoals UITars-1.5-7B) leidde de sterke planner tot een prestatieverbetering van maximaal 19%. Dit komt doordat de planner de redeneercapaciteit levert, terwijl het waarnemingsmodel zich richt op het uitvoeren van de stappen.
• Aanvalssuccessen:
  • Zonder verdediging waren de agents volledig kwetsbaar voor "Cookie Popup"-aanvallen (redirectie naar kwaadaardige sites).
  • Met DOM Consistency werden statische advertentie-aanvallen geblokkeerd, maar niet HTML5-gebaseerde aanvallen.
  • Met Multi-Modal Consensus werd de detectie verbeterd, maar bleek het systeem nog steeds kwetsbaar voor geoptimaliseerde pixel-aanvallen (adversarial perturbations) die zowel de screenshot als de DOM-structuur omzeilen zonder dat de verdediging dit detecteert. Dit benadrukt dat data-flow beveiliging fundamenteel moeilijker is dan controle-flow beveiliging.

Betekenis en Conclusie

Dit paper is een mijlpaal in de beveiliging van AI-agents. Het weerlegt de mythe dat robuuste, systeemcentrische beveiliging onverenigbaar is met dynamische computerautomatisering.

• Paradigmaverschuiving: Het toont aan dat veel taken die als "data-afhankelijk" werden beschouwd, eigenlijk vooraf gepland kunnen worden met voldoende conditionele logica.
• Toekomstperspectief: Naarmate de redeneercapaciteit van foundation-modellen verbetert, zal de nuttigheid van Single-Shot Planning toenemen zonder de beveiligingsarchitectuur te hoeven aanpassen.
• Beperkingen: Hoewel de controleflow veilig is, blijft de dataflow een zwakke schakel. De auteurs concluderen dat er nog meer onderzoek nodig is om data-flow manipulaties (zoals branch steering) volledig te mitigeren, mogelijk door aanvullende sandboxing of semantische beleidsregels.

Kortom, het paper biedt een bewezen, beveiligde architectuur voor CUAs die privacy, kosten en veiligheid in balans brengt, terwijl het de weg effent voor veiligere, schaalbare AI-agenten in de echte wereld.