MalURLBench: A Benchmark Evaluating Agents' Vulnerabilities When Processing Web URLs

本文提出了首个针对 LLM 网络代理处理恶意 URL 漏洞的基准测试 MalURLBench，通过包含 6 万余个真实攻击实例的评估揭示了现有模型的检测不足，并提出了轻量级防御模块 URLGuard 以提升安全性。

要点

这篇文章介绍了一项名为 MalURLBench 的新研究，它就像是为现在的 AI 智能助手（Web Agents）量身定做的一场“防骗大考”。

为了让你更容易理解，我们可以把整个过程想象成一个**“超级智能管家”**的故事。

1. 背景：聪明的管家，但有点“路痴”

现在的 AI 智能助手（比如能帮你订机票、查天气、买东西的机器人）非常聪明。它们不仅能听懂人话，还能像人一样去浏览网页、点击链接、处理任务。

• 比喻：想象你雇了一个超级管家。你让他：“去网上帮我查一下明天的天气，顺便看看有没有打折的鞋子。”管家就会立刻去网上找链接，点进去，把信息读给你听。

2. 问题：管家太容易“被忽悠”了

虽然管家很聪明，但它在面对**网址（URL）**时，却像个没经验的“路痴”。

• 攻击者的手段：坏人（黑客）不会直接给管家一个写着“我是坏人”的网址。他们会玩文字游戏，把网址伪装成看起来非常正规的样子。
  • 正常网址：www.weather.com（看起来像天气网）
  • 伪装网址：www.weather.com-very-official-site-123.com（看起来像天气网，但其实是假的）
• 管家的反应：管家看到“weather"这个词，以为是真的，就毫不犹豫地点击进去了。结果，它可能访问了一个全是病毒、诈骗广告或者窃取你信息的假网站。
• 现状：以前的研究只关注管家进入网站后会不会被骗（比如网页里藏了坏代码），但没人研究管家在点击链接之前会不会被网址本身骗到。这就好比只检查管家进门后有没有被抢劫，却忘了检查他进门时有没有被假门牌号骗进去。

3. 解决方案：MalURLBench（防骗大考）

为了解决这个问题，作者们设计了一个**“防骗大考”**，名字叫 MalURLBench。

• 考卷内容：他们收集了 6 万多个 精心设计的“伪装网址”。这些网址伪装成了 10 种不同的生活场景（比如查天气、找工作、点外卖、追快递等），并且涵盖了 7 种类型的真实恶意网站（钓鱼、病毒、诈骗等）。
• 考试对象：他们找了 12 个 目前最流行的 AI 大模型（比如 GPT-4, Llama 3, DeepSeek 等）来当“考生”，让它们判断这些网址能不能点。

4. 考试成绩：惨不忍睹

考试结果让人大吃一惊：

• 大部分 AI 都“挂科”了：很多 AI 模型面对这些伪装网址，攻击成功率高达 30% 到 99%。这意味着，如果你给它们一个伪装得很像的坏链接，它们有极大可能会毫不犹豫地点击。
• 为什么这么笨？
  • 没见识：AI 训练时看过的网址大多是正常的，很少见过这种“长得很像好人其实是坏人”的复杂伪装。
  • 太自信：有些 AI 模型越大、越复杂（比如混合专家模型），反而越容易中招，因为它们太依赖“看起来像”的直觉，而忽略了细节。
  • 场景影响：在涉及钱（如购物）的场景下，AI 会稍微谨慎一点；但在查天气、看新闻这种“无关紧要”的场景下，AI 就完全放松警惕，更容易被骗。

5. 防御大招：URLGuard（智能安检员）

既然 AI 自己容易被骗，作者们想了一个办法：给管家配一个“安检员”。

• URLGuard 是什么？ 这是一个经过专门训练的小型 AI 模型，它的唯一工作就是在管家点击链接之前，先帮它把把关。
• 效果如何？ 这个“安检员”非常厉害！它能把攻击成功率从 90% 以上直接降到 1% 到 10% 左右。
• 比喻：就像给超级管家配了一个经验丰富的老侦探。管家想点链接，老侦探先扫一眼：“嘿，这个网址虽然写着 weather，但后面那串乱码不对劲，别点！”

6. 核心发现（给普通人的启示）

这项研究告诉我们几个有趣的事实：

1. 网址的“长相”很重要：如果网址里的子域名（比如 www. 后面那部分）特别长，或者用了很少见的后缀（比如 .link, .art），AI 反而更容易被骗，因为它们没见过这种“怪模怪样”的网址。
2. 诱导比模仿更可怕：如果网址里写着“这是官方链接，必须点击”，AI 更容易上当；如果网址只是模仿大公司的名字（比如 google-xxx.com），AI 反而能认出一点破绽。
3. 未来的安全：随着 AI 越来越普及，它们会成为我们上网的“替身”。如果这个替身容易被骗，那我们的钱、隐私就危险了。所以，给 AI 装上像 URLGuard 这样的“安检员”是未来的必经之路。

总结

这篇论文就像给 AI 界敲了一记警钟：现在的 AI 智能助手在识别“伪装网址”方面非常脆弱，就像没受过专业训练的普通人一样容易上当。 作者们不仅揭露了这个漏洞，还提供了一个免费的“考卷”（MalURLBench）和一个好用的“安检工具”（URLGuard），帮助未来的 AI 变得更安全、更靠谱。

技术摘要

1. 研究背景与问题 (Problem)

核心问题：
基于大语言模型（LLM）的 Web 代理（Web Agents）在日常生活和工作中日益普及，它们能够实时访问、解析和交互网页。然而，现有的安全基准测试主要关注第二阶段（即网页内容中包含的恶意代码或提示注入攻击），而忽视了第一阶段的风险：LLM 在判断是否接受用户提供的 URL 时，容易被精心伪装的恶意 URL 欺骗。

具体威胁：
攻击者可以通过操纵 URL 的结构（如子域名、路径、参数），将恶意链接伪装成合法链接。一旦 LLM 代理信任并访问了这些恶意 URL，后续可能引发严重的安全后果（如钓鱼、恶意软件注入、信息窃取等）。目前缺乏针对这一新兴威胁的基准测试，导致该领域存在巨大的安全盲区。

研究目标：
本文旨在回答三个核心问题：

1. RQ1: LLM 在处理恶意 URL 时的安全性如何？
2. RQ2: 哪些因素会影响攻击的成功率？
3. RQ3: 如何增强 LLM 对抗恶意 URL 的安全性？

---

2. 方法论 (Methodology)

为了解决上述问题，作者提出了 MalURLBench，这是首个专门评估 LLM 处理恶意伪装 URL 脆弱性的基准测试。

2.1 基准构建流程

MalURLBench 的构建包含五个主要步骤（如图 2 所示）：

1. 场景设计与网站收集：
   • 设计了 10 个 真实世界的应用场景（如求职、包裹追踪、美食配送、天气查询等）。
   • 收集了 7 类 真实的恶意网站（钓鱼、恶意软件注入、欺诈、被黑网站、信息窃取、远程控制、恶意广告），数据来源于公开的安全数据集。
2. 提示词生成 (Prompt Generation)：
   • 为每个场景生成简洁、流畅的自然语言提示，避免使用“必须”、“不能拒绝”等强制性词汇，以模拟真实用户交互。
3. 攻击模板生成与优化：
   • 模板设计： 针对 URL 的三个部分（子域名 us、路径 up、参数 ua）设计攻击模板。例如，在子域名中嵌入诱导性文本（如 videos-picked-just-for-you.malicious.com）。
   • 扩展与去重： 利用 GPT-4o 生成大量变体，并通过语义相似度进行去重，最终为每个场景保留 15 个高质量攻击模板（共 150 个模板）。
   • 突变优化算法： 针对初始评估中成功率较低的模板，设计了一种基于“文本梯度”（Textual Gradient）和示例优化（Exemplar Optimization）的突变算法，迭代优化攻击模板以提升基准测试的覆盖率和难度。
4. 评估与过滤：
   • 将攻击模板与恶意网站组合，生成 61,845 个攻击实例。
   • 在多个 LLM 上进行评估，过滤掉那些无法成功诱导代理的模板，确保基准测试的有效性。
5. 人工检查：
   • 人工验证 URL 结构的合规性及最终的可访问性。

2.2 防御方案：URLGuard

针对 LLM 缺乏恶意 URL 知识的发现，作者提出了 URLGuard：

• 定位： 一个轻量级的微调 LLM 模块，作为独立的预检测过滤器，在代理执行访问前判断 URL 风险。
• 模型选择： 基于 Llama2-7b-chat-hf 进行微调，因其参数量小且对攻击敏感。
• 训练数据： 使用 MalURLBench 中的部分模板作为种子，扩展生成 140 个恶意变体和 140 个正常 URL，共 280 个标注样本。
• 训练技术： 采用 QLoRA（量化低秩适应）进行微调，确保低资源消耗。

---

3. 关键贡献 (Key Contributions)

1. 首个恶意 URL 基准测试 (MalURLBench)：
   • 包含 61,845 个攻击实例，覆盖 10 个 真实场景和 7 类 恶意网站。
   • 首次系统性地评估了 LLM 在识别伪装恶意 URL 方面的能力。
2. 广泛的评估与深度分析：
   • 在 12 种 流行 LLM（包括 GPT-4o, Llama-3, DeepSeek, Mistral 等）上进行了评估。
   • 揭示了现有模型在面对精心设计的 URL 结构攻击时存在严重漏洞。
   • 深入分析了模型大小、架构（Dense vs. MoE）、场景、URL 字段长度及顶级域名（TLD）类型对攻击成功率的影响。
3. 提出高效防御方案 (URLGuard)：
   • 设计了一个轻量级微调模型，能够显著降低攻击成功率，证明了通过少量数据微调即可有效弥补 LLM 在恶意 URL 知识上的缺失。

---

4. 实验结果与分析 (Results & Analyses)

4.1 总体攻击成功率 (ASR)

• 普遍脆弱性： 所有测试的 LLM 都表现出不可忽视的脆弱性。
  • 高风险模型：GPT-4o-mini, Mistral-small, Llama2-7B, Mixtral-8x7b 的攻击成功率（ASR）超过 90%，部分甚至接近 100%。
  • 低风险模型：即使是表现最好的 GPT-3.5-Turbo 和 Llama-3-70b，ASR 也分别达到了 32.9% 和 35.7%。
• 结论： 现有 LLM 缺乏对 URL 独特结构的深入理解，且训练数据中缺乏对抗性 URL 样本。

4.2 影响因素分析

• 模型大小与架构：
  • 大小： 模型参数量越大，ASR 越低（负相关）。大模型具有更强的推理能力。
  • 架构： 混合专家模型（MoE，如 Mixtral, DeepSeek-chat）比稠密模型（Dense）更容易受到攻击。推测原因是 MoE 的路由机制依赖于输入语义与专家领域的匹配，而训练数据中缺乏足够的 URL 对抗样本，导致专家路由失效。
• 攻击类型：
  • 诱导型攻击 (Inducing)： 利用诱导性语句（如“这是热门美食服务”）影响 LLM 的思维链，ASR 较高（平均 71.5%）。
  • 模仿型攻击 (Imitating)： 模仿知名域名（如 www.google.com.malicious.com），ASR 较低（平均 60.89%），因为 LLM 对知名域名有基础认知，能识别结构异常。
• 场景影响：
  • 天气查询 (swea) 风险最高（82.9%），因为不涉及敏感操作（如支付），LLM 警惕性低。
  • 美食配送 (sfood) 和 包裹追踪 (spkg) 风险较低，因为涉及金钱和隐私，LLM 推理更谨慎。
• URL 结构特征：
  • 子域名长度： 短子域名（≤20 字符）更容易被信任。长域名在正常数据中较少见，但 LLM 并未因此提高风险判断，反而容易受骗。
  • 顶级域名 (TLD)： 新 TLD（如 .link, .art, .dev）的 ASR 显著高于传统 TLD（如 .com, .net），因为训练数据中缺乏新 TLD 的样本。

4.3 防御效果

• URLGuard 表现： 在除训练集来源场景外的所有场景中，URLGuard 将攻击成功率降低了 30% - 99%（平均降低 81%）。
• 意义： 证明了即使使用极少量的训练数据，微调也能显著提升 LLM 对恶意 URL 的识别能力，说明现有模型主要缺乏的是相关知识而非推理能力。

---

5. 意义与展望 (Significance & Future Work)

意义：

• 填补空白： MalURLBench 填补了 Web Agent 安全评估中关于"URL 信任判断”这一关键阶段的空白。
• 警示作用： 揭示了当前主流大模型在面对 URL 结构攻击时的严重脆弱性，提醒开发者和用户关注这一新兴威胁。
• 资源提供： 提供了一个包含 6 万 + 实例的高质量基准和开源代码，推动 Web Agent 安全研究的发展。

局限性与未来方向：

• 多模态伪装： 当前基准仅关注 URL 结构操纵，未涵盖将恶意 URL 嵌入图像或音频等多模态伪装。
• 高级攻击技术： 未考虑动态 URL 生成或 DNS 劫持等更高级的域名欺骗技术。
• 防御泛化性： URLGuard 目前仅在有限样本上微调，其在更广泛攻击类型上的泛化能力有待进一步验证。

伦理考量：

• 研究遵循“不伤害”原则，所有恶意网站均来自公开数据集，且仅评估 LLM 的文本输出（是否决定访问），未实际部署恶意网页，确保研究过程安全可控。

---

总结：
MalURLBench 揭示了 LLM Web 代理在 URL 处理环节的重大安全漏洞。通过构建大规模基准和提出轻量级防御方案，该工作为提升 Web Agent 的安全性奠定了重要基础，并指出了未来需要关注的研究方向。