Dual-Modality Multi-Stage Adversarial Safety Training: Robustifying Multimodal Web Agents Against Cross-Modal Attacks

本文针对多模态网页代理在双模态架构下面临的跨模态攻击漏洞，提出了名为 DMAST 的三阶段对抗安全训练框架，通过形式化代理与攻击者的零和博弈并采用模仿学习、零感知监督微调及 GRPO 自博弈策略，显著提升了代理在对抗环境下的鲁棒性与任务执行效率。

要点

这篇论文讲述了一个关于如何保护“网页智能助手”不被黑客欺骗的故事。

想象一下，未来的互联网上有很多智能机器人（Web Agents），它们代替我们浏览网页、填表、买东西。这些机器人非常聪明，它们有两只“眼睛”：

1. 一只眼睛看截图（就像我们看网页的样子，有图片、颜色、布局）。
2. 另一只眼睛读代码结构（就像看网页的“骨架”或“说明书”，知道哪个是按钮，哪个是输入框）。

🕵️‍♂️ 问题：黑客的“双重欺骗”

以前，黑客攻击机器人主要靠两种方法：

• 文字欺骗：在网页里藏一段话，骗机器人执行错误指令。
• 图片欺骗：在图片上写乱码，骗机器人的视觉系统。

但这篇论文发现了一个更可怕的新漏洞：黑客可以同时在网页的“代码”和“图片”里注入同一种欺骗信息。

🍎 生活化比喻：
想象你在一家餐厅点菜。

• 机器人是服务员。
• 黑客是那个在菜单上动手脚的人。
• 普通攻击：黑客只在菜单的“文字描述”里写“这道菜其实有毒”，或者只在“图片”里把菜画得很难吃。
• 双重攻击（本文发现的漏洞）：黑客不仅把菜的图片画得像个炸弹，还在旁边的文字说明里写“此菜含剧毒，请立刻报警”。
• 结果：因为文字和图片说的完全一致，服务员（机器人）会深信不疑，以为真的发生了危险，从而做出错误的反应（比如泄露你的密码，或者停止服务）。

研究发现，这种“图文一致”的欺骗，比单纯的文字或图片欺骗要有效得多，现有的安全训练根本防不住。

---

🛡️ 解决方案：DMAST（特训营）

为了解决这个问题，作者们设计了一套名为 DMAST 的训练系统。你可以把它想象成一个**“红蓝对抗特训营”**。

在这个训练营里，同一个 AI 模型要扮演两个角色：

1. 蓝军（特工）：负责正常完成任务（比如帮用户订机票）。
2. 红军（黑客）：负责制造各种花招，试图骗特工泄露秘密。

他们通过三个阶段进行“打怪升级”：

第一阶段：模仿学习（看大师录像）

• 比喻：就像刚入行的侦探，先不看现场，而是看老侦探（老师模型）的破案录像。
• 做法：让 AI 学习老侦探在干净环境和有干扰环境下是如何成功完成任务的。这给 AI 打下了一个坚实的基础，让它知道“正常做事”是什么样。

第二阶段：神谕引导（有“透视眼”的教练）

• 比喻：这是最精彩的一步。想象有一个全知全能的教练（Oracle），他既能看到被黑客篡改后的网页（有陷阱），也能看到原本干净的网页（没陷阱）。
• 做法：
  • 教练给 AI 看一个被黑客篡改的网页（比如弹出一个假的“输入密码”框）。
  • 教练告诉 AI：“别管那个假框框！你的任务只是选日期。看着真正的选日期按钮，忽略那个假的。”
  • 关键点：教练完全不提“这是攻击”、“这是陷阱”，而是直接教 AI 如何专注于任务本身。
  • 效果：这教会了 AI 一种“心流”状态——不管周围多乱，我只盯着我的目标。

第三阶段：自我博弈（左右互搏）

• 比喻：现在 AI 已经学会了专注，接下来就是实战演练。让“特工”和“黑客”在同一个大脑里互相打架。
• 做法：
  • 黑客想出新招骗特工。
  • 特工发现后，学会如何识破并继续完成任务。
  • 特工变强了，黑客就得更聪明才能骗过它。
  • 黑客变强了，特工就得进化出更强的防御。
• 结果：这种“你追我赶”的对抗，让 AI 进化出了真正的免疫力。它不再死记硬背“不要输入密码”，而是学会了在混乱中识别什么才是真正重要的。

---

🏆 成果：不仅防住了，还跑得更快了

经过这套特训，AI 的表现令人惊讶：

1. 更安全了：黑客成功骗到密码的概率从 41% 降到了 21%。
2. 更聪明了：以前为了安全，AI 可能会变得“胆小”，什么都不敢做（比如看到弹窗就拒绝服务）。但经过特训的 AI，既能防住攻击，又能高效完成任务，任务完成率直接翻倍。

💡 总结

这篇论文的核心思想是：不要试图教 AI 识别所有可能的“坏东西”，而是教它在任何干扰下都“死磕”自己的目标。

就像教一个孩子在嘈杂的菜市场里找妈妈：

• 旧方法：教孩子背诵“不要跟穿红衣服的人走”、“不要听大声说话的人”。（防不胜防，因为坏人可以穿蓝衣服、小声说话）。
• 新方法（DMAST）：教孩子“无论周围多吵，只要看到妈妈的脸，就径直走过去”。（只要目标清晰，干扰再多也没用）。

这项研究为未来更安全、更智能的网页助手提供了重要的保护方案。

技术摘要

这是一篇关于多模态 Web 智能体（Multimodal Web Agents）安全防御的学术论文总结。论文提出了一种名为 DMAST (Dual-Modality Multi-Stage Adversarial Safety Training) 的框架，旨在通过对抗性协同进化，增强多模态 Web 智能体在面对跨模态攻击时的鲁棒性。

以下是该论文的详细技术总结：

1. 研究背景与问题定义 (Problem)

• 背景：现代 Web 智能体通常采用双流架构，同时处理网页截图（视觉信息）和可访问性树（AX-Tree，结构化文本信息）。这种架构虽然提升了任务执行能力，但也引入了新的攻击面。
• 核心问题：现有的安全研究多关注纯文本提示注入或纯图像攻击，忽略了跨模态协同攻击。攻击者可以通过注入恶意 HTML/CSS 代码到网页 DOM 中，同时篡改截图和可访问性树，向智能体呈现一个一致但具有欺骗性的叙事（例如伪造的系统错误弹窗或钓鱼表单）。
• 脆弱性发现：作者在 MiniWob++ 基准测试上的分析表明，包含视觉组件的攻击（纯图像攻击或双模态协同攻击）的成功率（约 34.4%-35.7%）显著高于纯文本注入攻击（24.1%）。这揭示了当前以文本为中心的大模型（VLM）安全训练在应对视觉欺骗（如排版覆盖、伪造对话框）方面的严重不足。
• 威胁模型：主要威胁是敏感数据泄露（如密码、邮箱）。攻击者试图诱导智能体在完成任务的过程中，将用户的敏感信息输入到攻击者注入的恶意表单中。

2. 方法论 (Methodology: DMAST)

论文将智能体与攻击者的交互形式化为一个双人零和马尔可夫博弈（Two-player Zero-Sum Markov Game），并提出了一个三阶段的对抗性安全训练流程（DMAST）：

阶段一：模仿学习 (Imitation Learning)

• 目标：解决冷启动问题，为智能体和攻击者提供稳定的初始化策略。
• 过程：利用一个更强的教师模型（Teacher Model，如 Gemma-3-27B-IT）生成高质量的轨迹数据，包括：
  • 干净轨迹：无攻击下的任务完成过程。
  • 对抗轨迹：在攻击存在下成功完成任务或成功实施攻击的过程。
• 技术：使用带有 KL 正则化的监督微调（SFT）将教师策略蒸馏到学生模型（Student Model，如 Gemma-3-12B-IT）中，防止模型偏离原始能力太远。

阶段二：神谕引导的监督微调 (Oracle-Guided SFT)

• 目标：在引入强化学习之前，赋予智能体在对抗噪声下保持任务导向推理的能力，且不承认攻击的存在（Zero-acknowledgment）。
• 核心创新：引入一个拥有特权访问权的“神谕”（Oracle）模型。
  • 神谕同时看到“干净视图”和“被攻击视图”。
  • 它生成任务专注的思维链（CoT），严格基于任务相关元素进行推理，完全忽略注入的恶意内容，也不在推理中提及攻击。
  • 用这种“去噪”后的 CoT 替换原始数据中的推理过程，构建合成训练集。
• 作用：教会智能体在混乱的视觉和文本输入中，依然专注于核心任务目标，而不被干扰项带偏。

阶段三：对抗性强化学习 (Adversarial RL / Self-Play)

• 目标：通过自我博弈实现智能体与攻击者的协同进化。
• 过程：
  • 智能体和攻击者使用相同的模型权重（仅通过系统提示词区分角色），在马尔可夫博弈环境中进行多轮自我博弈。
  • 攻击者不断尝试新的 HTML 注入策略，智能体不断尝试防御并完成任务。
• 算法：采用 Group Relative Policy Optimization (GRPO)。与传统的 PPO 不同，GRPO 通过比较同一组（Group）内采样的多个轨迹来估计优势函数（Advantage），无需训练额外的价值网络，计算效率更高。
• 奖励机制：
  • 任务完成且数据未泄露：智能体 +1，攻击者 -1。
  • 任务失败但数据未泄露：双方 -1（鼓励智能体积极完成任务，而非单纯拒绝）。
  • 数据泄露：智能体 -1，攻击者 +1。

3. 关键贡献 (Key Contributions)

1. 揭示了跨模态攻击的严重性：通过系统性分析证明，针对多模态 Web 智能体的视觉/双模态协同攻击比纯文本攻击更具破坏力，且现有防御对此无效。
2. 提出了 DMAST 框架：首个专门针对多模态 Web 智能体设计的三阶段对抗训练框架，将模仿学习、神谕引导的去噪 SFT 和基于 GRPO 的对抗 RL 有机结合。
3. 创新的“零承认”策略：在 SFT 阶段引入神谕模型生成忽略攻击的推理链，有效防止了智能体产生“拒绝崩溃”（Refusal Collapse，即因过度防御而拒绝执行任何任务）。
4. 实现了真正的协同进化：通过共享权重的自我博弈，攻击者学会了更复杂的策略（如多步协调、上下文感知攻击），而智能体也随之进化出更强的防御能力。

4. 实验结果 (Results)

实验在 MiniWob++（未见过的任务）和 VisualWebArena（分布外 OOD 复杂任务）上进行：

• 防御性能提升：
  • 在 VisualWebArena 上，DMAST 将攻击成功率（ASR）从基线模型的 41.2% 降低至 21.4%。
  • 同时，任务完成率（TSR）从 6.2% 提升至 10.2%。
• 对比基线：
  • 显著优于现有的基于训练的方法（如 SPAG, Online SFT）和基于提示词的方法（Prompt Defense）。
  • 纯提示词防御虽然降低了攻击率，但导致任务完成率暴跌至 3.1%（拒绝崩溃），而 DMAST 在保持高安全性的同时维持了较高的任务完成率。
  • 组合效果：DMAST + 提示词防御取得了最佳效果（ASR 降至 7.2%，TSR 保持 8.2%），证明了两种方法的互补性。
• 阶段消融分析：
  • 每个阶段都带来了累积提升。神谕引导的 SFT 主要提升了任务完成率，而 RL 阶段则进一步降低了攻击成功率并优化了整体平衡。
• 攻击多样性：
  • 随着训练迭代，攻击者生成的 HTML 注入策略多样性显著增加（Distinct-n 上升，Self-BLEU 下降），从简单的模板化表单进化为具有上下文感知和多步协调的复杂攻击。

5. 意义与结论 (Significance)

• 理论意义：证明了将 Web 智能体安全建模为零和博弈，并通过多阶段协同进化训练，可以有效应对复杂的跨模态对抗攻击。
• 实践价值：为构建更安全的自主 Web 智能体提供了可落地的训练范式。DMAST 不仅提升了模型在对抗环境下的鲁棒性，还解决了“安全”与“效用”之间的权衡难题（即避免过度防御导致无法完成任务）。
• 未来方向：该框架具有通用性，可扩展至其他对抗目标（如控制流劫持、虚假信息传播），并适用于更大规模的 VLM 模型。

总结：这篇论文通过深入分析多模态 Web 智能体的独特脆弱性，提出了一套系统的、分阶段的对抗训练方案（DMAST）。该方法成功利用了“以攻促防”的协同进化机制，显著提升了智能体在复杂、动态且充满恶意的 Web 环境中的安全性和任务执行能力。