Sichere Computer‑Nutzung: KI‑Agenten mit Architektur‑Isolation gegen Angriffe

KI‑Agenten, die Bildschirme lesen und Aktionen ausführen, sind besonders anfällig für Prompt‑Injection‑Angriffe, bei denen bösartige Inhalte das Verhalten des Agenten manipulieren, um Zugangsdaten zu stehlen oder finanzielle Schäden zu verursachen. Der einzige bewährte Schutz besteht in einer architektonischen Isolation, die die Planung von vertrauenswürdigen Aufgaben strikt von den Beobachtungen der nicht vertrauenswürdigen Umgebung trennt.

Bei Computer‑Use‑Agents (CUAs) – Systemen, die Aufgaben automatisieren, indem sie Bildschirme betrachten und Befehle ausführen – stellt diese Isolation ein grundlegendes Problem dar. CUAs benötigen kontinuierliche Beobachtungen des UI‑Zustands, um jede Aktion zu bestimmen, was im Widerspruch zur notwendigen Trennung steht. Die Lösung besteht in der Einführung von Single‑Shot‑Planning: ein vertrauenswürdiger Planer erstellt vor jeglicher Beobachtung eines potenziell schädlichen Inhalts ein vollständiges Ausführungsgraphen mit bedingten Verzweigungen. Dadurch erhält man nachweisbare Garantien für die Integrität des Kontrollflusses gegen beliebige Anweisungsinjektionen.

Obwohl diese Architektur Injektionen verhindert, zeigen die Autoren, dass zusätzliche Maßnahmen erforderlich sind, um Branch‑Steering‑Angriffe zu blockieren. Bei solchen Angriffen werden UI‑Elemente manipuliert, um unbeabsichtigte, aber gültige Pfade im Plan auszulösen.

Die vorgeschlagene Lösung wurde auf dem OSWorld‑Benchmark getestet. Dabei konnte sie bis zu 57 % der Leistung der führenden Modelle beibehalten und die Leistung kleinerer Open‑Source‑Modelle um bis zu 19 % steigern. Das Ergebnis verdeutlicht, dass robuste Sicherheit und praktische Nutzbarkeit in Computer‑Use‑Agents gleichzeitig erreichbar sind.