에이전트의 원자성: 브라우저 사용 에이전트의 TOCTOU 취약점 분석, 활용 및 완화

Atomicity for Agents: Exposing, Exploiting, and Mitigating TOCTOU Vulnerabilities in Browser-Use Agents

브라우저 사용 에이전트는 일상적인 작업에 널리 사용되며, 구조화된 DOM 기반 인터페이스 또는 페이지 스크린샷을 기반으로 작동하는 비전 언어 모델을 통해 웹 페이지와의 자동 상호 작용을 가능하게 합니다. 그러나 웹 페이지는 계획과 실행 사이에 종종 변경되어, 에이전트가 오래된 가정에 기반하여 작업을 수행하게 됩니다. 우리는 이러한 시간 불일치를 브라우저 사용 에이전트의 '체크 시점과 사용 시점 간의 불일치(TOCTOU)' 취약점으로 간주합니다. 동적 또는 악의적인 웹 콘텐츠는 이러한 간극을 이용하여 의도하지 않은 동작을 유발할 수 있습니다. 본 연구에서는 합성된 웹사이트와 실제 웹사이트를 포함하는 벤치마크를 사용하여 브라우저 사용 에이전트의 TOCTOU 취약점에 대한 대규모 경험적 연구를 수행했습니다. 이 벤치마크를 사용하여 10개의 인기 있는 오픈 소스 에이전트를 평가한 결과, TOCTOU 취약점이 광범위하게 존재함을 확인했습니다. 사전 실행 검증을 기반으로 한 경량화된 완화 방법을 설계했습니다. 이 방법은 계획 단계 동안 DOM 및 레이아웃 변경을 모니터링하고, 작업 실행 직전에 페이지 상태를 검증합니다. 이러한 접근 방식은 안전하지 않은 실행 위험을 줄이고, 브라우저 사용 에이전트에서 의도하지 않은 부작용을 완화합니다.

Browser-use agents are widely used for everyday tasks. They enable automated interaction with web pages through structured DOM based interfaces or vision language models operating on page screenshots. However, web pages often change between planning and execution, causing agents to execute actions based on stale assumptions. We view this temporal mismatch as a time of check to time of use (TOCTOU) vulnerability in browser-use agents. Dynamic or adversarial web content can exploit this window to induce unintended actions. We present a large scale empirical study of TOCTOU vulnerabilities in browser-use agents using a benchmark that spans synthesized and real world websites. Using this benchmark, we evaluate 10 popular open source agents and show that TOCTOU vulnerabilities are widespread. We design a lightweight mitigation based on pre-execution validation. It monitors DOM and layout changes during planning and validates the page state immediately before action execution. This approach reduces the risk of insecure execution and mitigates unintended side effects in browser-use agents.