SPILLage: Agentisches Überteilen im Web
SPILLage: Agentic Oversharing on the Web
February 13, 2026
papers.authors: Jaechul Roh, Eugene Bagdasarian, Hamed Haddadi, Ali Shahin Shamsabadi
cs.AI
papers.abstract
LLM-gesteuerte Agenten beginnen damit, Aufgaben von Nutzern im offenen Web zu automatisieren, oft mit Zugriff auf Nutzerressourcen wie E-Mails und Kalender. Im Gegensatz zu Standard-LLMs, die Fragen in einer kontrollierten ChatBot-Umgebung beantworten, agieren Web-Agenten "in freier Wildbahn", interagieren mit Dritten und hinterlassen eine Aktionsspur. Daher stellen wir die Frage: Wie gehen Web-Agenten mit Nutzerressourcen um, wenn sie in deren Auftrag Aufgaben auf live-Websites erledigen? In diesem Artikel formalisieren wir "Natural Agentic Oversharing" – die unbeabsichtigte Offenlegung aufgabenirrelevanter Nutzerinformationen durch eine Agenten-Aktionsspur im Web. Wir stellen SPILLage vor, einen Rahmen, der Oversharing entlang zweier Dimensionen charakterisiert: Kanal (Inhalt vs. Verhalten) und Direktheit (explizit vs. implizit). Diese Taxonomie deckt einen kritischen blinden Fleck auf: Während sich frühere Arbeiten auf Textlecks konzentrieren, teilen Web-Agenten auch verhaltensbedingt zu viel durch Klicks, Scrolls und Navigationsmuster mit, die überwacht werden können. Wir benchmarken 180 Aufgaben auf Live-E-Commerce-Websites mit Ground-Truth-Annotationen, die aufgabenrelevante von aufgabenirrelevanten Attributen trennen. Über 1.080 Durchläufe hinweg, die zwei agentenbasierte Frameworks und drei zugrundeliegende LLMs umfassen, zeigen wir, dass Oversharing allgegenwärtig ist und verhaltensbedingtes Oversharing inhaltliches Oversharing um das 5-fache überwiegt. Dieser Effekt bleibt bestehen – und kann sich sogar verschlimmern – unter Prompt-basierter Abschwächung. Die Entfernung aufgabenirrelevanter Informationen vor der Ausführung verbessert die Aufgabenabschlussrate jedoch um bis zu 17,9 %, was zeigt, dass reduzierte Informationspreisgabe die Aufgabenerfüllung verbessert. Unsere Ergebnisse unterstreichen, dass der Schutz der Privatsphäre in Web-Agenten eine grundlegende Herausforderung darstellt, die eine weiter gefasste Sicht auf "Output" erfordert, die berücksichtigt, was Agenten im Web *tun*, nicht nur was sie tippen. Unsere Datensätze und Code sind verfügbar unter https://github.com/jrohsc/SPILLage.
English
LLM-powered agents are beginning to automate user's tasks across the open web, often with access to user resources such as emails and calendars. Unlike standard LLMs answering questions in a controlled ChatBot setting, web agents act "in the wild", interacting with third parties and leaving behind an action trace. Therefore, we ask the question: how do web agents handle user resources when accomplishing tasks on their behalf across live websites? In this paper, we formalize Natural Agentic Oversharing -- the unintentional disclosure of task-irrelevant user information through an agent trace of actions on the web. We introduce SPILLage, a framework that characterizes oversharing along two dimensions: channel (content vs. behavior) and directness (explicit vs. implicit). This taxonomy reveals a critical blind spot: while prior work focuses on text leakage, web agents also overshare behaviorally through clicks, scrolls, and navigation patterns that can be monitored. We benchmark 180 tasks on live e-commerce sites with ground-truth annotations separating task-relevant from task-irrelevant attributes. Across 1,080 runs spanning two agentic frameworks and three backbone LLMs, we demonstrate that oversharing is pervasive with behavioral oversharing dominates content oversharing by 5x. This effect persists -- and can even worsen -- under prompt-level mitigation. However, removing task-irrelevant information before execution improves task success by up to 17.9%, demonstrating that reducing oversharing improves task success. Our findings underscore that protecting privacy in web agents is a fundamental challenge, requiring a broader view of "output" that accounts for what agents do on the web, not just what they type. Our datasets and code are available at https://github.com/jrohsc/SPILLage.