AgentHazard : Un Benchmark pour l'Évaluation des Comportements Nocifs chez les Agents Informatiques
AgentHazard: A Benchmark for Evaluating Harmful Behavior in Computer-Use Agents
April 3, 2026
Auteurs: Yunhao Feng, Yifan Ding, Yingshui Tan, Xingjun Ma, Yige Li, Yutao Wu, Yifeng Gao, Kun Zhai, Yanming Guo
cs.AI
Résumé
Les agents informatiques étendent les capacités des modèles de langage au-delà de la génération de texte vers des actions persistantes sur des outils, des fichiers et des environnements d'exécution. Contrairement aux systèmes de dialogue, ils maintiennent un état à travers les interactions et traduisent les résultats intermédiaires en actions concrètes. Cela crée un défi de sécurité distinct, car des comportements nuisibles peuvent émerger via des séquences d'étapes individuellement plausibles, incluant des actions intermédiaires localement acceptables mais conduisant collectivement à des actions non autorisées. Nous présentons AgentHazard, un benchmark pour évaluer les comportements nuisibles des agents informatiques. AgentHazard contient 2 653 instances couvrant diverses catégories de risques et stratégies d'attaque. Chaque instance associe un objectif nuisible à une séquence d'étapes opérationnelles localement légitimes mais induisant conjointement un comportement dangereux. Le benchmark évalue si les agents peuvent reconnaître et interrompre les dommages résultant d'un contexte accumulé, d'usages répétés d'outils, d'actions intermédiaires et de dépendances entre les étapes. Nous évaluons AgentHazard sur Claude Code, OpenClaw et IFlow en utilisant principalement des modèles ouverts ou librement déployables des familles Qwen3, Kimi, GLM et DeepSeek. Nos résultats expérimentaux indiquent que les systèmes actuels restent très vulnérables. En particulier, lorsqu'il est alimenté par Qwen3-Coder, Claude Code présente un taux de réussite d'attaque de 73,63 %, suggérant que l'alignement des modèles seul ne garantit pas de manière fiable la sécurité des agents autonomes.
English
Computer-use agents extend language models from text generation to persistent action over tools, files, and execution environments. Unlike chat systems, they maintain state across interactions and translate intermediate outputs into concrete actions. This creates a distinct safety challenge in that harmful behavior may emerge through sequences of individually plausible steps, including intermediate actions that appear locally acceptable but collectively lead to unauthorized actions. We present AgentHazard, a benchmark for evaluating harmful behavior in computer-use agents. AgentHazard contains 2,653 instances spanning diverse risk categories and attack strategies. Each instance pairs a harmful objective with a sequence of operational steps that are locally legitimate but jointly induce unsafe behavior. The benchmark evaluates whether agents can recognize and interrupt harm arising from accumulated context, repeated tool use, intermediate actions, and dependencies across steps. We evaluate AgentHazard on Claude Code, OpenClaw, and IFlow using mostly open or openly deployable models from the Qwen3, Kimi, GLM, and DeepSeek families. Our experimental results indicate that current systems remain highly vulnerable. In particular, when powered by Qwen3-Coder, Claude Code exhibits an attack success rate of 73.63\%, suggesting that model alignment alone does not reliably guarantee the safety of autonomous agents.