SPILLage: Agentisch Overdelen op het Web
SPILLage: Agentic Oversharing on the Web
February 13, 2026
Auteurs: Jaechul Roh, Eugene Bagdasarian, Hamed Haddadi, Ali Shahin Shamsabadi
cs.AI
Samenvatting
LLM-gestuurde agents beginnen gebruikers taken te automatiseren op het open web, vaak met toegang tot gebruikersbronnen zoals e-mails en agenda's. In tegenstelling tot standaard-LLM's die vragen beantwoorden in een gecontroleerde chatbotomgeving, opereren webagents 'in het wild', waarbij ze interacteren met derden en een actiespoor achterlaten. Daarom stellen wij de vraag: hoe gaan webagents om met gebruikersbronnen wanneer zij taken voor hen voltooien op live websites? In dit artikel formaliseren we Natural Agentic Oversharing – de onbedoelde openbaarmaking van taakonrelevante gebruikersinformatie via een agentspoor van acties op het web. We introduceren SPILLage, een raamwerk dat oversharing karakteriseert langs twee dimensies: kanaal (inhoud vs. gedrag) en directheid (expliciet vs. impliciet). Deze taxonomie onthult een kritieke blinde vlek: waar eerder werk zich richt op tekstlekken, delen webagents ook informatie gedragsmatig door middel van klikken, scrollbewegingen en navigatiepatronen die gemonitord kunnen worden. We benchmarken 180 taken op live e-commerce sites met grondwaarannotaties die taakrelevante van taakonrelevante attributen scheiden. Over 1.080 runs, verdeeld over twee agent-raamwerken en drie onderliggende LLM's, tonen we aan dat oversharing alomtegenwoordig is, waarbij gedragsmatig oversharing inhoudelijk oversharing met een factor 5 domineert. Dit effect houdt aan – en kan zelfs verergeren – bij mitigatie op promptniveau. Het verwijderen van taakonrelevante informatie vóór uitvoering verbetert de taaksucces echter met tot 17,9%, wat aantoont dat het verminderen van oversharing de taakuitvoering verbetert. Onze bevindingen onderstrepen dat het beschermen van privacy in webagents een fundamentele uitdaging is, die een bredere kijk op "output" vereist die rekening houdt met wat agents *doen* op het web, niet alleen met wat ze typen. Onze datasets en code zijn beschikbaar op https://github.com/jrohsc/SPILLage.
English
LLM-powered agents are beginning to automate user's tasks across the open web, often with access to user resources such as emails and calendars. Unlike standard LLMs answering questions in a controlled ChatBot setting, web agents act "in the wild", interacting with third parties and leaving behind an action trace. Therefore, we ask the question: how do web agents handle user resources when accomplishing tasks on their behalf across live websites? In this paper, we formalize Natural Agentic Oversharing -- the unintentional disclosure of task-irrelevant user information through an agent trace of actions on the web. We introduce SPILLage, a framework that characterizes oversharing along two dimensions: channel (content vs. behavior) and directness (explicit vs. implicit). This taxonomy reveals a critical blind spot: while prior work focuses on text leakage, web agents also overshare behaviorally through clicks, scrolls, and navigation patterns that can be monitored. We benchmark 180 tasks on live e-commerce sites with ground-truth annotations separating task-relevant from task-irrelevant attributes. Across 1,080 runs spanning two agentic frameworks and three backbone LLMs, we demonstrate that oversharing is pervasive with behavioral oversharing dominates content oversharing by 5x. This effect persists -- and can even worsen -- under prompt-level mitigation. However, removing task-irrelevant information before execution improves task success by up to 17.9%, demonstrating that reducing oversharing improves task success. Our findings underscore that protecting privacy in web agents is a fundamental challenge, requiring a broader view of "output" that accounts for what agents do on the web, not just what they type. Our datasets and code are available at https://github.com/jrohsc/SPILLage.