AgentHazard: Een Benchmark voor het Evalueren van Schadelijk Gedrag bij Computergebruikende Agentschappen
AgentHazard: A Benchmark for Evaluating Harmful Behavior in Computer-Use Agents
April 3, 2026
Auteurs: Yunhao Feng, Yifan Ding, Yingshui Tan, Xingjun Ma, Yige Li, Yutao Wu, Yifeng Gao, Kun Zhai, Yanming Guo
cs.AI
Samenvatting
Computer-use agents breiden taalmodellen uit van tekstgeneratie naar permanente actie op tools, bestanden en uitvoeringsomgevingen. In tegenstelling tot chatsystemen behouden ze de staat tussen interacties en vertalen ze tussentijdse uitkomsten naar concrete acties. Dit creëert een specifieke veiligheidsuitdaging, omdat schadelijk gedrag kan ontstaan via reeksen van afzonderlijk plausibele stappen, inclusief tussentijdse acties die lokaal acceptabel lijken maar gezamenlijk tot onbevoegde handelingen leiden. Wij presenteren AgentHazard, een benchmark voor het evalueren van schadelijk gedrag in computer-use agents. AgentHazard bevat 2.653 instanties die diverse risicocategorieën en aanvalsstrategieën bestrijken. Elke instantie koppelt een schadelijk doel aan een reeks operationele stappen die lokaal legitiem zijn, maar gezamenlijk onveilig gedrag veroorzaken. De benchmark evalueert of agents schade kunnen herkennen en onderbreken die voortvloeit uit geaccumuleerde context, herhaald toolgebruik, tussentijdse acties en afhankelijkheden tussen stappen. Wij evalueren AgentHazard op Claude Code, OpenClaw en IFlow met voornamelijk open of openbaar inzetbare modellen uit de Qwen3-, Kimi-, GLM- en DeepSeek-families. Onze experimentele resultaten tonen aan dat huidige systemen zeer kwetsbaar blijven. Met name wanneer aangedreven door Qwen3-Coder vertoont Claude Code een aanvalssuccespercentage van 73,63%, wat suggereert dat modelalignment alleen niet betrouwbaar de veiligheid van autonome agents garandeert.
English
Computer-use agents extend language models from text generation to persistent action over tools, files, and execution environments. Unlike chat systems, they maintain state across interactions and translate intermediate outputs into concrete actions. This creates a distinct safety challenge in that harmful behavior may emerge through sequences of individually plausible steps, including intermediate actions that appear locally acceptable but collectively lead to unauthorized actions. We present AgentHazard, a benchmark for evaluating harmful behavior in computer-use agents. AgentHazard contains 2,653 instances spanning diverse risk categories and attack strategies. Each instance pairs a harmful objective with a sequence of operational steps that are locally legitimate but jointly induce unsafe behavior. The benchmark evaluates whether agents can recognize and interrupt harm arising from accumulated context, repeated tool use, intermediate actions, and dependencies across steps. We evaluate AgentHazard on Claude Code, OpenClaw, and IFlow using mostly open or openly deployable models from the Qwen3, Kimi, GLM, and DeepSeek families. Our experimental results indicate that current systems remain highly vulnerable. In particular, when powered by Qwen3-Coder, Claude Code exhibits an attack success rate of 73.63\%, suggesting that model alignment alone does not reliably guarantee the safety of autonomous agents.