SPILLage: Compartilhamento Excessivo Agente na Web
SPILLage: Agentic Oversharing on the Web
February 13, 2026
Autores: Jaechul Roh, Eugene Bagdasarian, Hamed Haddadi, Ali Shahin Shamsabadi
cs.AI
Resumo
Os agentes baseados em LLM estão começando a automatizar as tarefas dos usuários na web aberta, frequentemente com acesso a recursos do usuário, como e-mails e calendários. Diferente dos LLMs padrão que respondem perguntas em um ambiente controlado de ChatBot, os agentes web atuam "em ambiente não controlado", interagindo com terceiros e deixando um rastro de ações. Portanto, levantamos a questão: como os agentes web lidam com os recursos do usuário ao realizar tarefas em seu nome em sites ativos? Neste artigo, formalizamos o *Oversharing Agêntico Natural* – a divulgação não intencional de informações irrelevantes do usuário por meio de um rastro de ações do agente na web. Introduzimos o SPILLage, uma estrutura que caracteriza o *oversharing* ao longo de duas dimensões: canal (conteúdo vs. comportamento) e forma (explícito vs. implícito). Essa taxonomia revela um ponto cego crítico: enquanto trabalhos anteriores focam no vazamento de texto, os agentes web também compartilham excessivamente comportamentalmente por meio de cliques, rolagens e padrões de navegação que podem ser monitorados. Avaliamos 180 tarefas em sites de e-commerce ativos com anotações de verdade fundamental que separam atributos relevantes da tarefa dos irrelevantes. Em 1.080 execuções abrangendo duas estruturas agentes e três LLMs de base, demonstramos que o *oversharing* é generalizado, com o *oversharing* comportamental dominando o *oversharing* de conteúdo em 5 vezes. Esse efeito persiste – e pode até piorar – sob mitigação no nível de *prompt*. No entanto, remover informações irrelevantes antes da execução melhora o sucesso da tarefa em até 17,9%, demonstrando que reduzir o *oversharing* melhora o sucesso da tarefa. Nossas descobertas ressaltam que proteger a privacidade em agentes web é um desafio fundamental, exigindo uma visão mais ampla de "saída" que leve em conta o que os agentes fazem na web, e não apenas o que eles digitam. Nossos conjuntos de dados e código estão disponíveis em https://github.com/jrohsc/SPILLage.
English
LLM-powered agents are beginning to automate user's tasks across the open web, often with access to user resources such as emails and calendars. Unlike standard LLMs answering questions in a controlled ChatBot setting, web agents act "in the wild", interacting with third parties and leaving behind an action trace. Therefore, we ask the question: how do web agents handle user resources when accomplishing tasks on their behalf across live websites? In this paper, we formalize Natural Agentic Oversharing -- the unintentional disclosure of task-irrelevant user information through an agent trace of actions on the web. We introduce SPILLage, a framework that characterizes oversharing along two dimensions: channel (content vs. behavior) and directness (explicit vs. implicit). This taxonomy reveals a critical blind spot: while prior work focuses on text leakage, web agents also overshare behaviorally through clicks, scrolls, and navigation patterns that can be monitored. We benchmark 180 tasks on live e-commerce sites with ground-truth annotations separating task-relevant from task-irrelevant attributes. Across 1,080 runs spanning two agentic frameworks and three backbone LLMs, we demonstrate that oversharing is pervasive with behavioral oversharing dominates content oversharing by 5x. This effect persists -- and can even worsen -- under prompt-level mitigation. However, removing task-irrelevant information before execution improves task success by up to 17.9%, demonstrating that reducing oversharing improves task success. Our findings underscore that protecting privacy in web agents is a fundamental challenge, requiring a broader view of "output" that accounts for what agents do on the web, not just what they type. Our datasets and code are available at https://github.com/jrohsc/SPILLage.