Когда действия уходят от задачи: обнаружение и исправление несогласованных действий у агентов компьютерного взаимодействия
When Actions Go Off-Task: Detecting and Correcting Misaligned Actions in Computer-Use Agents
February 9, 2026
Авторы: Yuting Ning, Jaylen Jones, Zhehao Zhang, Chentao Ye, Weitong Ruan, Junyi Li, Rahul Gupta, Huan Sun
cs.AI
Аннотация
За последний год агенты компьютерного взаимодействия (АКВ) достигли значительного прогресса, однако они по-прежнему часто генерируют несогласованные действия, отклоняющиеся от исходного намерения пользователя. Такие несогласованные действия могут возникать из-за внешних атак (например, косвенной инъекции промптов) или внутренних ограничений (например, ошибочных рассуждений). Они не только подвергают АКВ рискам безопасности, но и снижают эффективность и надежность выполнения задач. В данной работе впервые предпринята попытка определить и исследовать проблему обнаружения несогласованных действий в АКВ с комплексным охватом как внешне вызванных, так и внутренне возникающих несогласованных действий. Мы дополнительно выделяем три распространенные категории в реальном развертывании АКВ и создаем MisActBench — бенчмарк реалистичных траекторий с аннотированными человеком метками согласованности на уровне действий. Более того, мы предлагаем DeAction — практичный и универсальный защитный механизм, который обнаруживает несогласованные действия до их выполнения и итеративно исправляет их с помощью структурированной обратной связи. DeAction превосходит все существующие базовые методы в офлайн- и онлайн-оценках с умеренными задержками: (1) На MisActBench он превосходит базовые методы более чем на 15% по абсолютному показателю F1-меры; (2) При онлайн-оценке он снижает успешность атак более чем на 90% в условиях противодействия, сохраняя или даже улучшая успешность выполнения задач в доброжелательных средах.
English
Computer-use agents (CUAs) have made tremendous progress in the past year, yet they still frequently produce misaligned actions that deviate from the user's original intent. Such misaligned actions may arise from external attacks (e.g., indirect prompt injection) or from internal limitations (e.g., erroneous reasoning). They not only expose CUAs to safety risks, but also degrade task efficiency and reliability. This work makes the first effort to define and study misaligned action detection in CUAs, with comprehensive coverage of both externally induced and internally arising misaligned actions. We further identify three common categories in real-world CUA deployment and construct MisActBench, a benchmark of realistic trajectories with human-annotated, action-level alignment labels. Moreover, we propose DeAction, a practical and universal guardrail that detects misaligned actions before execution and iteratively corrects them through structured feedback. DeAction outperforms all existing baselines across offline and online evaluations with moderate latency overhead: (1) On MisActBench, it outperforms baselines by over 15% absolute in F1 score; (2) In online evaluation, it reduces attack success rate by over 90% under adversarial settings while preserving or even improving task success rate in benign environments.