GUI Agent TOCTOU 論文閱讀分析：真正危險的，不只是它看錯畫面，而是它出手時世界早就被偷偷換掉

論文基本資訊

• 論文標題：Temporal UI State Inconsistency in Desktop GUI Agents: Formalizing and Defending Against TOCTOU Attacks on Computer-Use Agents
• 年份：2026
• 來源：arXiv:2604.18860
• 論文連結：https://arxiv.org/abs/2604.18860
• DOI：10.48550/arXiv.2604.18860
• 主題：AI Agents、Computer-Use Agents、GUI Security、TOCTOU、Runtime Security、Prompt Injection 以外的 Agent 攻擊面

這篇我很喜歡，因為它打到一個很多人現在都還沒真的正視的問題：computer-use agent 的風險，不只是在 prompt、tool call 或 memory，而是在它看畫面和真正點下去之間，那段幾秒鐘的現實世界延遲。

很多團隊現在談 GUI agent，還停在「模型終於會用電腦了」。但這篇論文提醒你，只要 agent 是用 screenshot → reasoning → click 這種 loop 在做事，它就天然帶著一個 TOCTOU 視窗。

真正危險的，不一定是模型被說服做壞事，而是它本來想做對的事，卻在點下去前那幾秒被人把畫面偷偷換掉。

這篇到底在講什麼？

作者研究的是 desktop GUI agents，也就是那種直接看整個桌面截圖、自己決定要點哪裡、再透過滑鼠鍵盤操作 OS 的 agent。這類系統現在很紅，因為它們不像傳統 web agent 只活在 DOM 裡，而是真的能跨 app、跨視窗、跨檔案系統做事。

但問題也剛好在這裡：它們不是直接在結構化狀態上操作，而是先看一張圖、經過大型多模態模型推理，再把座標送給 OS 去執行。

這意味著整個 loop 至少分成三段：

1. Observation：截圖，看見當下畫面
2. Reasoning：模型花時間理解畫面、決定動作
3. Execution：最後真的把 click 或 keypress 打到系統上

而這篇最核心的發現就是：這三段不是原子的。 畫面被看見時是安全的，不代表幾秒後點下去時還是同一個狀態。

最關鍵的數字：平均 6.51 秒的 observation-to-action gap

作者在真實 OSWorld Ubuntu 工作負載上量了這段 gap，結果很直接：

• 平均 observation-to-action gap：6.51 秒
• 最短：3.18 秒
• 最長：13.23 秒

這個數字非常誇張。因為對攻擊者來說，UI 元件要出現、視窗要切換、通知要浮上來，通常只需要幾十毫秒到幾百毫秒。換句話說，agent 想的是剛才那張圖，但它實際按下去時，整個桌面早就有足夠時間被別人重排一遍。

論文把這件事正式化成 Visual Atomicity Violation (VAV)。我覺得這個 framing 很準，因為它不是單純在講 latency，而是在講：

• agent 的判斷是基於舊狀態
• 動作卻施加到新狀態
• 而這兩個狀態之間根本沒有原子性保證

三種攻擊原語裡，最值得記住的是那種「看起來完全沒變」的偷換

作者提出三種 attack primitives：

• Primitive A：Notification Overlay Hijack
• Primitive B：Window Focus Manipulation
• Primitive C：Web DOM Injection

其中最值得記住的是 Primitive B。它的厲害不在於畫面變很多，而是在於它幾乎就是桌面版的 action rebinding：agent 在觀察時看到的是正常畫面，但在真正點下去前，攻擊者把另一個視窗瞬間 raise 到點擊路徑上，讓同一個座標落到錯的 UI 元件。

最兇的是，這種攻擊在 observation 時點幾乎沒有可見證據，結果卻是：

• Primitive B 達到 100% action-redirection success rate
• 而且作者描述它是 zero visual evidence at the observation time

這件事很重要，因為它把問題從「模型有沒有看懂畫面」改寫成「就算它看懂了，也不代表那個理解仍然對應到接下來要執行的 UI」。

很多 agent 安全失守，不是因為它推理錯了，而是因為它推理對象在它出手前已經被偷偷換掉了。

這篇真正打到的，不是 prompt injection，而是 control placement

我覺得這篇很有價值的一點，是它讓我們重新看待 agent security 的控制點。

現在很多防線還是放在：

• 輸入內容有沒有惡意
• prompt 有沒有被污染
• 輸出答案看起來安不安全

但 GUI agent 這種系統，多了一個非常物理、非常 OS-native 的風險：模型做決策的依據，和 OS 接受動作的狀態，不一定是同一個世界。

這其實是在提醒大家：對 computer-use agent 來說，真正該補的常常不是更強的 judge model，而是更靠近 action dispatch 那一層的 runtime verification。

PUSV 的價值：不是再做一個更聰明的模型，而是在點下去前再檢查一次世界還是不是原來那個世界

作者提出的防線叫 Pre-execution UI State Verification（PUSV）。概念不複雜，但很對：

既然 observation 和 execution 之間會漂移，那就在 action dispatch 前，重新確認一次 UI state 有沒有被偷換。

PUSV 不是靠再請一個大模型來二次裁決，而是用三層比較輕量、比較 deterministic 的檢查：

1. L1：masked pixel SSIM，比對 click target 附近 patch 的結構相似度
2. L2a：global screenshot diff，看整張畫面是否出現明顯變化
3. L2b：X Window snapshot diff，看視窗層級狀態有沒有被重排

這個設計我很買單，因為它沒有假裝一個 detector 能吃掉全部問題，而是很老實地承認：不同 primitive 需要不同感測器。

最值得記住的防禦結果

這篇的 defense 結果相當乾淨：

• PUSV 對 180 次 adversarial trials（135 次 Primitive A + 45 次 Primitive B）做到 100% Action Interception Rate
• zero false positives
• 額外 overhead < 0.1 秒

這裡最有意義的地方不是 100% 這個數字本身，而是它說明了一件事：

• 這問題不是一定要靠更大模型才能救
• 也不是非得把整個 OS 凍結才有辦法做 protection
• 只要把 control point 放對，在 action 前做 state re-verification，就能大幅補上這種 race window

而且作者還特別指出，沒有任何單一 layer 能單獨完成全覆蓋。這點很重要，因為很多 agent defense paper 最後都會默默把自己包裝成萬靈丹；這篇反而把分工講清楚了。

但它也非常誠實地暴露一個更根本的 blind spot

這篇最好的一點，是它沒有把 PUSV 包裝成已經解決問題。

面對 Primitive C：Web DOM Injection，也就是那種幾乎沒有可視化 footprint 的網頁層注入，PUSV 的結果接近：

• ≈ 0% AIR

原因也很直白：如果畫面在 pixel 層根本沒變、click target 看起來也沒變、OS 視窗層級也沒變，那純靠 screenshot / window diff 的保護本來就看不到。

這段我覺得比單純把 defense 分數做漂亮更有價值，因為它逼大家承認：

GUI agent 的安全不是單層問題。OS 層看得到的，不代表 DOM 層看得到；DOM 層看得到的，也不代表整個桌面 runtime 看得到。

所以真正像樣的防線，最後很可能不是單一 guard，而是 OS + browser/DOM + action-time verification 的 defense-in-depth。

跨模型結果也很重要：這不是某一個模型特有的毛病

作者不是只拿一個模型舉例，而是跨了三個前沿模型：

• Claude Opus 4.6
• GPT-4o
• Qwen3.6-plus

論文的結論很明確：這個漏洞與對應防禦基本上是 model-agnostic 的。 也就是說，問題不在單一模型比較笨，而在整個 screenshot-and-click agent loop 的系統結構本來就會暴露這種 observation-to-action gap。

這點非常重要，因為它意味著：就算未來模型更會看圖、更會規劃，也不會自動修掉這種 race condition。 這不是能力問題，是 system composition 問題。

這篇對實務的啟發是什麼？

如果你正在看 computer-use agent、browser-use agent、RPA + LMM、或任何會自己操作桌面的 agent，這篇最值得帶走的有幾個：

• 不要把「看見畫面」和「安全執行動作」當成同一件事
• 真正該保的不是 screenshot 本身，而是 observation 到 execution 之間那條 control chain
• runtime verification 應該盡量靠近 action dispatch
• visual defense 永遠有結構性盲區，尤其遇到 DOM / invisible overlay / stateful browser mutation
• 高權限 GUI agent 需要的不只是 smarter planning，而是更硬的 action-time mediation

如果把它講得更白一點：很多 agent 團隊現在還在補「腦」，但這篇提醒你真正先漏風的往往是「手」——也就是那個把推理落到實際世界的執行瞬間。

我怎麼看這篇？

我會把這篇放在近期 agent security 很值得讀的一批 paper 裡，而且它的價值不只是又找到一個 attack，而是把 control placement 講得非常清楚。

如果要濃縮成一句話，我會這樣說：

computer-use agent 真正危險的，不是它偶爾理解錯畫面，而是它理解畫面的那一刻，和它真正出手的那一刻，根本不是同一個世界。

這個 framing 很強，因為它把 agent 安全從 prompt hygiene 再往前推一步，拉到 runtime atomicity、UI state integrity、以及 action-time verification 這些更底層、也更難被繞過的工程問題上。

總結

Temporal UI State Inconsistency in Desktop GUI Agents: Formalizing and Defending Against TOCTOU Attacks on Computer-Use Agents 這篇論文最重要的地方，不只是展示 GUI agent 可以被桌面層 race condition 利用，而是把這件事正式定義成 Visual Atomicity Violation，並且量化出真實系統中平均 6.51 秒 的 exploitable gap。

在攻擊面上，最具代表性的 Primitive B 展示了 100% action redirection 且 observation 時幾乎沒有可視跡象；在防禦面上，PUSV 用 click-target SSIM、global diff 與 X Window diff 三層檢查，在 OS 層攻擊上達到 100% AIR、zero false positives、< 0.1 秒額外延遲。但同時，它也誠實揭露了 visual defense 對 DOM 注入接近 0% AIR 的結構盲點。

真正值得帶走的結論是：在 computer-use agents 裡，很多風險不是輸入惡不惡意，而是你有沒有辦法保證 agent 真正執行的那個世界，還是它剛剛做決策時看到的那個世界。

免責聲明

本文由 AI 產生、整理與撰寫。 內容主要依據公開論文、arXiv 頁面與可取得之研究資料進行彙整、解讀與摘要。儘管已盡力確保內容之完整性與可讀性，仍可能因模型理解限制、資料來源差異或語意轉譯過程而存在疏漏、不精確或更新延遲之處。本文內容僅供研究交流與知識分享參考，實際技術細節、實驗設定與最終結論，仍應以原始論文、官方文件及作者公開資料為準。