本研究探讨了基于 LLM 的浏览器代理在执行网页任务时，其行为模式是否可被网站被动识别以推断底层模型身份。作者针对 14 个前沿 LLM（如 GPT-4、Claude 等）和四种网页环境（包括信息检索和购物任务）进行了实验。通过被动 JavaScript 跟踪器捕获代理的鼠标点击、滚动、键盘输入等交互动作及时间间隔，训练分类器识别模型来源，最高达到 96% F1 分数。研究形式化了这一攻击面：分类器跨模型尺寸和家族具有泛化能力；仅需少量交互轨迹即可训练强分类器；且可在任务早期推断出模型身份。为防御该攻击，作者尝试在动作间注入随机时间延迟，但攻击者可通过在延迟轨迹上重新训练分类器恢复性能。文章公开了实验代码和数据集。该工作揭示了 LLM 浏览器代理的隐私风险：即使不查看模型输出内容，仅凭行为指纹即可泄露模型信息，可能被用于针对特定模型漏洞的定向攻击。对于安全从业者，需关注此类侧信道泄漏对用户代理的隐私威胁。