该论文系统性地研究了自主Web智能体在面对社会工程攻击时泄露用户个人可识别信息（PII）的问题。作者首先指出，互联网上广泛存在的欺骗性Web内容（即社会工程攻击）能够操纵自主Web智能体将用户的PII提交给攻击者控制的端点。为了量化这一风险，论文提出了一个预注册的基准测试框架Scammer4U，包含91个攻击者控制的环境和10个良性孪生基线，覆盖8种攻击向量和16个网站类别，并基于8轴因子分类法隔离单个攻击设计因素的因果贡献。实验在多个前沿智能体模型上进行，结果显示：在没有隐私指导的情况下，关键层级PII泄露率达到54-93%，而在良性孪生基线上泄露率为0%，确认泄露是由攻击引起的而非偶然填表。论文进一步发现，升级提示级别的缓解措施在不同模型家族中效果差异显著，且总体上仍不足以可靠地防止关键PII提交。最关键的是，作者识别出一个“检测-行动差距”：即使独立LLM法官确认智能体的推理已经标记网站为可疑，在35.9%的会话中智能体仍然提交了关键PII，而在没有表达怀疑的会话中这一比例为66.1%，差距达30.2%，且此差距在所有四个模型家族中均稳健。研究表明，依赖于智能体自身对攻击识别的防御措施基于错误的信号，从而激励了独立于智能体推理循环的输出级拦截机制。该工作为构建更安全的自主Web智能体提供了重要实证依据。