연구진은 LLM 기반 검색 에이전트의 승인 취약점을 측정하기 위해 SearchGEO 평가 프레임워크를 개발했어요. 웹 증거 조작 파이프라인, 5가지 공격 분류, 다양한 출력 레벨 지표를 결합했습니다. 13개의 LLM 백엔드를 평가한 결과, Claude-Sonnet-4.6는 공격 성공률 0%를, Gemini-3-Flash는 31.4%를 기록했어요.
모델별 공격 성공률 패턴이 다르며, 가장 강력한 공격 모드 또한 모델 패밀리별로 상이했어요. 동일한 배포 환경이 서로 다른 백엔드에서 공격 성공률을 증폭시키거나 감소시킬 수 있다는 점이 확인됐습니다.