摘要:OpenAI 表示,對於像 ChatGPT Atlas 這類具代理(agentic)功能的 AI 瀏覽器,提示注入(prompt injection)攻擊是長期存在的安全挑戰,難以完全根除;OpenAI 在部落格中承認「agent 模式」擴大了安全威脅面。(openai.com)
OpenAI 在十月推出 ChatGPT Atlas 後,安全研究人員展示了範例:僅在 Google Docs 中寫幾個字,就有可能改變瀏覽器的底層行為;Brave 也發佈部落格指出,間接提示注入(indirect prompt injection)對包括 Perplexity 的 Comet 在內的 AI 瀏覽器構成系統性挑戰。(techcrunch.com)
英國國家網路安全中心(NCSC)也警告,針對生成式 AI 的提示注入攻擊「可能永遠無法完全緩解」,建議專業人員採取降低風險與減輕影響的方式,而非指望完全阻止攻擊。(techcrunch.com)
為此,OpenAI 採取分層且主動的防禦策略,核心包含一個「以 LLM 為基礎的自動化攻擊者」(LLM-based automated attacker)。該攻擊者以強化學習(reinforcement learning)訓練,模擬駭客行為、在模擬器中先行測試注入策略、取得目標代理的思考與行為軌跡,然後反覆調整以找出新的攻擊手法;這讓 OpenAI 能在攻擊被外界利用前快速發現並修補漏洞。(openai.com)
OpenAI 在示範中說明,自動化攻擊者如何將惡意郵件放入使用者收件匣,當代理後續掃描郵件時可能會執行郵件內隱藏指令(例如發送辭職信)而非使用者所需的自動回覆;在安全更新後,agent 模式能成功偵測並向使用者標記注入嘗試。公司表示將仰賴大規模測試與更快速的修補流程,並與第三方合作來強化 Atlas。OpenAI 也建議用戶限制已登入存取、要求在執行重要操作前確認,以及給予代理具體指令而非廣泛權限。(openai.com)
外部資安研究者(如 Wiz 的 Rami McCarthy)表示,一個評估 AI 系統風險的有用方式是「自治性乘以存取權(autonomy multiplied by access)」。他指出代理式瀏覽器位於中等自治但高存取權的挑戰區域,對大多數日常使用情境而言,其風險與收益尚難以平衡。(techcrunch.com)