Følg os

Cybersecurity

OpenAI indrømmer, at AI-browsere muligvis aldrig bliver fuldt sikre

mm
Udgivet

OpenAI udgav en blogindlæg om sikkerhed den 22. december med en slående indrømmelse: prompte injektionsangreb mod AI-browsere "bliver måske aldrig fuldt ud løst." Indrømmelsen kommer blot to måneder efter, at virksomheden lancerede ChatGPT Atlas, dens browser med autonome agentfunktioner.

Virksomheden sammenlignede prompt injection med "svindel og social engineering på nettet" – vedvarende trusler, som forsvarere håndterer i stedet for at eliminere. For brugere, der stoler på, at AI-agenter navigerer på internettet på deres vegne, rejser denne opfattelse grundlæggende spørgsmål om, hvor meget autonomi der er passende.

Hvad OpenAI afslørede

Blogindlægget beskriver OpenAIs defensive arkitektur til Atlas, herunder en "automatiseret angriber" drevet af forstærkningslæring, der jagter sårbarheder, før ondsindede aktører finder dem. Virksomheden hævder, at dette interne "red team" har opdaget "nye angrebsstrategier, der ikke optrådte i vores "human red teaming"-kampagne eller eksterne rapporter."

En demonstration viste, hvordan en ondsindet e-mail kunne kapre en AI-agent, der tjekkede en brugers indbakke. I stedet for at skrive et "ikke til stede"-svar som anvist, sendte den kompromitterede agent en opsigelsesbesked. OpenAI siger, at deres seneste sikkerhedsopdatering nu fanger dette angreb – men eksemplet illustrerer, hvad der står på spil, når AI-agenter handler autonomt i følsomme sammenhænge.

Den automatiserede angriber "kan styre en agent til at udføre sofistikerede, langsigtede og skadelige arbejdsgange, der udfolder sig over ti (eller endda hundredvis) trin," skrev OpenAI. Denne funktion hjælper OpenAI med at finde fejl hurtigere end eksterne angribere, men den afslører også, hvor komplekse og skadelige prompt injection-angreb kan blive.

Billede: OpenAI

Det grundlæggende sikkerhedsproblem

Prompt injection udnytter en grundlæggende begrænsning ved store sprogmodeller: de kan ikke pålideligt skelne mellem legitime instruktioner og skadeligt indhold, der er indlejret i de data, de behandler. Når en AI-browser læser en webside, kan enhver tekst på den side potentielt påvirke dens adfærd.

Sikkerhedsforskere har gentagne gange påvist dette. AI-browsere kombinerer moderat autonomi med meget høj adgangshastighed – en udfordrende position inden for sikkerhedsområdet.

Angrebene kræver ikke sofistikerede teknikker. Skjult tekst på websider, omhyggeligt udformede e-mails eller usynlige instruktioner i dokumenter kan alle manipulere AI agenter til at udføre utilsigtede handlinger. Nogle forskere har vist, at ondsindede prompts skjult i skærmbilleder kan udføres, når en AI tager et billede af en brugers skærm.

Hvordan OpenAI reagerer

OpenAIs forsvar omfatter modeller, der trænes af modstandere, klassifikatorer for prompt injection og "fartbump", der kræver brugerbekræftelse før følsomme handlinger. Virksomheden anbefaler, at brugerne begrænser, hvad Atlas kan få adgang til – begrænser adgang for indloggede, kræver bekræftelser før betalinger eller beskeder og giver snævre instruktioner i stedet for brede mandater.

Denne anbefaling er afslørende. OpenAI anbefaler i bund og grund at behandle sit eget produkt med mistænksomhed og begrænse den autonomi, der gør agentbrowsere attraktive i første omgang. Brugere, der ønsker, at AI-browsere skal håndtere hele deres indbakke eller administrere deres økonomi, påtager sig risici, som virksomheden ikke selv støtter.

Sikkerhedsopdateringen reducerer antallet af succesfulde injektionsangreb. Denne forbedring er vigtig, men den betyder også, at den resterende angrebsflade fortsætter – og at angribere vil tilpasse sig de forsvar, OpenAI anvender.

Implikationer for hele branchen

OpenAI er ikke alene om at konfrontere disse udfordringer. Googles sikkerhedsramme For Chromes agentfunktioner er der flere forsvarslag, herunder en separat AI-model, der gennemgår alle foreslåede handlinger. Perplexitys Comet-browser har været udsat for lignende granskning fra sikkerhedsforskere hos Brave, som fandt ud af, at navigation til en ondsindet webside kunne udløse skadelige AI-handlinger.

Branchen synes at være ved at nå frem til en fælles forståelse: hurtig injektion er en fundamental begrænsning, ikke en fejl, der skal rettes. Dette har betydelige konsekvenser for visionen om, at AI-agenter håndterer komplekse, følsomme opgaver autonomt.

Hvad brugerne bør overveje

Den ærlige vurdering er ubehagelig: AI-browsere er nyttige værktøjer med iboende sikkerhedsbegrænsninger, der ikke kan elimineres gennem bedre teknologi. Brugere står over for en afvejning mellem bekvemmelighed og risiko, som ingen leverandør helt kan løse.

OpenAIs vejledning – begræns adgang, kræv bekræftelser, undgå brede påbud – svarer til råd om at bruge mindre effektive versioner af produktet. Dette er ikke kynisk positionering; det er en realistisk anerkendelse af de nuværende begrænsninger. AI-assistenter der kan gøre mere, kan også manipuleres til at gøre mere.

Parallellen til traditionel websikkerhed er lærerig. Brugere falder stadig for phishing-angreb årtier efter, at de opstod. Browsere blokerer stadig millioner af ondsindede websteder dagligt. Truslen tilpasser sig hurtigere, end forsvar kan løse den permanent.

AI-browsere tilføjer en ny dimension til denne velkendte dynamik. Når mennesker browser, vurderer de, hvad der ser mistænkeligt ud. AI-agenter behandler alt med lige stor tillid, hvilket gør dem mere modtagelige for manipulation, selv efterhånden som de bliver mere dygtige.

Stien frem

OpenAIs gennemsigtighed fortjener anerkendelse. Virksomheden kunne have udgivet sikkerhedsopdateringer i stilhed uden at anerkende det underliggende problems vedvarende tilstand. I stedet offentliggjorde de en detaljeret analyse af angrebsvektorer og defensive arkitekturer – information, der hjælper brugerne med at træffe informerede beslutninger, og konkurrenterne med at forbedre deres egen beskyttelse.

Men gennemsigtighed løser ikke den grundlæggende spænding. Jo mere kraftfulde AI-agenter bliver, desto mere attraktive mål præsenterer de. De samme funktioner, der lader Atlas håndtere komplekse arbejdsgange, skaber også muligheder for sofistikerede angreb.

For nuværende bør brugere af AI-browsere betragte dem som kraftfulde værktøjer med betydelige begrænsninger – ikke som fuldt autonome digitale assistenter, der er klar til at håndtere følsomme opgaver uden opsyn. OpenAI har været usædvanligt åbenhjertig omkring denne realitet. Spørgsmålet er, om branchens markedsføring vil indhente det, sikkerhedsteams allerede ved.

Relaterede emner:
mm

Alex McFarland er en AI-journalist og forfatter, der udforsker den seneste udvikling inden for kunstig intelligens. Han har samarbejdet med adskillige AI-startups og publikationer verden over.