Cybersicherheit

OpenAI gibt zu: AI-Browser könnten nie vollständig sicher sein

mm
Veröffentlicht am
Aktualisiert am

OpenAI hat am 22. Dezember einen Sicherheitsblogbeitrag veröffentlicht, der eine bemerkenswerte Aussage enthält: Prompt-Injection-Angriffe gegen AI-Browser “können möglicherweise nie vollständig gelöst werden.” Diese Aussage kommt nur zwei Monate nach dem Launch von ChatGPT Atlas, seinem Browser mit autonomen Agentenfunktionen.

Das Unternehmen vergleicht Prompt-Injection mit “Betrug und sozialer Manipulation im Internet” – anhaltenden Bedrohungen, die Verteidiger managen, anstatt sie zu eliminieren. Für Benutzer, die AI-Agenten vertrauen, um im Internet für sie zu navigieren, wirft diese Darstellung grundlegende Fragen über den angemessenen Grad an Autonomie auf.

Was OpenAI enthüllt

Der Blogbeitrag beschreibt OpenAIs Verteidigungsarchitektur für Atlas, einschließlich eines durch Verstärkungslernen gesteuerten “automatischen Angreifers”, der nach Schwachstellen sucht, bevor bösartige Akteure sie finden. Das Unternehmen behauptet, dass dieser interne Red Team “neue Angriffsstrategien entdeckt hat, die nicht in unserer menschlichen Red-Teaming-Kampagne oder in externen Berichten aufgetaucht sind.”

Ein Beispiel zeigte, wie eine bösartige E-Mail einen AI-Agenten übernehmen konnte, der den Posteingang eines Benutzers überprüfte. Anstatt einen automatischen Antwortentwurf zu erstellen, wie angewiesen, sandte der kompromittierte Agent eine Kündigungsnachricht. OpenAI sagt, dass sein letztes Sicherheitsupdate diesen Angriff jetzt abfängt – aber das Beispiel zeigt die Risiken, wenn AI-Agenten in sensiblen Kontexten autonom handeln.

Der automatisierte Angreifer “kann einen Agenten in die Ausführung komplexer, langfristiger schädlicher Workflows lenken, die sich über Zehner- oder sogar Hunderte von Schritten erstrecken”, schrieb OpenAI. Diese Fähigkeit hilft OpenAI, Schwachstellen schneller zu finden als externe Angreifer, aber sie zeigt auch, wie komplex und schädlich Prompt-Injection-Angriffe werden können.

Bild: OpenAI

Das grundlegende Sicherheitsproblem

Prompt-Injection nutzt eine grundlegende Einschränkung von großen Sprachmodellen aus: Sie können nicht zuverlässig zwischen legitimen Anweisungen und bösartigem Inhalt unterscheiden, der in den Daten, die sie verarbeiten, eingebettet ist. Wenn ein AI-Browser eine Webseite liest, kann jeder Text auf dieser Seite potenziell sein Verhalten beeinflussen.

Sicherheitsforscher haben dies wiederholt demonstriert. AI-Browser kombinieren moderate Autonomie mit sehr hohem Zugriff – eine herausfordernde Position im Sicherheitsbereich.

Die Angriffe erfordern keine komplexen Techniken. Versteckter Text auf Webseiten, sorgfältig erstellte E-Mails oder unsichtbare Anweisungen in Dokumenten können alle AI-Agenten manipulieren, um ungewollte Aktionen auszuführen. Einige Forscher haben gezeigt, dass bösartige Prompts, die in Screenshots versteckt sind, ausgeführt werden können, wenn ein AI ein Bild vom Bildschirm eines Benutzers macht.

Wie OpenAI reagiert

OpenAIs Verteidigungen umfassen adversarially trainierte Modelle, Prompt-Injection-Klassifizierer und “Geschwindigkeitsbremsen”, die eine Benutzerbestätigung vor sensiblen Aktionen erfordern. Das Unternehmen empfiehlt Benutzern, die Zugriffsrechte von Atlas zu beschränken – indem sie den Zugriff auf bestimmte Bereiche beschränken, Bestätigungen vor Zahlungen oder Nachrichten erfordern und enge Anweisungen anstelle von allgemeinen Anweisungen erteilen.

Diese Empfehlung ist aufschlussreich. OpenAI rät im Wesentlichen dazu, sein eigenes Produkt mit Misstrauen zu behandeln und die Autonomie zu beschränken, die agierende Browser ansprechend macht. Benutzer, die AI-Browser verwenden möchten, um ihren gesamten Posteingang oder ihre Finanzen zu verwalten, gehen Risiken ein, die das Unternehmen selbst nicht billigt.

Das Sicherheitsupdate reduziert erfolgreiche Injection-Angriffe. Diese Verbesserung ist wichtig, aber sie bedeutet auch, dass die verbleibende Angriffsfläche erhalten bleibt – und Angreifer sich an die Verteidigungen anpassen werden, die OpenAI bereitstellt.

Branchenweite Auswirkungen

OpenAI ist nicht allein in der Bekämpfung dieser Herausforderungen. Googles Sicherheitsframework für Chroms agierende Funktionen umfasst mehrere Verteidigungsschichten, einschließlich eines separaten AI-Modells, das jeden vorgeschlagenen Vorgang überprüft. Perplexitys Comet-Browser stand unter ähnlicher Kritik von Sicherheitsforschern bei Brave, die feststellten, dass die Navigation zu einer bösartigen Webseite schädliche AI-Aktionen auslösen kann.

Die Branche scheint zu einer gemeinsamen Erkenntnis zu gelangen: Prompt-Injection ist eine grundlegende Einschränkung und kein Fehler, der behoben werden kann. Dies hat erhebliche Auswirkungen auf die Vision von AI-Agenten, die komplexe, sensible Aufgaben autonom ausführen.

Was Benutzer beachten sollten

Die ehrliche Einschätzung ist unangenehm: AI-Browser sind nützliche Werkzeuge mit inhärenten Sicherheitseinschränkungen, die nicht durch bessere Ingenieurskunst eliminiert werden können. Benutzer stehen vor einem Kompromiss zwischen Bequemlichkeit und Risiko, den kein Anbieter vollständig lösen kann.

OpenAIs Richtlinie – Zugriff beschränken, Bestätigungen erfordern, allgemeine Anweisungen vermeiden – entspricht der Empfehlung, weniger leistungsfähige Versionen des Produkts zu verwenden. Dies ist keine zynische Positionierung, sondern eine realistische Anerkennung der aktuellen Einschränkungen. AI-Assistenten, die mehr können, können auch manipuliert werden, um mehr zu tun.

Der Vergleich zur traditionellen Web-Sicherheit ist lehrreich. Benutzer fallen immer noch für Phishing-Angriffe, Jahrzehnte nach ihrem Auftauchen. Browser blockieren immer noch Millionen von bösartigen Seiten täglich. Die Bedrohung passt sich schneller an, als Verteidigungen sie dauerhaft lösen können.

AI-Browser fügen dieser bekannten Dynamik eine neue Dimension hinzu. Wenn Menschen browsen, bringen sie Urteilsvermögen über das mit, was verdächtig erscheint. AI-Agenten verarbeiten alles mit gleichem Vertrauen, was sie anfälliger für Manipulation macht, während sie leistungsfähiger werden.

Der Weg nach vorne

OpenAIs Transparenz verdient Anerkennung. Das Unternehmen hätte Sicherheitsupdates stillschweigend bereitstellen können, ohne das zugrunde liegende Problem anzuerkennen. Stattdessen veröffentlichte es eine detaillierte Analyse von Angriffsvectoren und Verteidigungsarchitekturen – Informationen, die Benutzern helfen, informierte Entscheidungen zu treffen, und Wettbewerbern, ihre eigenen Schutzmaßnahmen zu verbessern.

Aber Transparenz löst die grundlegende Spannung nicht. Je leistungsfähiger AI-Agenten werden, desto attraktivere Ziele bieten sie. Die gleichen Fähigkeiten, die es Atlas ermöglichen, komplexe Workflows zu bewältigen, schaffen auch Gelegenheiten für sophisticatede Angriffe.

Derzeit sollten Benutzer von AI-Browsern sie als leistungsfähige Werkzeuge mit bedeutenden Einschränkungen betrachten – nicht als vollständig autonome digitale Assistenten, die sensible Aufgaben ohne Aufsicht ausführen können. OpenAI war ungewöhnlich offen über diese Realität. Die Frage ist, ob die Marketingstrategie der Branche aufholen wird, was Sicherheitsteams bereits wissen.

mm

Alex McFarland ist ein KI-Journalist und Schriftsteller, der die neuesten Entwicklungen im Bereich der künstlichen Intelligenz erforscht. Er hat mit zahlreichen KI-Startups und Veröffentlichungen weltweit zusammengearbeitet.