Cybersikkerhet

OpenAI Innrømmer at AI-Browser Kan Aldri Være Fullstendig Sikre

mm
Publisert
Oppdatert

OpenAI har publisert en sikkerhetsblogginnlegg den 22. desember som inneholder en slående innrømmelse: prompt-injeksjonsangrep mot AI-browsere “kan aldri bli fullstendig løst”. Innrømmelsen kommer bare to måneder etter at selskapet lanserte ChatGPT Atlas, deres nettleser med autonome agentegenskaper.

Selskapet sammenlignet prompt-injeksjon med “svindel og sosial ingenjørkunst på nettet” – varige trusler som forsvarere håndterer, men ikke eliminerer. For brukere som stoler på AI-agenter til å navigere på nettet på deres vegne, setter denne sammenligningen fundamentale spørsmål om hvor mye autonomi som er passende.

Hva OpenAI Avdekket

Blogginnlegget beskriver OpenAIs defensive arkitektur for Atlas, inkludert en forsterkingslæring-drevet “automatisert angriper” som jakter på sårbarheter før skadelige aktører finner dem. Selskapet hevder at denne interne rød team har oppdaget “nye angrepsstrategier som ikke dukket opp i vår menneskelige rød teaming-kampanje eller eksterne rapporter.”

En demonstrasjon viste hvordan en skadelig e-post kunne kapre en AI-agent som sjekket en brukers innboks. I stedet for å utarbeide en utenfor kontor-tid-svar, sendte den kompromitterte agenten en oppsigelsesmelding. OpenAI sier at deres siste sikkerhetsoppdatering nå fanger dette angrepet – men eksempelet illustrerer spillene når AI-agenter handler autonomt i sensitive sammenhenger.

Den automatiserte angriperen “kan styre en agent inn i å utføre sofistikerte, langhorisontale skadelige arbeidsflyter som utvikler seg over titall (eller selv hundre) av steg,” skrev OpenAI. Denne evnen hjelper OpenAI med å finne feil raskere enn eksterne angripere, men den avslører også hvor komplekse og skadelige prompt-injeksjonsangrep kan bli.

Bilde: OpenAI

Det Grunnleggende Sikkerhetsproblemet

Prompt-injeksjon utnytter en grunnleggende begrensning i store språkmodeller: de kan ikke pålitelig skille mellom gyldige instruksjoner og skadelig innhold som er innbettet i dataene de prosesserer. Når en AI-nettleser leser en nettside, kan all tekst på den siden potensielt påvirke dens atferd.

Sikkerhetsforskere har demonstrert dette gjentatte ganger. AI-nettlesere kombinerer moderat autonomi med svært høy tilgang – en utfordrende posisjon i sikkerhetsrommet.

Angrepene krever ikke sofistikerte teknikker. Skjult tekst på nettsider, nøye utformede e-poster eller usynlige instruksjoner i dokumenter kan alle manipulere AI-agenter til å utføre uventede handlinger. Noen forskere har vist at skadelige promter skjult i skjermbilder kan utføres når en AI tar et bilde av en brukers skjerm.

Hvordan OpenAI Responderer

OpenAIs forsvar inkluderer adversarially trenede modeller, prompt-injeksjonsklassifiseringer og “hastighumper” som krever brukerbekreftelse før sensitive handlinger. Selskapet anbefaler at brukerne begrenser hva Atlas kan få tilgang til – begrense innloggede tilgang, kreve bekreftelser før betalinger eller meldinger, og gi smale instruksjoner i stedet for brede mandater.

Denne anbefalingen er avslørende. OpenAI råder i realiteten til å behandle deres eget produkt med mistro, begrense den autonomi som gjør agente-nettlesere attraktive fra første sted. Brukere som ønsker at AI-nettlesere skal håndtere hele deres innboks eller håndtere deres økonomi, tar risiko som selskapet selv ikke anbefaler.

Sikkerhetsoppdateringen reduserer vellykkede injeksjonsangrep. Denne forbedringen betyr noe, men den betyr også at gjenværende angrepsflate består – og angripere vil tilpasse seg hva som helst OpenAI deployer.

Bransjevide Implikasjoner

OpenAI er ikke alene i å møte disse utfordringene. Googles sikkerhetsramme for Chromes agente-egenskaper inkluderer flere forsvarslag, inkludert en separat AI-modell som vurderer hver foreslått handling. Perplexitys Comet-nettleser har møtt lignende skråsikkerhet fra sikkerhetsforskere hos Brave, som fant at å navigere til en skadelig nettside kunne utløse skadelige AI-handlinger.

Bransjen ser ut til å konvergere mot en felles forståelse: prompt-injeksjon er en grunnleggende begrensning, ikke en feil som kan fikses. Dette har betydelige implikasjoner for visjonen om AI-agenter som håndterer komplekse, sensitive oppgaver autonomt.

Hva Brukere Bør Vurdere

Den ærlige vurderingen er ubehagelig: AI-nettlesere er nyttige verktøy med innebygde sikkerhetsbegrensninger som ikke kan elimineres gjennom bedre ingeniørarbeid. Brukere står overfor en avveining mellom komfort og risiko som ingen leverandør kan løse fullstendig.

OpenAIs veiledning – begrense tilgang, kreve bekreftelser, unngå brede mandater – utgjør råd om å bruke mindre kraftfulle versjoner av produktet. Dette er ikke en kynisk posisjonering; det er en realistisk anerkjennelse av nåværende begrensninger. AI-assistenter som kan gjøre mer, kan også manipuleres til å gjøre mer.

Parallelle til tradisjonell nett sikkerhet er instruktiv. Brukere faller fortsatt for phishing-angrep tiår etter at de oppsto. Nettlesere blokkerer fortsatt millioner av skadelige nettsider daglig. Truselen tilpasser seg raskere enn forsvar kan permanent løse det.

AI-nettlesere legger til en ny dimensjon i denne kjente dynamikken. Når mennesker surfer, bringer de dommen om hva som ser mistenkelig ut. AI-agenter prosesserer alt med like stor tillit, noe som gjør dem mer utsatt for manipulasjon, selv når de blir mer kapable.

Veien Fremover

OpenAIs åpenhet fortjener anerkjennelse. Selskapet kunne ha levert sikkerhetsoppdateringer stille uten å anerkjenne det underliggende problemets varighet. I stedet publiserte de detaljert analyse av angrepsvektorer og defensive arkitekturer – informasjon som hjelper brukere med å ta informerte beslutninger og konkurrenter med å forbedre sine egne beskyttelser.

Men åpenhet løser ikke den grunnleggende spenningen. Jo mer kraftfulle AI-agenter blir, jo mer attraktive mål presenterer de. De samme evnene som lar Atlas håndtere komplekse arbeidsflyter, skaper også muligheter for sofistikerte angrep.

For nå bør brukere av AI-nettlesere nærme seg dem som kraftfulle verktøy med meningfulle begrensninger – ikke som fullstendig autonome digitale assistenter klar til å håndtere sensitive oppgaver uten tilsyn. OpenAI har vært usedvanlig åpen om denne realiteten. Spørsmålet er om bransjens markedsføring vil følge hva sikkerhetsteam allerede vet.

mm

Alex McFarland er en AI-journalist og forfatter som utforsker de nyeste utviklingene innen kunstig intelligens. Han har samarbeidet med tallrike AI-startups og publikasjoner verden over.