เชื่อมต่อกับเรา

OpenAI ยอมรับว่าเบราว์เซอร์ AI อาจไม่มีวันปลอดภัยอย่างสมบูรณ์แบบ

cybersecurity

OpenAI ยอมรับว่าเบราว์เซอร์ AI อาจไม่มีวันปลอดภัยอย่างสมบูรณ์แบบ

mm
การตีพิมพ์

OpenAI เผยแพร่ โพสต์บล็อกความปลอดภัย เมื่อวันที่ 22 ธันวาคม บริษัทได้ออกแถลงการณ์ยอมรับอย่างน่าตกใจว่า การโจมตีแบบฉีดข้อมูลทันทีต่อเบราว์เซอร์ AI นั้น “อาจไม่มีวันแก้ไขได้อย่างสมบูรณ์” การยอมรับนี้เกิดขึ้นเพียงสองเดือนหลังจากที่บริษัทเปิดตัวผลิตภัณฑ์ใหม่ แชทจีพีที แอตลาสรวมถึงเบราว์เซอร์ที่มีความสามารถในการทำงานแบบอัตโนมัติ

บริษัทดังกล่าวเปรียบเทียบการโจมตีแบบฉีดข้อมูลทันที (prompt injection) กับ “การหลอกลวงและการใช้เทคนิคทางสังคมบนเว็บ” ซึ่งเป็นภัยคุกคามที่เกิดขึ้นอย่างต่อเนื่อง และฝ่ายป้องกันจะจัดการภัยคุกคามเหล่านั้นแทนที่จะกำจัดให้หมดไป สำหรับผู้ใช้ที่ไว้วางใจให้ตัวแทน AI นำทางบนอินเทอร์เน็ตในนามของตน การเปรียบเทียบเช่นนี้ทำให้เกิดคำถามพื้นฐานเกี่ยวกับขอบเขตของความเป็นอิสระที่เหมาะสม

สิ่งที่ OpenAI เปิดเผย

บทความในบล็อกอธิบายถึงสถาปัตยกรรมด้านการป้องกันของ OpenAI สำหรับ Atlas ซึ่งรวมถึง "ผู้โจมตีอัตโนมัติ" ที่ขับเคลื่อนด้วยการเรียนรู้แบบเสริมแรง (reinforcement learning) ที่คอยค้นหาช่องโหว่ก่อนที่ผู้ไม่ประสงค์ดีจะค้นพบ บริษัทอ้างว่าทีมตรวจสอบช่องโหว่ภายในนี้ได้ค้นพบ "กลยุทธ์การโจมตีใหม่ๆ ที่ไม่ปรากฏในแคมเปญการตรวจสอบช่องโหว่โดยทีมมนุษย์หรือรายงานภายนอก"

ตัวอย่างหนึ่งแสดงให้เห็นว่าอีเมลที่เป็นอันตรายสามารถเข้าควบคุมตัวแทน AI ที่กำลังตรวจสอบกล่องจดหมายของผู้ใช้ได้อย่างไร แทนที่จะเขียนข้อความตอบกลับอัตโนมัติเมื่อไม่อยู่ที่ทำงานตามคำสั่ง ตัวแทนที่ถูกโจมตีกลับส่งข้อความลาออก OpenAI กล่าวว่าการอัปเดตความปลอดภัยล่าสุดของพวกเขาตรวจจับการโจมตีนี้ได้แล้ว แต่ตัวอย่างนี้แสดงให้เห็นถึงความเสี่ยงเมื่อตัวแทน AI ทำงานอย่างอิสระในบริบทที่ละเอียดอ่อน

OpenAI ระบุว่า ผู้โจมตีอัตโนมัติ “สามารถชี้นำเอเจนต์ให้ดำเนินการเวิร์กโฟลว์ที่เป็นอันตรายที่ซับซ้อนและกินเวลานาน ซึ่งดำเนินไปหลายสิบ (หรือแม้แต่หลายร้อย) ขั้นตอน” ความสามารถนี้ช่วยให้ OpenAI ค้นพบช่องโหว่ได้เร็วกว่าผู้โจมตีภายนอก แต่ก็ยังเผยให้เห็นว่าการโจมตีแบบแทรกข้อความแจ้งเตือนนั้นซับซ้อนและสร้างความเสียหายได้มากเพียงใด

ภาพ: OpenAI

ปัญหาความมั่นคงขั้นพื้นฐาน

การโจมตีแบบ Prompt injection ใช้ประโยชน์จากข้อจำกัดพื้นฐานของโมเดลภาษาขนาดใหญ่ นั่นคือ โมเดลเหล่านั้นไม่สามารถแยกแยะได้อย่างน่าเชื่อถือระหว่างคำสั่งที่ถูกต้องและเนื้อหาที่เป็นอันตรายซึ่งฝังอยู่ในข้อมูลที่ประมวลผล เมื่อเบราว์เซอร์ AI อ่านหน้าเว็บ ข้อความใดๆ บนหน้าเว็บนั้นอาจส่งผลต่อพฤติกรรมของมันได้

นักวิจัยด้านความปลอดภัยได้แสดงให้เห็นสิ่งนี้ซ้ำแล้วซ้ำเล่า เบราว์เซอร์ AI ผสมผสานความเป็นอิสระในระดับปานกลางเข้ากับการเข้าถึงในระดับสูงมาก ซึ่งเป็นจุดที่ท้าทายในด้านความปลอดภัย

การโจมตีเหล่านี้ไม่จำเป็นต้องใช้เทคนิคที่ซับซ้อน ข้อความที่ซ่อนอยู่บนหน้าเว็บ อีเมลที่เขียนอย่างพิถีพิถัน หรือคำสั่งที่มองไม่เห็นในเอกสาร ล้วนสามารถใช้ในการบิดเบือนข้อมูลได้ ตัวแทน AI ส่งผลให้เกิดการกระทำที่ไม่พึงประสงค์ นักวิจัยบางกลุ่มแสดงให้เห็นว่า ข้อความแจ้งเตือนที่เป็นอันตรายซึ่งซ่อนอยู่ในภาพหน้าจอสามารถทำงานได้เมื่อ AI ถ่ายภาพหน้าจอของผู้ใช้

OpenAI กำลังตอบสนองอย่างไร

ระบบป้องกันของ OpenAI ประกอบด้วยโมเดลที่ได้รับการฝึกฝนโดยใช้การโจมตีแบบต่อต้าน การจำแนกประเภทแบบฉีดข้อมูลทันที และ "ตัวชะลอความเร็ว" ที่ต้องการการยืนยันจากผู้ใช้ก่อนดำเนินการที่ละเอียดอ่อน บริษัทแนะนำให้ผู้ใช้จำกัดสิ่งที่ Atlas สามารถเข้าถึงได้ เช่น การจำกัดการเข้าถึงเมื่อเข้าสู่ระบบ การขอการยืนยันก่อนการชำระเงินหรือส่งข้อความ และการให้คำแนะนำที่แคบลงแทนที่จะเป็นคำสั่งที่กว้างเกินไป

คำแนะนำนี้เผยให้เห็นอะไรหลายอย่าง โดยพื้นฐานแล้ว OpenAI แนะนำให้มองผลิตภัณฑ์ของตนเองด้วยความสงสัย ซึ่งเป็นการจำกัดความเป็นอิสระที่ทำให้เบราว์เซอร์ AI น่าสนใจตั้งแต่แรก ผู้ใช้ที่ต้องการให้เบราว์เซอร์ AI จัดการกล่องจดหมายทั้งหมดหรือจัดการการเงินของตนเองกำลังแบกรับความเสี่ยงที่บริษัทเองไม่ได้ให้การรับรอง

การอัปเดตด้านความปลอดภัยช่วยลดการโจมตีแบบ Injection ที่ประสบความสำเร็จลง การปรับปรุงนี้มีความสำคัญ แต่ก็หมายความว่าช่องโหว่ด้านความปลอดภัยยังคงมีอยู่ และผู้โจมตีจะปรับตัวให้เข้ากับการป้องกันใดๆ ก็ตามที่ OpenAI นำมาใช้

ผลกระทบทั่วทั้งอุตสาหกรรม

OpenAI ไม่ได้เผชิญกับความท้าทายเหล่านี้เพียงลำพัง กรอบการรักษาความปลอดภัยของ Google คุณสมบัติการทำงานของเอเจนต์ใน Chrome ประกอบด้วยชั้นการป้องกันหลายชั้น รวมถึงโมเดล AI แยกต่างหากที่ตรวจสอบทุกการกระทำที่เสนอ เบราว์เซอร์ Comet ของ Perplexity ก็เคยถูกนักวิจัยด้านความปลอดภัยจาก Brave ตรวจสอบอย่างเข้มงวดเช่นกัน โดยพบว่าการเข้าชมเว็บเพจที่เป็นอันตรายอาจกระตุ้นการทำงานของ AI ที่เป็นอันตรายได้

ดูเหมือนว่าวงการนี้กำลังเริ่มเห็นพ้องกันว่า การฉีดข้อมูลแบบทันทีทันใดนั้นเป็นข้อจำกัดพื้นฐาน ไม่ใช่ข้อผิดพลาดที่จะต้องแก้ไข สิ่งนี้มีนัยสำคัญอย่างยิ่งต่อวิสัยทัศน์ของเอเจนต์ AI ในการจัดการงานที่ซับซ้อนและละเอียดอ่อนได้อย่างอิสระ

สิ่งที่ผู้ใช้ควรพิจารณา

การประเมินอย่างตรงไปตรงมานั้นไม่น่าพึงพอใจ: เบราว์เซอร์ AI เป็นเครื่องมือที่มีประโยชน์ แต่มีข้อจำกัดด้านความปลอดภัยโดยธรรมชาติที่ไม่สามารถแก้ไขได้ด้วยวิศวกรรมที่ดีกว่า ผู้ใช้ต้องเลือกระหว่างความสะดวกสบายและความเสี่ยง ซึ่งไม่มีผู้จำหน่ายรายใดสามารถแก้ไขได้อย่างสมบูรณ์

คำแนะนำของ OpenAI—จำกัดการเข้าถึง กำหนดให้มีการยืนยัน และหลีกเลี่ยงการบังคับใช้ในวงกว้าง—นั้นเทียบเท่ากับคำแนะนำให้ใช้ผลิตภัณฑ์เวอร์ชันที่มีประสิทธิภาพน้อยกว่า นี่ไม่ใช่การวางตำแหน่งอย่างเห็นแก่ตัว แต่เป็นการยอมรับข้อจำกัดในปัจจุบันอย่างสมจริง ผู้ช่วย AI สิ่งที่สามารถทำได้มากกว่านั้น ก็สามารถถูกดัดแปลงให้ทำได้มากกว่านั้นเช่นกัน

การเปรียบเทียบกับระบบรักษาความปลอดภัยบนเว็บแบบดั้งเดิมนั้นให้บทเรียนที่น่าสนใจ ผู้ใช้ยังคงตกเป็นเหยื่อของการโจมตีแบบฟิชชิงแม้จะผ่านไปหลายสิบปีแล้วก็ตาม เบราว์เซอร์ยังคงบล็อกเว็บไซต์ที่เป็นอันตรายนับล้านเว็บไซต์ทุกวัน ภัยคุกคามปรับตัวได้เร็วกว่าที่ระบบป้องกันจะแก้ไขได้อย่างถาวร

เบราว์เซอร์ AI เพิ่มมิติใหม่ให้กับพลวัตที่คุ้นเคยนี้ เมื่อมนุษย์ท่องเว็บ พวกเขาจะตัดสินว่าสิ่งใดดูน่าสงสัย แต่ตัวแทน AI ประมวลผลทุกอย่างด้วยความไว้วางใจเท่าเทียมกัน ทำให้พวกมันอ่อนไหวต่อการถูกชักจูงได้ง่ายกว่า แม้ว่าพวกมันจะมีความสามารถมากขึ้นก็ตาม

เส้นทางไปข้างหน้า

ความโปร่งใสของ OpenAI สมควรได้รับการยกย่อง บริษัทอาจปล่อยอัปเดตความปลอดภัยอย่างเงียบๆ โดยไม่ยอมรับว่าปัญหาพื้นฐานยังคงอยู่ แต่แทนที่จะทำเช่นนั้น บริษัทได้เผยแพร่การวิเคราะห์โดยละเอียดเกี่ยวกับช่องทางการโจมตีและสถาปัตยกรรมป้องกัน ซึ่งเป็นข้อมูลที่ช่วยให้ผู้ใช้สามารถตัดสินใจได้อย่างชาญฉลาด และช่วยให้คู่แข่งปรับปรุงการป้องกันของตนเองได้

แต่ความโปร่งใสไม่ได้แก้ปัญหาความขัดแย้งพื้นฐาน ยิ่งตัวแทน AI มีประสิทธิภาพมากขึ้นเท่าไร พวกมันก็ยิ่งเป็นเป้าหมายที่น่าดึงดูดมากขึ้นเท่านั้น ความสามารถเดียวกันที่ทำให้ Atlas สามารถจัดการเวิร์กโฟลว์ที่ซับซ้อนได้ ก็สร้างโอกาสสำหรับการโจมตีที่ซับซ้อนเช่นกัน

ในตอนนี้ ผู้ใช้เบราว์เซอร์ AI ควรพิจารณาเบราว์เซอร์เหล่านี้ในฐานะเครื่องมือที่มีประสิทธิภาพแต่มีข้อจำกัดที่สำคัญ ไม่ใช่ผู้ช่วยดิจิทัลอัตโนมัติเต็มรูปแบบที่พร้อมจัดการงานที่ละเอียดอ่อนโดยปราศจากการกำกับดูแล OpenAI ได้เปิดเผยความจริงข้อนี้อย่างตรงไปตรงมาเป็นพิเศษ คำถามคือ การตลาดของอุตสาหกรรมจะตามทันสิ่งที่ทีมรักษาความปลอดภัยรู้แล้วหรือไม่

หัวข้อที่เกี่ยวข้อง:
mm

อเล็กซ์ แมคฟาร์แลนด์ เป็นนักข่าวและนักเขียนด้าน AI ที่ศึกษาพัฒนาการล่าสุดด้านปัญญาประดิษฐ์ เขาได้ร่วมงานกับสตาร์ทอัพด้าน AI และสิ่งพิมพ์มากมายทั่วโลก