ความปลอดภัยไซเบอร์

โอเพ่นเอไอ ยอมรับว่าเบราว์เซอร์ AI อาจไม่ปลอดภัยอย่างสมบูรณ์

mm
เผยแพร่
อัปเดต

โอเพ่นเอไอได้ตีพิมพ์บทความเกี่ยวกับเรื่องราวความปลอดภัยบนเว็บเมื่อวันที่ 22 ธันวาคม โดยมีการยอมรับอย่างน่าประหลาดใจว่า การโจมตีแบบพรอมต์อินเจคชัน (prompt injection) ต่อเบราว์เซอร์ AI “อาจไม่สามารถแก้ไขได้อย่างสมบูรณ์” การยอมรับนี้เกิดขึ้นเพียงสองเดือนหลังจากที่บริษัทเปิดตัว ChatGPT Atlas ซึ่งเป็นเบราว์เซอร์ที่มีความสามารถอัตโนมัติ

บริษัทได้เปรียบเทียบการโจมตีแบบพรอมต์อินเจคชันกับ “การหลอกลวงและการจัดการทางสังคมบนเว็บ” ซึ่งเป็นภัยคุกคามที่ผู้ป้องกันต้องจัดการมากกว่าการกำจัดออกไป สำหรับผู้ใช้ที่ไว้วางใจตัวแทน AI ในการนำทางอินเทอร์เน็ตแทนพวกเขา การเปรียบเทียบนี้ทำให้เกิดคำถามพื้นฐานเกี่ยวกับระดับของความอิสระที่เหมาะสม

สิ่งที่โอเพ่นเอไอเปิดเผย

บทความในบล็อกเกี่ยวกับเรื่องราวความปลอดภัยอธิบายถึงโครงสร้างการป้องกันของ Atlas รวมถึง “ผู้โจมตีแบบอัตโนมัติ” ที่ใช้การเรียนรู้แบบเสริมกำลังในการค้นหาความเสี่ยงก่อนที่ผู้โจมตีจะมีโอกาสพบพวกมัน บริษัทอ้างว่าผู้โจมตีภายในนี้ได้ค้นพบ “กลยุทธ์การโจมตีใหม่ที่ไม่ปรากฏในการทดสอบของทีมแดงหรือรายงานภายนอก”

การดемонสตร Pey ตัวอย่างหนึ่งแสดงให้เห็นว่า อีเมลที่มีเจตนาไม่ดีอาจเข้าควบคุมตัวแทน AI ที่กำลังตรวจสอบกล่องจดหมายของผู้ใช้ แทนที่จะตอบกลับอีเมลตามคำสั่ง ตัวแทน AI ที่ถูกบุกรุกอาจส่งอีเมลลาออกแทน โอเพ่นเอไอระบุว่าการอัปเดตความปลอดภัยล่าสุดสามารถจับกุมการโจมตีนี้ได้ แต่ตัวอย่างนี้แสดงให้เห็นถึงความเสี่ยงเมื่อตัวแทน AI ทำงานอัตโนมัติในบริบทที่มีความละเอียดอ่อน

ผู้โจมตีแบบอัตโนมัติ “สามารถชี้นำตัวแทนให้ดำเนินการที่ซับซ้อนและเป็นอันตรายที่เกิดขึ้นเป็นระยะเวลานาน ซึ่งอาจมีหลายขั้นตอน” โอเพ่นเอไออธิบาย การใช้ความสามารถนี้ช่วยให้โอเพ่นเอไอสามารถค้นหาความเสี่ยงได้เร็วกว่าผู้โจมตีภายนอก แต่ก такжеเปิดเผยถึงความซับซ้อนและความเสียหายที่การโจมตีแบบพรอมต์อินเจคชันสามารถก่อให้เกิดได้

ภาพ: โอเพ่นเอไอ

ปัญหาความปลอดภัยพื้นฐาน

การโจมตีแบบพรอมต์อินเจคชันใช้ประโยชน์จากข้อจำกัดพื้นฐานของโมเดลภาษาขนาดใหญ่ ซึ่งไม่สามารถแยกแยะระหว่างคำสั่งถูกต้องกับการโจมตีที่ฝังตัวอยู่ในข้อมูลที่ประมวลผล เมื่อเบราว์เซอร์ AI อ่านเว็บเพจ ใดๆ ข้อความบนเพจนั้นอาจมีอิทธิพลต่อพฤติกรรมของมันได้

นักวิจัยด้านความปลอดภัยได้แสดงให้เห็นถึงสิ่งนี้ซ้ำแล้วซ้ำเล่า เบราว์เซอร์ AI รวมความสามารถอิสระระดับปานกลางเข้ากับการเข้าถึงระดับสูง ซึ่งเป็นตำแหน่งที่ท้าทายในพื้นที่ความปลอดภัย

การโจมตีเหล่านี้ไม่ต้องการเทคนิคที่ซับซ้อน ข้อความที่ซ่อนอยู่บนเว็บเพจ อีเมลที่สร้างขึ้นอย่างรอบคอบ หรือคำสั่งที่ไม่มองเห็นในเอกสารสามารถบงการตัวแทน AI ให้ทำการกระทำที่ไม่ได้ตั้งใจได้ นักวิจัยบางคนได้แสดงให้เห็นว่าคำสั่งโจมตีที่ซ่อนอยู่ในภาพหน้าจอสามารถทำงานได้เมื่อตัวแทน AI ถ่ายภาพหน้าจอของผู้ใช้

วิธีการตอบสนองของโอเพ่นเอไอ

การป้องกันของโอเพ่นเอไอประกอบด้วยโมเดลที่ได้รับการฝึกฝนแบบกันเอง คลาสสิฟายเออร์พรอมต์อินเจคชัน และ “สปีดบัมป์” ที่ต้องการการยืนยันจากผู้ใช้ก่อนดำเนินการอันตราย บริษัทแนะนำให้ผู้ใช้จำกัดสิ่งที่ Atlas สามารถเข้าถึงได้ โดยการจำกัดการเข้าถึงแบบล็อกอิน การต้องการการยืนยันสำหรับการชำระเงินหรือการส่งข้อความ และการให้คำสั่งโดยเฉพาะเจาะจงมากกว่าการให้คำสั่งโดยทั่วไป

คำแนะนำนี้เปิดเผยถึงความจริงที่น่าสนใจ โอเพ่นเอไอแนะนำให้รักษาระยะห่างจากผลิตภัณฑ์ของตนเอง โดยจำกัดความอิสระที่ทำให้เบราว์เซอร์ AI น่าสนใจในตอนแรก ผู้ใช้ที่ต้องการให้เบราว์เซอร์ AI จัดการกล่องจดหมายทั้งหมดหรือจัดการการเงินของตนกำลังรับความเสี่ยงที่บริษัทไม่ได้แนะนำ

การอัปเดตความปลอดภัยลดการโจมตีที่ประสบความสำเร็จ แต่นี่ก็หมายความว่าพื้นผิวการโจมตีที่เหลืออยู่ยังคงอยู่ และผู้โจมตีจะปรับตัวให้เข้ากับการป้องกันที่โอเพ่นเอไอติดตั้ง

ผลกระทบในอุตสาหกรรม

โอเพ่นเอไอไม่ใช่บริษัทเดียวที่เผชิญกับความท้าทายเหล่านี้ โครงสร้างความปลอดภัยของ Google สำหรับคุณสมบัติ AI ของ Chrome รวมถึงหลายชั้นของการป้องกัน รวมถึงโมเดล AI ที่แยกออกมาเพื่อตรวจสอบการกระทำที่เสนอทุกครั้ง Perplexity’s Comet เบราว์เซอร์เผชิญกับการตรวจสอบที่คล้ายกันจากนักวิจัยด้านความปลอดภัยของ Brave ซึ่งพบว่าการนำทางไปยังเว็บเพจที่เป็นอันตรายสามารถกระตุ้นการกระทำ AI ที่เป็นอันตรายได้

อุตสาหกรรมดูเหมือนจะรวมตัวกันในความเข้าใจที่ใช้ร่วมกัน ว่าพรอมต์อินเจคชันคือข้อจำกัดพื้นฐาน ไม่ใช่บั๊กที่สามารถแก้ไขได้ สิ่งนี้มีผลกระทบอย่างมีนัยสำคัญต่อวิสัยทัศน์ของตัวแทน AI ที่จัดการกับงานที่ซับซ้อนและอ่อนไหวโดยอัตโนมัติ

สิ่งที่ผู้ใช้ควรพิจารณา

การประเมินอย่างตรงไปตรงมาเป็นเรื่องที่ไม่สบายใจ เบราว์เซอร์ AI เป็นเครื่องมือที่มีประโยชน์ แต่มีข้อจำกัดด้านความปลอดภัยที่ไม่สามารถกำจัดได้ด้วยวิศวกรรมที่ดีขึ้น ผู้ใช้ต้องเผชิญกับการแลกเปลี่ยนระหว่างความสะดวกสบายและความเสี่ยง ซึ่งไม่มีผู้ขายใดสามารถแก้ไขได้อย่างสมบูรณ์

คำแนะนำของโอเพ่นเอไอ ซึ่งรวมถึงการจำกัดการเข้าถึง การต้องการการยืนยัน และการหลีกเลี่ยงคำสั่งโดยทั่วไป สามารถถือเป็นคำแนะนำในการใช้เวอร์ชันที่มีพลังงานน้อยกว่าของผลิตภัณฑ์ นี่ไม่ใช่การวางตำแหน่งที่เหยียดหยาม แต่เป็นการยอมรับข้อจำกัดปัจจุบันในทางปฏิบัติ ตัวช่วย AI ที่สามารถทำได้มากขึ้นสามารถบงการให้ทำได้มากขึ้น

การเปรียบเทียบกับความปลอดภัยบนเว็บแบบดั้งเดิมเป็นเรื่องที่ให้ข้อมูล ผู้ใช้ยังคงหลงเชื่อการโจมตีแบบฟิชชิ่งหลายทศวรรษหลังจากที่พวกมันปรากฏตัว เบราว์เซอร์ยังคงบล็อกเว็บเพจที่เป็นอันตรายหลายล้านหน้าต่อวัน อันตรายปรับตัวให้เร็วกว่าการป้องกันที่สามารถแก้ไขได้อย่างถาวร

เบราว์เซอร์ AI เพิ่มมิติใหม่ให้กับพลวัตที่คุ้นเคย เมื่อมนุษย์เล่นเว็บ พวกเขานำการตัดสินเกี่ยวกับสิ่งที่ดูเหมือนน่าสงสัยมาให้ ตัวแทน AI ประมวลผลทุกอย่างด้วยความไว้วางใจเท่ากัน ทำให้พวกมันเสี่ยงต่อการบงการมากขึ้นในขณะที่พวกมันเติบโตขึ้น

เส้นทางไปข้างหน้า

ความโปร่งใสของโอเพ่นเอไอสมควรได้รับการยอมรับ บริษัทอาจส่งการอัปเดตความปลอดภัยอย่างเงียบๆ โดยไม่ต้องยอมรับปัญหาเบื้องหลังที่ยังคงอยู่ แต่พวกเขาตีพิมพ์บทวิเคราะห์รายละเอียดเกี่ยวกับเวกเตอร์การโจมตีและโครงสร้างการป้องกัน ซึ่งเป็นข้อมูลที่ช่วยให้ผู้ใช้ตัดสินใจอย่างมีข้อมูลและคู่แข่งปรับปรุงการป้องกันของตนเอง

แต่ความโปร่งใสไม่ได้แก้ไขความตึงเครียดพื้นฐาน เมื่อตัวแทน AI มีพลังมากขึ้น พวกเขาก็กลายเป็นเป้าหมายที่น่าสนใจมากขึ้น ความสามารถเดียวกับที่ทำให้ Atlas จัดการการทำงานที่ซับซ้อนก็สร้างโอกาสให้เกิดการโจมตีที่ซับซ้อน

สำหรับตอนนี้ ผู้ใช้เบราว์เซอร์ AI ควรเข้าใกล้พวกมันในฐานะเครื่องมือที่มีพลังและมีข้อจำกัดที่มีความหมาย ไม่ใช่ตัวช่วยดิจิทัลอัตโนมัติที่พร้อมจัดการงานที่อ่อนไหวโดยไม่ต้องมีการกำกับดูแล โอเพ่นเอไอได้แสดงความซื่อสัตย์อย่างไม่ธรรมดาเกี่ยวกับเรื่องนี้ คำถามคือว่าอุตสาหกรรมจะตามทันสิ่งที่ทีมความปลอดภัยรู้แล้วหรือไม่

mm

Alex McFarland เป็นนักข่าวและนักเขียน AI ที่สำรวจการพัฒนาล่าสุดในด้านปัญญาประดิษฐ์ เขาได้ร่วมงานกับสตาร์ทอัพ AI และสื่อสิ่งพิมพ์ต่างๆ ทั่วโลก