关注我们.

网络安全

OpenAI承认人工智能浏览器可能永远无法完全安全。

mm
发布时间

OpenAI 发布了一个 安全博客文章 12月22日,该公司发布了一项令人震惊的声明,承认针对人工智能浏览器的快速注入攻击“可能永远无法彻底解决”。这项让步距离该公司推出人工智能浏览器仅两个月。 ChatGPT Atlas其浏览器具备自主代理功能。

该公司将即时注入比作“网络上的诈骗和社会工程”——这些持续存在的威胁需要防御者进行管理而非彻底消除。对于信任人工智能代理代表他们浏览互联网的用户而言,这种表述引发了关于自主权程度的根本性问题。

OpenAI揭示了什么

这篇博文介绍了OpenAI为Atlas构建的防御架构,其中包括一个基于强化学习的“自动化攻击者”,它能在恶意攻击者发现漏洞之前主动搜寻漏洞。该公司声称,这支内部红队已经发现了“一些全新的攻击策略,这些策略在我们的人工红队演练或外部报告中均未出现”。

一项演示表明,恶意电子邮件可以劫持正在检查用户收件箱的人工智能代理。被入侵的代理没有按照指示自动回复自动回复邮件,而是发送了一封辞职信。OpenAI 表示,其最新的安全更新可以检测到这种攻击——但这个例子说明了人工智能代理在敏感环境下自主行动的风险。

OpenAI指出,自动化攻击者“可以引导代理执行复杂的、长期的有害工作流程,这些工作流程会展开数十(甚至数百)个步骤”。这种能力帮助OpenAI比外部攻击者更快地发现漏洞,但也揭示了提示注入攻击的复杂性和破坏性。

图片:OpenAI

基本安全问题

提示注入利用了大型语言模型的一个基本局限性:它们无法可靠地区分合法指令和嵌入在处理数据中的恶意内容。当人工智能浏览器读取网页时,页面上的任何文本都可能影响其行为。

安全研究人员已反复证实这一点。人工智能浏览器兼具适度的自主性和极高的访问权限——这在安全领域构成了一项挑战。

这些攻击并不需要复杂的技术。网页上的隐藏文本、精心构造的电子邮件或文档中的隐蔽指令都可以起到操纵作用。 AI代理商 导致用户执行非预期操作。一些研究人员已经证明,隐藏在屏幕截图中的恶意提示可以在人工智能拍摄用户屏幕照片时执行。

OpenAI是如何应对的

OpenAI 的防御措施包括对抗训练模型、提示注入分类器以及在执行敏感操作前需要用户确认的“减速带”。该公司建议用户限制 Atlas 的访问权限——限制登录用户才能访问,要求在付款或发送消息前进行确认,并提供明确的指令而非宽泛的强制规定。

这条建议颇具启发性。OpenAI 实际上是建议用户对其自家产品抱持怀疑态度,这限制了智能浏览器最初的吸引力所在——自主性。那些希望 AI 浏览器处理所有收件箱或管理财务的用户,实际上是在承担公司自身并不认可的风险。

此次安全更新减少了注入攻击的成功率。这一改进固然重要,但也意味着剩余的攻击面依然存在——攻击者会适应OpenAI部署的任何防御措施。

对全行业的影响

OpenAI并非唯一面临这些挑战的公司。 Google 的安全框架 Chrome 的智能体功能包含多层防御,其中包括一个独立的 AI 模型,用于审查每个提议的操作。Perplexity 的 Comet 浏览器也曾受到 Brave 安全研究人员的类似审查,他们发现访问恶意网页可能会触发有害的 AI 操作。

业界似乎正在​​达成共识:即时注入是一个根本性的限制,而非需要修补的漏洞。这对于人工智能代理自主处理复杂敏感任务的愿景具有重大意义。

用户应考虑哪些因素

客观的评估令人不安:人工智能浏览器是有用的工具,但其固有的安全缺陷无法通过改进工程技术来消除。用户需要在便利性和风险之间权衡,而任何供应商都无法彻底解决这一问题。

OpenAI 的指导原则——限制访问权限、要求确认、避免大范围强制执行——实际上是建议用户使用功能较弱的产品版本。这并非出于玩世不恭的策略,而是对当前局限性的务实承认。 人工智能助手 能够做更多事情的,也可以被操纵去做更多事情。

这与传统网络安全的相似之处颇具启发性。网络钓鱼攻击出现数十年后,用户仍然会上当受骗。浏览器每天仍然会拦截数百万个恶意网站。威胁的演变速度远超防御措施的彻底解决速度。

人工智能浏览器为这种熟悉的动态增添了新的维度。人类浏览网页时,会运用判断力来识别可疑内容。而人工智能代理则对所有内容一视同仁,这使得它们在能力不断增强的同时,也更容易受到操控。

前进之路

OpenAI的透明度值得称赞。该公司本可以悄悄发布安全更新,而不承认根本问题依然存在。但它却公布了攻击途径和防御架构的详细分析——这些信息有助于用户做出明智的决策,也有助于竞争对手改进自身的安全防护。

但透明度并不能解决根本矛盾。人工智能代理的功能越强大,就越容易成为攻击目标。Atlas 处理复杂工作流程的能力也为复杂的攻击提供了可乘之机。

目前,AI浏览器的用户应该将其视为功能强大但存在合理局限性的工具,而不是无需监督即可处理敏感任务的完全自主的数字助理。OpenAI对此一直非常坦诚。问题在于,业界的营销策略能否跟上安全团队的认知。

相关话题:
mm

Alex McFarland 是一位人工智能记者和作家,致力于探索人工智能的最新发展。他与全球众多人工智能初创公司和出版物合作。