OpenAI 為 ChatGPT Pro 用戶打造的前沿研究預覽工具 ChatGPT Operator，近來因一個嚴重漏洞引發(fā)關(guān)注。該漏洞可通過提示注入攻擊，致使敏感個人數(shù)據(jù)面臨泄露風險。

ChatGPT Operator 是一款功能強大的先進 AI 代理，具備網(wǎng)頁瀏覽與推理能力，能幫助用戶執(zhí)行多種任務，如研究特定主題、預訂旅行行程，甚至代表用戶與各類網(wǎng)站進行交互。然而，近期的一些演示卻揭示出它存在安全隱患 —— 可在與網(wǎng)頁交互過程中被惡意操控，進而導致隱私數(shù)據(jù)泄露。

攻擊原理：提示注入如何運作

根據(jù) wunderwuzzi 的博客介紹，提示注入是一種將惡意指令嵌入 AI 模型處理的文本或網(wǎng)頁內(nèi)容中的技術(shù)。對于 ChatGPT Operator，這種攻擊涉及以下步驟：

• 通過提示注入劫持 Operator：惡意指令托管在 GitHub Issues 等平臺或嵌入到網(wǎng)站文本中。
• 導航至敏感頁面：攻擊者誘騙 Operator 訪問包含敏感個人信息（如電子郵件或電話號碼）的認證頁面。
• 通過第三方網(wǎng)站泄露數(shù)據(jù)：Operator 被進一步操縱，將這些信息復制并粘貼到惡意網(wǎng)頁中，無需表單提交即可捕獲數(shù)據(jù)。

例如，在一次演示中，Operator 被誘騙從用戶的 YC Hacker News 帳戶中提取私人電子郵件地址，并將其粘貼到第三方服務器的輸入字段中。這種攻擊在 Booking.com 和 The Guardian 等多個網(wǎng)站上均能無縫執(zhí)行。

緩解措施

OpenAI 已實施多層次的防御措施來降低此類風險：

• 用戶監(jiān)控：提示用戶監(jiān)控 Operator 的行為，包括輸入的文本和點擊的按鈕，但這在很大程度上依賴于用戶的警惕性。
• 內(nèi)聯(lián)確認請求：對于某些操作，Operator 會在聊天界面中請求用戶確認后再繼續(xù)執(zhí)行。雖然在某些情況下有效，但在早期測試中被繞過。
• 帶外確認請求：在跨網(wǎng)站邊界或執(zhí)行復雜操作時，Operator 會顯示侵入式確認對話框，解釋潛在風險。然而，這些防御措施并非萬無一失。

盡管如此，由于提示注入攻擊具有概率性，攻擊和防御都取決于特定條件是否滿足，因此這類攻擊仍然部分有效。

這些演示中暴露的漏洞引發(fā)了嚴重關(guān)切：如果被利用，攻擊者可能會訪問存儲在認證網(wǎng)站上的敏感個人信息。由于 Operator 會話在服務器端運行，OpenAI 可能也會訪問會話 Cookie、授權(quán)令牌和其他敏感數(shù)據(jù)。

這些攻擊削弱了人們對自主 AI 代理的信任，凸顯了對強大安全措施的需求。

為解決這些挑戰(zhàn)，OpenAI 可以考慮開源其提示注入監(jiān)控器的一部分，或分享其防御機制的詳細文檔。這將使研究人員能夠評估和改進現(xiàn)有的緩解策略。此外，網(wǎng)站可以通過識別獨特的 User-Agent 標頭，采取阻止 AI 代理訪問敏感頁面的措施。

提示注入攻擊表明，在開發(fā)出針對惡意指令的強大防御措施之前，完全自主的代理可能仍難以實現(xiàn)。目前，警惕的監(jiān)控和分層的緩解措施對于保護用戶隱私和維持對 AI 技術(shù)的信任至關(guān)重要。