OpenAI 為 ChatGPT Pro 用戶打造的前沿研究預(yù)覽工具 ChatGPT Operator，近來因一個(gè)嚴(yán)重漏洞引發(fā)關(guān)注。該漏洞可通過提示注入攻擊，致使敏感個(gè)人數(shù)據(jù)面臨泄露風(fēng)險(xiǎn)。

ChatGPT Operator 是一款功能強(qiáng)大的先進(jìn) AI 代理，具備網(wǎng)頁瀏覽與推理能力，能幫助用戶執(zhí)行多種任務(wù)，如研究特定主題、預(yù)訂旅行行程，甚至代表用戶與各類網(wǎng)站進(jìn)行交互。然而，近期的一些演示卻揭示出它存在安全隱患 —— 可在與網(wǎng)頁交互過程中被惡意操控，進(jìn)而導(dǎo)致隱私數(shù)據(jù)泄露。

攻擊原理：提示注入如何運(yùn)作

根據(jù) wunderwuzzi 的博客介紹，提示注入是一種將惡意指令嵌入 AI 模型處理的文本或網(wǎng)頁內(nèi)容中的技術(shù)。對(duì)于 ChatGPT Operator，這種攻擊涉及以下步驟：

• 通過提示注入劫持 Operator：惡意指令托管在 GitHub Issues 等平臺(tái)或嵌入到網(wǎng)站文本中。
• 導(dǎo)航至敏感頁面：攻擊者誘騙 Operator 訪問包含敏感個(gè)人信息（如電子郵件或電話號(hào)碼）的認(rèn)證頁面。
• 通過第三方網(wǎng)站泄露數(shù)據(jù)：Operator 被進(jìn)一步操縱，將這些信息復(fù)制并粘貼到惡意網(wǎng)頁中，無需表單提交即可捕獲數(shù)據(jù)。

例如，在一次演示中，Operator 被誘騙從用戶的 YC Hacker News 帳戶中提取私人電子郵件地址，并將其粘貼到第三方服務(wù)器的輸入字段中。這種攻擊在 Booking.com 和 The Guardian 等多個(gè)網(wǎng)站上均能無縫執(zhí)行。

緩解措施

OpenAI 已實(shí)施多層次的防御措施來降低此類風(fēng)險(xiǎn)：

• 用戶監(jiān)控：提示用戶監(jiān)控 Operator 的行為，包括輸入的文本和點(diǎn)擊的按鈕，但這在很大程度上依賴于用戶的警惕性。
• 內(nèi)聯(lián)確認(rèn)請(qǐng)求：對(duì)于某些操作，Operator 會(huì)在聊天界面中請(qǐng)求用戶確認(rèn)后再繼續(xù)執(zhí)行。雖然在某些情況下有效，但在早期測試中被繞過。
• 帶外確認(rèn)請(qǐng)求：在跨網(wǎng)站邊界或執(zhí)行復(fù)雜操作時(shí)，Operator 會(huì)顯示侵入式確認(rèn)對(duì)話框，解釋潛在風(fēng)險(xiǎn)。然而，這些防御措施并非萬無一失。

盡管如此，由于提示注入攻擊具有概率性，攻擊和防御都取決于特定條件是否滿足，因此這類攻擊仍然部分有效。

這些演示中暴露的漏洞引發(fā)了嚴(yán)重關(guān)切：如果被利用，攻擊者可能會(huì)訪問存儲(chǔ)在認(rèn)證網(wǎng)站上的敏感個(gè)人信息。由于 Operator 會(huì)話在服務(wù)器端運(yùn)行，OpenAI 可能也會(huì)訪問會(huì)話 Cookie、授權(quán)令牌和其他敏感數(shù)據(jù)。

這些攻擊削弱了人們對(duì)自主 AI 代理的信任，凸顯了對(duì)強(qiáng)大安全措施的需求。

為解決這些挑戰(zhàn)，OpenAI 可以考慮開源其提示注入監(jiān)控器的一部分，或分享其防御機(jī)制的詳細(xì)文檔。這將使研究人員能夠評(píng)估和改進(jìn)現(xiàn)有的緩解策略。此外，網(wǎng)站可以通過識(shí)別獨(dú)特的 User-Agent 標(biāo)頭，采取阻止 AI 代理訪問敏感頁面的措施。

提示注入攻擊表明，在開發(fā)出針對(duì)惡意指令的強(qiáng)大防御措施之前，完全自主的代理可能仍難以實(shí)現(xiàn)。目前，警惕的監(jiān)控和分層的緩解措施對(duì)于保護(hù)用戶隱私和維持對(duì) AI 技術(shù)的信任至關(guān)重要。