openai 近日公开表示,具备代理(agent)功能的 ai 浏览器在架构层面难以根除“提示注入”(prompt injection)攻击隐患。即便不断升级防护机制,该问题仍被定性为一项需长期应对的安全挑战,而非可通过单一技术手段彻底“攻克”的缺陷。为此,公司正加快安全补丁发布频率,并依托大规模自动化攻防对抗实验,在真实攻击发生前主动挖掘 atlas 浏览器中潜藏的薄弱环节。
今年 10 月,OpenAI 正式将 Atlas AI 浏览器集成进 ChatGPT 后,安全研究人员迅速验证:仅需在 Google Docs 等开放网页中插入简短文本,即可悄然劫持浏览器底层逻辑,暴露出“代理模式”在接入邮箱、第三方网站等不受控环境时,其攻击面被大幅扩展的事实。几乎同一时间,Brave 浏览器团队也在官方博客中指出,间接式提示注入是所有 AI 浏览器共有的结构性难题,Perplexity 推出的 Comet 等同类产品亦未能幸免。
这一判断并非 OpenAI 独有。英国国家网络安全中心(NCSC)本月早些时候发布警示称,针对生成式 AI 应用的提示注入攻击“或将永远无法被彻底遏制”,相关漏洞可能引发波及广泛的用户数据泄露事件。NCSC 建议安全团队重心转向“风险与影响控制”,而非执着于追求绝对防御。OpenAI 在最新技术博客中亦明确表态:提示注入应被视作贯穿 AI 发展周期的核心安全命题,防御体系必须持续演进、动态加固。
在具体防御思路上,OpenAI、Anthropic 与 Google 等头部厂商已形成基本共识——即采用多层防护叠加 + 持续高强度压力测试。Google 近期的研究更聚焦于从系统设计与策略制定两个维度对“代理型架构”施加硬性约束,例如通过精细化访问控制和行为白名单机制压缩潜在攻击空间。
但 OpenAI 正尝试开辟一条差异化路径:构建一个“由大模型驱动的自动化攻击者”。该系统本质上是一个经强化学习训练、专精于模拟黑客行为的 AI 机器人,其核心任务是穷尽各种方式向 AI 代理“隐蔽投递”恶意指令。在内部测试中,该攻击机器人首先在仿真环境中发起试探性攻击,系统则实时呈现目标 AI 的推理链路与可能执行动作;攻击者据此迭代优化策略,反复冲击防线。OpenAI 认为,这种对模型内部决策过程的可观测性,是现实攻击者所不具备的独特优势,有助于更高效地识别深层漏洞。
据披露,该强化学习驱动的攻击者已能诱导代理完成数十步乃至上百步组成的复杂有害操作序列,并在此过程中发现此前未见于人类红队演练或外部漏洞报告的全新攻击路径。这与当前主流 AI 安全测试范式高度一致——先打造高自由度的“边界试探型代理”,再通过高频次模拟推演反向驱动防御能力升级。
在最新演示中,OpenAI 展示了该自动化攻击者如何向用户邮箱悄悄植入一封伪装邮件。当 AI 代理后续扫描收件箱、准备撰写外出自动回复时,受邮件内嵌指令误导,误将一封预设的辞职信作为正式邮件发出。OpenAI 表示,经过最近一轮安全更新,Atlas 的“代理模式”现已可识别此类提示注入行为并即时向用户发出风险预警。公司同时强调,尽管提示注入难以实现“零风险”防护,但将持续扩大自动化测试规模、缩短补丁响应周期,力争在漏洞被实际利用前完成闭环修复。
OpenAI 发言人未透露上述更新是否已在统计层面显著压降成功攻击率,但确认自 Atlas 上线前起,公司已联合多家第三方安全机构开展常态化攻防演练,以系统性提升其对提示注入类威胁的抵御能力。
外部安全专家对此策略普遍持谨慎乐观态度。网络安全公司 Wiz 的首席安全研究员 Rami McCarthy 指出,强化学习确为一种可随攻击手法演进而自我调优的防御增强手段,但仅靠它无法构成完整解决方案。他提出,评估 AI 系统风险的有效框架应为“自治等级 × 权限广度”的乘积模型。依此坐标系,兼具一定自主决策能力且握有极高数据访问权限的“代理浏览器”,天然处于高风险象限。
因此,业内诸多建议均围绕“收缩暴露面”与“约束自主权”展开。例如,减少代理在已登录状态下接触敏感账户的频次,以压缩攻击入口;对消息发送、资金支付等关键动作强制引入用户二次确认机制,从而将代理的行动自由度限定在可控范围内。OpenAI 方面表示,Atlas 已被专门训练,在执行消息发送或支付操作前必先请求用户明确授权。公司亦建议用户采用精准、具象的任务指令来引导代理,避免授予泛化权限,如不应简单授权其“全面管理邮箱并自行决定所有操作”。正如 OpenAI 所强调,赋予代理过宽的操作边界,会极大增加隐藏或恶意内容干扰其判断的概率,即使系统本身已部署多重防护措施。
尽管 OpenAI 将保障 Atlas 用户免遭提示注入攻击列为“最高优先级事项”,McCarthy 仍提醒业界保持理性审视:就现阶段多数日常使用场景而言,“代理浏览器”所带来的效率增益,尚不足以完全覆盖其所承载的高风险属性。这类工具对邮箱、支付凭证等核心敏感信息拥有深度访问权限,既是其能力根基,亦是最大软肋,而这种能力与风险的尖锐对峙,在短期内仍将难以调和。
源码地址:点击下载
