在推出其雄心勃勃的 ChatGPT Atlas 瀏覽器幾天后,OpenAI 正在公開努力解決一個基本的安全缺陷,專家警告稱該缺陷可能會影響整個人工智能驅動的網絡工具類別。
在一份詳細的公開聲明中,該公司的最高安全主管承認“即時注入”仍然是一個未解決的問題,即使研究人員開始演示針對新瀏覽器的實時攻擊。
週二推出瀏覽器後,OpenAI 首席信息安全官 Dane Stuckey 週三在 X 上回應了日益增長的擔憂。
他的帖子直接面臨間接提示的風險 注入,隱藏在網站上的惡意指令可以欺騙瀏覽器的人工智能代理執行意外且可能有害的操作。
認識到該漏洞後,Stuckey 解釋說,公司的長期目標是讓代理像具有安全意識的同事一樣值得信賴。
但是,他承認,這項技術尚未實現。 “……即時注入仍然是一個前沿、未解決的安全問題,我們的對手將花費大量時間和資源來尋找讓 ChatGPT 代理陷入這些攻擊的方法。”
安全社區中的許多人認為這一承認是對新一波代理 AI 固有風險的坦誠和必要的承認。
“未解決的安全問題”
即時注入並不是一個新問題或孤立問題。 Winbuzzer 此前曾報告過類似的漏洞,例如今年早些時候在 Perplexity 的 Comet 瀏覽器中發現的間接提示注入漏洞。
Brave 安全團隊的一份報告將該漏洞描述為所有人工智能瀏覽器面臨的系統性挑戰。 “……間接提示注入不是一個孤立的問題,而是整個人工智能驅動的瀏覽器類別面臨的系統性挑戰。”核心危險在於人工智能代理無法區分用戶的指令和嵌入其處理的內容中的惡意命令。
這可能會將人工智能變成“混亂的副手”,這是一種典型的網絡安全困境,即有權限的程序被欺騙而濫用它。
例如,Atlas 推出後幾個小時,研究人員演示了一種新穎的“剪貼板注入” 攻擊,當人工智能代理單擊按鈕時,網頁上的隱藏代碼可能會惡意更改用戶的剪貼板,讓用戶稍後在不知情的情況下粘貼惡意命令。
對於安全研究人員來說,瀏覽器的發布提供了立即測試其對現實世界攻擊的防禦能力的機會。
一些人很快發布了演示,展示瞭如何讓 Atlas 遵循惡意指令嵌入 Google 文檔或網頁。
這顯示了一些人所說的第二次瀏覽器戰爭的高風險,這場衝突不是針對功能,而是針對智能和自治, Perplexity 的 Comet 等競爭對手已經在該領域。
OpenAI 的防禦:“監視模式”和其他護欄
雖然 OpenAI 的透明度是值得歡迎的一步,但專家警告說,“縱深防禦”通常不足以阻止頑固的對手。
Stuckey 詳細介紹了 Atlas 中內置的幾項重疊的安全措施,以緩解這些問題 風險。主要防禦措施之一是名為“註銷模式”的功能,該功能允許代理代表用戶進行瀏覽和操作,而無需訪問其登錄會話的憑據。
昨天,我們推出了新的網絡瀏覽器 ChatGPT Atlas。在 Atlas 中,ChatGPT 代理可以為您完成工作。我們很高興看到此功能如何使人們的工作和日常生活更加高效和有效。
ChatGPT 代理功能強大且樂於助人,其設計目的是……
— DANΞ (@cryps1s) 2025 年 10 月 22 日
人工智能專家 Simon Willison 稱這是一種“非常智能”且經過測試的沙盒人工智能交互模式。
然而,更強大的“登錄模式”是風險升級的地方。對於需要經過身份驗證的訪問的情況,OpenAI 實施了另一種保護措施:
“當代理在敏感站點上運行時,我們還實施了‘監視模式’,該模式會向您發出警報……並要求您激活選項卡以觀察代理執行其工作。”
此功能旨在讓用戶在代理與潛在敏感信息交互時保持在循環中。然而,該公司尚未對“敏感網站”的構成提供明確的技術定義。
官方幫助中心文檔指出,頁面摘要等功能在“某些敏感網站(如成人網站)”上被屏蔽,但 沒有提供更多細節。這種模糊性是一個主要問題。
Willison 指出,在他的測試中,該模式並未在 GitHub 或他的在線銀行等網站上激活,因此得出的結論是,將安全決策委託給最終用戶是一種“不公平的負擔”。
安全社區以懷疑態度和現場演示進行回應
安全社區的反應褒貶不一。 OpenAI 對所提出的解決方案持坦率和根深蒂固的懷疑態度。
AI 安全研究員 Johann Rehberger,他記錄了大量提示注入攻擊,表示該威脅是普遍存在的。
“從高層次來看,即時注入仍然是人工智能安全中最重要的新興威脅之一……這種威脅沒有完美的緩解措施——就像針對人類的社會工程攻擊一樣。”
Willison 贊同這一觀點,認為防護措施通常不足以抵禦有動機的攻擊者。我
他警告說,在應用程序安全方面,近乎完美還不夠好。
“正如我之前所寫的,在應用程序安全方面,99% 都是不及格的成績。如果有辦法越過護欄……積極的對抗性攻擊者就會發現這一點。”
Atlas 的推出已經產生了切實的市場影響,凸顯了更新後的高風險。 瀏覽器戰爭。消息公佈後,Alphabet 的股價最初下跌了 3%,市值損失約 180 億美元,隨後又有所回升。
然而,深水資產管理公司的吉恩·蒙斯特 (Gene Munster) 等分析師認為,Atlas 的體驗並沒有“好 10 倍”,而且 Google 可以輕鬆複製其功能,這使得新瀏覽器很難獲得顯著的市場份額。
最終,OpenAI 發現自己陷入了困境, 兩線戰爭。一方面,它必須提供一款非常引人注目的產品,能夠打破谷歌對用戶習慣的束縛。
另一方面,它必須引領充滿前所未有風險的新計算範式的安全性。隨著公司努力建立用戶信任,更廣泛的安全社區將關注並測試每一步。
