Bara dagar efter lanseringen av sin ambitiösa webbläsare ChatGPT Atlas brottas OpenAI offentligt med en grundläggande säkerhetsbrist som experter varnar för kan påverka hela kategorin av AI-drivna webbverktyg.
I ett detaljerat offentligt uttalande erkände företagets högsta säkerhetschef att”snabb injektion”förblir ett olöst problem för webbläsaren, som till och med visar att en ny webbläsare är olöst.
Efter webbläsarens lansering på tisdagen, tog OpenAI:s Chief Information Security Officer, Dane Stuckey, till X på onsdagen för att ta itu med de växande farhågorna.
risk direkt för Stuckey erkände sårbarheten och förklarade att företagets långsiktiga mål är att göra agenten lika pålitlig som en säkerhetsmedveten kollega. Han medgav dock att tekniken inte finns där ännu.”…snabb injektion förblir ett gränsöverskridande, olöst säkerhetsproblem, och våra motståndare kommer att spendera mycket tid och resurser för att hitta sätt att få ChatGPT-agenten att falla för dessa attacker.” Detta erkännande sågs av många i säkerhetsgemenskapen som ett uppriktigt och nödvändigt erkännande av de risker som är inneboende i den nya vågen av säkerhetAnhAI. Problem’
Snabb injektion är inte ett nytt eller isolerat problem. Winbuzzer har tidigare rapporterat om liknande sårbarheter, såsom den indirekta prompt-injektionsbristen som upptäcktes i Perplexitys Comet-webbläsare tidigare i år. En rapport från Braves säkerhetsteam beskrev felet som en systemutmaning som alla AI-drivna webbläsare står inför.”…indirekt snabbinjektion är inte ett isolerat problem, utan en systemisk utmaning som hela kategorin AI-drivna webbläsare står inför.”Kärnfaran ligger i en AI-agents oförmåga att skilja mellan en användares instruktioner och skadliga kommandon inbäddade i innehållet den bearbetar. Detta kan göra AI:n till en”förvirrad ställföreträdare”, ett klassiskt cybersäkerhetsdilemma där ett program med auktoritet luras att missbruka det. roman”Clipboard Injection”attack, där dold kod på en webbsida på ett skadligt sätt kan ändra en användares urklipp när AI-agenten klickade på en knapp, vilket ställer in en användare att senare klistra in ett skadligt kommando utan deras vetskap. För säkerhetsforskare gav webbläsarens lansering en omedelbar möjlighet att testa dess försvar mot attacker från verkliga världen. Flera demonstrationer var snabba att följa att publicera. href=”https://x.com/p1njc70r/status/1980701879987269866″ target=”_blank”>embedded in Google Docs or on web pages. This shows the high stakes in what some are calling the second browser war, a conflict waged not over features, but over intelligence and autonomy, with competitors like Perplexity’s Comet already in the field. While OpenAI’s transparency is a welcome step, experts caution that “defense in depth”is often not enough to stop determined adversaries. Stuckey detailed several overlapping safety measures built into Atlas för att mildra dessa risker. Ett av de primära försvaret är en funktion som kallas”Utloggat läge”, som gör att agenten kan surfa och agera på en användares vägnar utan att ha tillgång till deras autentiseringsuppgifter för inloggade sessioner. Igår lanserade vi ChatGPT Atlas, vår nya webbläsare. I Atlas kan ChatGPT-agenten få saker gjorda åt dig. Vi är glada över att se hur den här funktionen gör arbetet och det dagliga livet mer effektivt och effektivt för människor. ChatGPT-agenten är kraftfull och hjälpsam och utformad för att vara… — DANΞ (@cryps1s) October 22, 2025 AI expert Simon Willison called this a “very smart”and tested pattern for sandboxing AI interactions. The more powerful “Logged In Mode,”however, is where the risks escalate. För situationer som kräver autentiserad åtkomst har OpenAI implementerat ytterligare ett skydd: “När agenten arbetar på känsliga webbplatser har vi även implementerat ett”Bevakningsläge”som varnar dig… och kräver att du har fliken aktiv för att se agenten göra sitt arbete.” Denna funktion är utformad för att hålla användaren uppdaterad med känslig information när agenten interagerar med potentiellt känslig information. Företaget har dock inte tillhandahållit en tydlig teknisk definition av vad som utgör en”känslig webbplats.” En officiell hjälpcenterdokumentnoterar att funktioner som sidsammanfattningar är blockerade på”vissa känsliga webbplatser”, men erbjuder små webbplatser (som för vuxna webbplatser) ytterligare detaljer. Denna tvetydighet är ett stort problem. Willison noterade att i hans testning aktiverades inte läget på sajter som GitHub eller hans onlinebank, och drog slutsatsen att delegering av säkerhetsbeslut till slutanvändare är en”orättvis börda”.OpenAI’s Defense: ‘Watch Mode’ and Other Guardrails
Säkerhetsgemenskapen svarar med skepticism och livedemos av säkerheten. beröm för OpenAI:s uppriktighet och djupt rotade skepsis mot de föreslagna lösningarna.
AI-säkerhetsforskaren Johann Rehberger, som har dokumenterat många snabba injektionsattacker, att hotet är genomträngande.
“På en hög nivå förblir snabb injektion ett av de främsta framväxande hoten inom AI-säkerhet… hotet har inte en perfekt begränsning – ungefär som sociala ingenjörsattacker mot människor.”
Willison upprepade denna känsla och hävdade att skyddsräcken ofta är otillräckliga mot angripare. I
He warns that in application security, near-perfect is not good enough.
“As I’ve written before, in application security 99% is a failing grade. If there’s a way to get past the guardrails… a motivated adversarial attacker is going to figure that out.”
The launch of Atlas has already had a tangible market impact, highlighting the high stakes in the renewed webbläsarkrig. Efter tillkännagivandet föll Alphabets aktie initialt med 3 %, en förlust på cirka 18 miljarder dollar i marknadsvärde, innan de återhämtade sig.
Analytiker som Gene Munster från Deepwater Asset Management hävdade dock att Atlas inte är en”10 gånger bättre”upplevelse och att Google enkelt kan kopiera sina funktioner, vilket gör det svårt för den nya webbläsaren att få betydande marknadsandelar.
navigera en svår, tvåfrontskrig. On one front, it must offer a product so compelling it can break Google’s stranglehold on user habits.
On the other, it must pioneer the security for a new computing paradigm fraught with unprecedented risks. När företaget arbetar för att bygga upp användarnas förtroende kommer den bredare säkerhetsgemenskapen att titta på – och testa – varje steg på vägen.
