OpenAI于周四向Plus、Pro和Team订阅用户推出了ChatGPT代理,为用户提供了一种强大的自动化在线任务的新方式。但这次发布附带了一个警告:该代理可能会使用户面临提示注入攻击。
"当您将ChatGPT代理登录网站或启用连接器时,它将能够访问这些来源的敏感数据,如电子邮件、文件或账户信息,"OpenAI在一篇博客文章中写道。
该功能还将能够执行操作,如共享文件或修改账户设置。
"这可能会由于网络上存在'提示注入'攻击而使您的数据和隐私处于风险之中,"OpenAI承认。
提示注入是一种攻击,恶意行为者在AI代理可能阅读的内容中嵌入隐藏指令,如博客文章、网站文本或电子邮件消息。
如果成功,被注入的提示可能会诱使代理执行非预期的操作,如访问个人数据或将敏感信息发送到攻击者的服务器。
OpenAI于7月17日宣布了这个AI代理,最初计划在接下来的周一全面推出。
时间表推迟到7月24日,公司在应用更新的同时推出了该功能。
ChatGPT代理可以登录网站、阅读电子邮件、预订服务,并与Gmail、Google Drive和GitHub等服务交互。
虽然旨在提高生产力,但该代理也创造了与AI系统解释和执行指令相关的新安全风险。
根据区块链和AI网络安全公司Halborn的首席技术官兼联合创始人Steven Walbroehl所说,提示注入本质上是一种命令注入,但有所不同。
"这是一种命令注入,但不同于代码,它更像是社会工程,"Walbroehl告诉Decrypt。"你试图诱使代理做超出其参数范围的事情。"
与依赖精确语法的传统代码注入不同,提示注入利用了自然语言的模糊性。
"在代码注入中,你处理的是结构化、可预测的输入。提示注入颠覆了这一点:你使用自然语言绕过AI的防护,"Walbroehl说。
他警告说,恶意代理可能会冒充可信代理,并建议用户验证其来源,并使用端点加密、手动覆盖和密码管理器等保护措施。
然而,即使是多重身份验证也可能不够,如果代理可以访问电子邮件或短信。
"如果它能看到数据,或记录键盘输入,那么密码有多安全就无关紧要了,"Walbroehl说。"即使是多重身份验证也可能失败,如果代理获取备份码或短信。唯一真正的保护可能是生物识别——你是什么,而不是你拥有什么。"
OpenAI建议在输入敏感凭据时使用"接管"功能。这会暂停代理并将控制权交还给用户。
为了防御未来的提示注入和其他AI相关威胁,Walbroehl建议采用分层方法,使用专门的代理来加强安全性。
"你可以有一个始终充当看门狗的代理,"他说。"它可以监控启示或行为模式,在攻击发生之前指出潜在的攻击。"
