OpenAI於週四向Plus、Pro和Team訂閱使用者推出了ChatGPT代理,為使用者提供了一種強大的自動化線上任務的新方式。但這次釋出附帶了一個警告:該代理可能會使使用者面臨提示注入攻擊。
"當您將ChatGPT代理登入網站或啟用聯結器時,它將能夠訪問這些來源的敏感資料,如電子郵件、檔案或賬戶資訊,"OpenAI在一篇部落格文章中寫道。
該功能還將能夠執行操作,如共享檔案或修改賬戶設定。
"這可能會由於網路上存在'提示注入'攻擊而使您的資料和隱私處於風險之中,"OpenAI承認。
提示注入是一種攻擊,惡意行為者在AI代理可能閱讀的內容中嵌入隱藏指令,如部落格文章、網站文字或電子郵件訊息。
如果成功,被注入的提示可能會誘使代理執行非預期的操作,如訪問個人資料或將敏感資訊傳送到攻擊者的伺服器。
OpenAI於7月17日宣佈了這個AI代理,最初計劃在接下來的週一全面推出。
時間表推遲到7月24日,公司在應用更新的同時推出了該功能。
ChatGPT代理可以登入網站、閱讀電子郵件、預訂服務,並與Gmail、Google Drive和GitHub等服務互動。
雖然旨在提高生產力,但該代理也創造了與AI系統解釋和執行指令相關的新安全風險。
根據區塊鏈和AI網路安全公司Halborn的首席技術官兼聯合創始人Steven Walbroehl所說,提示注入本質上是一種命令注入,但有所不同。
"這是一種命令注入,但不同於程式碼,它更像是社會工程,"Walbroehl告訴Decrypt。"你試圖誘使代理做超出其引數範圍的事情。"
與依賴精確語法的傳統程式碼注入不同,提示注入利用了自然語言的模糊性。
"在程式碼注入中,你處理的是結構化、可預測的輸入。提示注入顛覆了這一點:你使用自然語言繞過AI的防護,"Walbroehl說。
他警告說,惡意代理可能會冒充可信代理,並建議使用者驗證其來源,並使用端點加密、手動覆蓋和密碼管理器等保護措施。
然而,即使是多重身份驗證也可能不夠,如果代理可以訪問電子郵件或簡訊。
"如果它能看到資料,或記錄鍵盤輸入,那麼密碼有多安全就無關緊要了,"Walbroehl說。"即使是多重身份驗證也可能失敗,如果代理獲取備份碼或簡訊。唯一真正的保護可能是生物識別——你是什麼,而不是你擁有什麼。"
OpenAI建議在輸入敏感憑據時使用"接管"功能。這會暫停代理並將控制權交還給使用者。
為了防禦未來的提示注入和其他AI相關威脅,Walbroehl建議採用分層方法,使用專門的代理來加強安全性。
"你可以有一個始終充當看門狗的代理,"他說。"它可以監控啟示或行為模式,在攻擊發生之前指出潛在的攻擊。"
