OpenAI 為 ChatGPT Pro 用戶打造的前沿研究預覽工具 ChatGPT Operator，近來因一個嚴重漏洞引發關注。該漏洞可通過提示注入攻擊，致使敏感個人數據面臨泄露風險。

ChatGPT Operator 是一款功能強大的先進 AI 代理，具備網頁瀏覽與推理能力，能幫助用戶執行多種任務，如研究特定主題、預訂旅行行程，甚至代表用戶與各類網站進行交互。然而，近期的一些演示卻揭示出它存在安全隱患 —— 可在與網頁交互過程中被惡意操控，進而導致隱私數據泄露。

攻擊原理：提示注入如何運作

根據 wunderwuzzi 的博客介紹，提示注入是一種將惡意指令嵌入 AI 模型處理的文本或網頁內容中的技術。對于 ChatGPT Operator，這種攻擊涉及以下步驟：

• 通過提示注入劫持 Operator：惡意指令托管在 GitHub Issues 等平臺或嵌入到網站文本中。
• 導航至敏感頁面：攻擊者誘騙 Operator 訪問包含敏感個人信息（如電子郵件或電話號碼）的認證頁面。
• 通過第三方網站泄露數據：Operator 被進一步操縱，將這些信息復制并粘貼到惡意網頁中，無需表單提交即可捕獲數據。

例如，在一次演示中，Operator 被誘騙從用戶的 YC Hacker News 帳戶中提取私人電子郵件地址，并將其粘貼到第三方服務器的輸入字段中。這種攻擊在 Booking.com 和 The Guardian 等多個網站上均能無縫執行。

緩解措施

OpenAI 已實施多層次的防御措施來降低此類風險：

• 用戶監控：提示用戶監控 Operator 的行為，包括輸入的文本和點擊的按鈕，但這在很大程度上依賴于用戶的警惕性。
• 內聯確認請求：對于某些操作，Operator 會在聊天界面中請求用戶確認后再繼續執行。雖然在某些情況下有效，但在早期測試中被繞過。
• 帶外確認請求：在跨網站邊界或執行復雜操作時，Operator 會顯示侵入式確認對話框，解釋潛在風險。然而，這些防御措施并非萬無一失。

盡管如此，由于提示注入攻擊具有概率性，攻擊和防御都取決于特定條件是否滿足，因此這類攻擊仍然部分有效。

這些演示中暴露的漏洞引發了嚴重關切：如果被利用，攻擊者可能會訪問存儲在認證網站上的敏感個人信息。由于 Operator 會話在服務器端運行，OpenAI 可能也會訪問會話 Cookie、授權令牌和其他敏感數據。

這些攻擊削弱了人們對自主 AI 代理的信任，凸顯了對強大安全措施的需求。

為解決這些挑戰，OpenAI 可以考慮開源其提示注入監控器的一部分，或分享其防御機制的詳細文檔。這將使研究人員能夠評估和改進現有的緩解策略。此外，網站可以通過識別獨特的 User-Agent 標頭，采取阻止 AI 代理訪問敏感頁面的措施。

提示注入攻擊表明，在開發出針對惡意指令的強大防御措施之前，完全自主的代理可能仍難以實現。目前，警惕的監控和分層的緩解措施對于保護用戶隱私和維持對 AI 技術的信任至關重要。