OpenAI 在博客中公开承认,针对人工智能浏览器的提示词注入攻击或许永远都无法彻底解决,即便持续对相关防御机制进行升级强化,这类人工智能浏览器也很难达到绝对安全的状态。这一表态打破了外界对于短期内彻底解决人工智能浏览器安全漏洞的期待,也让提示词注入攻击这一人工智能领域的安全隐患再次成为行业聚焦的核心议题。
OpenAI 于今年 10 月推出了内置在 ChatGPT 中的 Atlas 人工智能浏览器,而这款浏览器刚一问世,其安全漏洞就被迅速暴露出来。安全研究人员很快完成了相关攻击演示,结果显示,仅需在谷歌文档中输入简短的几句话,就能悄悄改变这款浏览器的底层运行行为。无独有偶,在同一天,浏览器厂商 Brave 也在博客中发文指出,间接提示词注入攻击并非 Atlas 浏览器独有的问题,而是所有人工智能驱动型浏览器都要面对的系统性挑战,Perplexity 公司的 Comet 浏览器同样没能避开这一安全漏洞。所谓提示词注入攻击,就是攻击者将恶意指令隐藏在人工智能系统会处理的内容当中,这些精心设计的指令能够篡改或改变人工智能原本的运行逻辑,使其背弃用户的需求,转而执行攻击者预设的操作。与传统网络攻击不同,这种攻击无需利用软件漏洞或者直接欺骗用户,而是直接针对人工智能系统本身发起攻击,堪称专门针对人工智能系统的社交工程攻击。比如攻击者可在邮件、文档里植入隐藏指令,让人工智能代理忽略原本任务,去执行转发敏感数据、擅自发送信息等违规操作。而人工智能浏览器的智能体模式能浏览网页、读取邮箱、执行支付等操作,在处理这些繁杂任务时必然会接触大量不可信内容,这就使得提示词注入攻击有了可乘之机,也大幅扩大了安全威胁面。
OpenAI 的这一判断并非孤例,英国国家网络安全中心在本月早些时候就发出过类似警告,该机构称针对生成式人工智能应用的提示词注入攻击或许永远无法被彻底化解,这种情况会让各类网站都面临数据泄露的巨大风险。基于这一判断,该英国政府机构向网络安全从业者提出建议,与其寄希望于彻底阻止这类攻击,不如将工作重心放在降低提示词注入攻击带来的风险和不良影响上。OpenAI 也在最新发布的博客中明确表态,他们已将提示词注入攻击视为一项长期的人工智能安全挑战,未来会持续不断地强化相关防御措施。
在应对提示词注入攻击的防御策略上,OpenAI 与 Anthropic、谷歌等行业竞争对手达成了一定共识,各方都认为要抵御这类攻击,必须构建多层防御体系,并且要持续对系统展开压力测试。例如谷歌近期的研究重点就集中在智能体系统的架构和策略层面,试图通过这两个维度的管控来降低安全风险。不过,OpenAI 没有盲目跟风同行的防御路径,而是选择了一条差异化的防御道路,开发出了一款 “基于大语言模型的自动化攻击程序”。这款程序本质上是一个经过强化学习训练的机器人,它的核心任务就是模拟黑客的攻击行为,专门寻找向人工智能智能体植入恶意指令的各种途径。
在内部测试过程中,这个自动化攻击机器人会先在模拟环境中发起攻击,而该模拟环境能够完整还原目标人工智能遭遇攻击时的思考过程以及可能采取的应对动作。机器人会根据目标人工智能的反应及时调整攻击策略,然后反复发起攻击测试。现实世界中的攻击者根本无法洞悉人工智能的内部推理逻辑,但这个自动化攻击机器人却具备这一独特优势,理论上它发现系统漏洞的速度会远超现实中的黑客。OpenAI 透露,这个经强化学习训练的攻击程序,能够诱导目标智能体执行由数十步甚至数百步构成的复杂有害任务流程。更值得关注的是,在测试过程中它还发现了一些全新的攻击策略,这些策略此前既未在内部人工红队测试中出现过,外部也没有相关攻击报告提及。OpenAI 还展示过一个相关演示案例,这个自动化攻击程序能悄悄往用户收件箱植入一封恶意邮件,当人工智能智能体扫描收件箱准备撰写休假自动回复邮件时,就会被邮件里的恶意指令诱导,转而发送一封辞职信。不过 OpenAI 表示,在完成安全更新后,Atlas 浏览器的智能体模式已经可以成功识别这类提示词注入攻击的企图,并且会及时向用户发出告警。
该公司还强调,尽管很难实现万无一失的防御,但他们会通过大规模测试以及缩短补丁更新周期的方式,争取在相关攻击手段出现在现实世界之前,完成系统防御的加固工作。有记者询问此次针对 Atlas 浏览器的安全更新是否大幅降低了攻击成功率,OpenAI 的发言人并未透露具体数据,只是表示早在这款浏览器发布之前,公司就已经与第三方机构展开合作,共同强化其应对提示词注入攻击的防御能力。
对于 OpenAI 采用的这种防御方式,行业专家给出了审慎的评价。网络安全公司 Wiz 的首席安全研究员拉米・麦卡锡指出,强化学习技术确实能够实现对攻击者行为的持续自适应防御,但这仅仅是解决方案的一部分,并不能彻底解决问题。他提出了一个衡量人工智能系统风险的实用模型,即人工智能系统的风险程度等于其自主性与访问权限的乘积。按照这个模型来分析,人工智能浏览器正处于风险极高的区域,因为这类浏览器既具备中等程度的自主性,同时又拥有极高的系统访问权限。而当前很多安全建议都体现了对这种风险的考量,比如限制人工智能浏览器登录状态下的访问权限,以此减少安全暴露面;要求人工智能执行关键操作前必须经过人工审核确认,以此约束其自主操作权限。
这些建议也被 OpenAI 纳入了给用户的风险降低建议中,该公司表示,Atlas 浏览器经过专门训练,在执行发送邮件或支付操作等关键动作前,都会主动向用户发起确认请求。同时 OpenAI 还建议用户,向智能体下达指令时要尽量具体明确,避免给出模糊宽泛的指令,比如不要简单授权智能体自行处理邮箱并采取一切必要措施,这种过于宽泛的授权会让隐藏的恶意内容更容易影响智能体,进而引发安全风险。
拉米・麦卡锡还对这类高风险人工智能浏览器的投入产出比提出了质疑。他在接受采访时表示,就目前大多数日常使用场景来看,人工智能浏览器当下创造的价值,还远远无法匹配它所伴随的风险水平。这类浏览器之所以功能强大,核心原因之一就是其能够访问电子邮件、支付信息等各类敏感数据,但恰恰是这种高访问权限,使其成为了高风险的存在。虽然这种价值与风险的失衡状态未来可能会慢慢得到改善,但就目前情况而言,两者之间的矛盾依然十分突出,如何在发挥人工智能浏览器功能优势的同时,有效管控安全风险,仍是 OpenAI 等相关企业需要持续攻克的重要课题。
原创文章,作者:王 浩然,如若转载,请注明出处:https://www.dian8dian.com/openai-cheng-ren-ren-gong-zhi-neng-liu-lan-qi-ke-neng-yong
