ChatGPT 新代理功能上线：自动化任务新工具，但需警惕即时注入攻击风险

OpenAI 近日向 Plus、Pro 和 Team 订阅用户推出了 ChatGPT 代理功能，为用户提供了一种强大的在线任务自动化解决方案。然而，此次更新也伴随着一个重要的安全警告：该代理可能会让用户面临“即时注入”攻击的风险。

OpenAI 在一篇博客文章中写道：“当您将 ChatGPT 代理登录到某些网站或启用连接器时，它将能够访问这些来源的敏感数据，例如电子邮件、文件或帐户信息。”

此外，该功能还可以执行一些操作，例如共享文件或修改帐户设置。

OpenAI 坦言：“由于互联网上存在‘即时注入’攻击，这可能会使您的数据和隐私面临潜在威胁。”

所谓的“即时注入”是一种新型网络攻击，恶意行为者通过嵌入隐藏指令的方式，将有害内容插入 AI 可能读取的内容中，例如博客文章、网页文本或电子邮件消息。

如果攻击成功，注入的提示可以诱骗代理执行非预期的操作，例如窃取个人数据或将敏感信息发送至攻击者的服务器。

OpenAI 最初计划于 7 月 17 日全面推出该功能，但在宣布推迟后，最终定于 7 月 24 日与应用程序更新一起发布。人工智能代理的潜力巨大，但也引发了新的安全问题。

ChatGPT 代理能够登录网站、阅读电子邮件、进行预订，并与 Gmail、Google Drive 和 GitHub 等服务进行交互。

尽管其旨在提高生产力，但它也带来了与 AI 如何解释和执行指令相关的新安全挑战。

区块链和人工智能网络安全公司 Halborn 的首席技术官兼联合创始人 Steven Walbroehl 表示，“即时注入本质上是命令注入的一种形式，但有所变化。”他在接受解密采访时补充道：“这是一种命令注入，但它不像传统代码注入那样依赖语法，而更像是一种社会工程学手段。你试图欺骗或操纵代理去做超出其设计范围的事情。”

Walbroehl 指出，传统的代码注入依赖于精确的语法，而即时注入则利用了自然语言的模糊性。

“代码注入指的是结构化且可预测的输入，而即时注入恰恰相反：它使用自然语言绕过 AI 的防护机制来传递恶意指令，”他解释道。

Walbroehl 警告称，恶意代理可能会冒充受信任的代理，因此建议用户验证代理的来源，并采取端点加密、手动覆盖和密码管理器等安全措施。

即便如此，多因素身份验证也可能不足以防范此类攻击。“如果代理可以访问电子邮件或短信，即使是最安全的密码也无济于事，”Walbroehl 强调说。“一旦代理获取了备用代码或短信，多重身份验证可能也会失效。唯一的真正保护措施可能是生物识别技术——即基于用户的自身特征，而不是他们拥有的东西。”

为了缓解潜在的安全风险，OpenAI 建议用户在输入敏感凭证时使用“接管”功能。该功能会暂停代理并将控制权交还给用户。

展望未来，Walbroehl 建议采用分层方法来防御即时注入及其他与 AI 相关的威胁。他提议使用专门的代理作为安全看门狗。

“你可以让一个代理始终充当监测工具，”他说，“它可以检测那些可能预示潜在攻击的启发式方法或行为模式。”