OpenAI 承認 AI 瀏覽器難防「提示注入攻擊」,企業該如何建立最後防線?
當 AI 瀏覽器逐步從「搜尋工具」進化為能夠代替使用者執行操作的「代理系統」(agent),新的資安現實也隨之浮現。OpenAI 近日坦言,一種名為「提示注入攻擊」(prompt injection)的風險,不太可能被徹底消除,而這正是 AI 代理走向開放網路時,最棘手、也最結構性的安全難題之一。
這項表態來自 OpenAI 近期針對其 AI 瀏覽器 ChatGPT Atlas 所發布的安全說明。OpenAI 一方面宣布已推出新的防禦更新,另一方面直言,Atlas 的代理模式(agent mode),正使 AI 瀏覽器的攻擊面擴大。
新型攻擊面:不是駭瀏覽器,而是「騙代理」
所謂「提示注入攻擊」,並非運用傳統意義上的程式漏洞,而是利用 AI 代理「閱讀自然語言並執行指令」的特性,將惡意指示隱藏在電子郵件、文件或網頁內容中,誘使 AI 在不知情的情況下讀取並執行惡意指示,偏離使用者原本的意圖。
ChatGPT Atlas 在 10 月推出後不久,便有多名資安研究人員示範該瀏覽器如何以提示注入攻擊操控,例如只要在 Google Docs 中輸入幾行精心設計的文字,就可能改變 Atlas 底層瀏覽器代理的行為。不過,開源瀏覽器公司 Brave 也指出,這類攻擊並非 Atlas 獨有,而是所有導入 AI 代理的瀏覽器共同面臨的系統性問題,包括 Perplexity 的 Comet 等產品。
《Fortune》引述英國學者 George Chalhoub 指出,AI 瀏覽器的核心風險在於,它們難以分辨「可信任的使用者指令」與「不可信任的網頁內容」。一旦這條界線被打破,AI 代理就可能從輔助工具,轉變為對使用者本身的攻擊向量。
事實上,點出提示注入攻擊不會消失的機構,不止 OpenAI。英國國家網路安全中心在 12 月初也做出相關警告,並建議資安人員應將重點放在降低攻擊風險與影響範圍,而非假設這類攻擊能被徹底「阻止」。
用 AI 打 AI:OpenAI 的自動化紅隊策略
面對這無法根除的風險,OpenAI 採取的是一套主動、快速回應的防禦循環,並指出這種方式已在初期展現成效,能在攻擊手法尚未「流入真實世界」之前,先在內部發現全新的攻擊策略。
策略上,OpenAI 的方向與 Anthropic、Google 等競爭對手大致一致,皆強調分層防禦與持續壓力測試。不過,OpenAI 還採取了一個更激進的做法:用大型語言模型本身,來扮演攻擊者。
簡單來說,OpenAI 利用強化學習(Reinforcement Learning)訓練了一個專門扮演駭客的 AI 機器人。這個 AI 駭客會在模擬環境中不斷嘗試各種刁鑽的手段,試圖將惡意指令偷渡給 Atlas 的 AI 代理。與傳統的人工測試不同,這個 AI 駭客可以觀察目標 AI 的內部思考過程,分析它為何會中招,然後調整攻擊策略,反覆嘗試直到成功為止。
OpenAI 在部落格展示了一個案例:他們的自動化攻擊者成功將一封惡意信件混入用戶的收件匣,而當 AI 代理掃描信箱時,竟乖乖聽從了信中隱藏的指令,不但沒有幫用戶擬定「不在辦公室」的自動回覆,反而擅自寄出了一封辭職信。OpenAI 表示,相關漏洞已被用來反向強化模型,並納入最新的安全更新。
專家示警:便利性尚無法抵銷高風險
儘管 OpenAI 強調他們正在建立一套快速反應機制,但資安專家對於目前是否該全面擁抱 AI 瀏覽器仍持保留態度。資安公司 Wiz 的首席研究員 Rami McCarthy 向《TechCrunch》表示,評估 AI 系統風險有一個簡單的公式:風險等於「自主性」乘以「存取權限」。
目前的代理式瀏覽器正處於一個尷尬的位置:它們擁有中等的自主性,卻被賦予了極高的存取權限,例如讀取電子郵件或進行支付。McCarthy 直言,對於大多數的日常使用情境來說,AI 瀏覽器所帶來的價值,目前恐怕還不足以抵銷其潛在的巨大風險。畢竟,一旦 AI 被駭客操控,它不僅能竊取敏感資料,甚至可能在用戶不知情的情況下清空銀行帳戶。
OpenAI 給用戶的建議:別給 AI 無限的權利
既然風險無法完全歸零,使用者該如何自保?OpenAI 提供了 3 個建議。第一,在使用 AI 瀏覽器時,應該盡可能限制其登入權限。也就是如果不必要,不要讓 AI 在你已登入敏感帳號如銀行、公司後台的狀態下運作。
第二,仔細核對 AI 代理的「確認請求」。對於完成購買、寄送電子郵件等具後果性的操作,AI 代理通常會在執行前要求使用者確認。當系統提出確認時,使用者應停下來檢查動作是否正確、以及即將分享的內容是否適合該情境,將確認視為最後一道防線,降低誤觸與資料外洩風險。
第三,盡可能向 AI 代理發送明確的指令,避免使用過於廣泛的提示詞,例如「查看我的電子郵件並採取必要行動」。OpenAI 解釋,過大的權限會讓隱藏或惡意內容更容易影響代理,更安全的做法是要求 AI 代理執行具體、範圍明確的任務,提高攻擊的難度。
【推薦閱讀】
◆ 為什麼 AI 瀏覽器還沒統治網路世界?分析揭開發者被迫重新思考「為誰設計」
立即報名 1/10【2026 AI 人才年會】,聽簡立峰、台積電、NVIDIA 等重磅講者剖析與 AI 協作成為超級人才的關鍵戰略!
*本文開放合作夥伴轉載,資料來源:《TechCrunch》、OpenAI 1、OpenAI 2、《Fortune》、《The Register》,首圖來源: