新 BioShocking 攻擊能操控 AI 瀏覽器竊密,6 家廠商全軍覆没無法辨識
AI 使用控制與瀏覽器安全平台 LayerX 研究人員專門為一種名為「BioShocking」的新型提示注入(prompt injection)攻擊設計了概念驗證(proof-of-concept,PoC)測試,以便驗證當前六款主流代理式 AI 瀏覽器是否能辨識出任何違反安全規範的危險行為。結果,沒有一家通過測試。但只有一款產品在收到 LayerX 通報後修補了這個問題。
在 PoC 攻擊測試中惡意網頁提供一款以經典 FPS 第一人稱射擊遊戲〈生化奇兵〉(BioShock)為主題的解謎遊戲,並刻意對錯誤答案給予獎勵,以便讓瀏覽器的控制代理學習到:在這個遊戲情境中一般規則並不適用。
最關鍵的是,在遊戲最後一個獲勝步驟中,代理會被指示前往某個 GitHub 儲存庫,然後複製並分享程式碼中的資料。然而此舉有違安全規範,因為其中包含了密碼等敏感資訊。
在這項 PoC 測試中,LayerX 所發現的關鍵問題在於,AI 代理無法區分現實世界中的敏感行為與特定情境中的虛構操作有何不同,因為上述行為明顯違背安全要求,但它卻視之為遊戲中的虛構行為。
當代理被要求完成解謎遊戲的最後一個步驟:竊取使用者憑證時,六款代理全都照作,完全沒有意識到此舉已經違反了它們自己的安全防護機制。
有三家完全沒回應,只有 OpenAI 唯一有效修補並成功防範
該 PoC 攻擊測試一共驗證了六家 AI 代理式瀏覽器,包括 ChatGPT Atlas、Comet、Fellou、Genspark Browser、Sigma Browser 及 Claude Chrome 外掛程式。LayerX 並在去年 10 月將測試結果通報了這六家廠商,但有三家完全沒有任回應之舉。
OpenAI 是唯一一家已在其 ChatGPT Atlas 瀏覽器中執行有效修補措施進而成功防範 BioShocking 攻擊的廠商。Anthropic 曾嘗試修補其 Chrome 外掛程式中的問題,但該修補措施仍無法有效抵禦該 PoC 攻擊。至於 Perplexity AI 則在未修補漏洞的情況下直接結案。
針對「BioShocking」這類新型提示注入攻擊可能帶來的可能威脅,LayerX 對廠商與使用者都提供了建議之道。廠商方面,除了加強情境檢查與適當限制的代理式連線會話外,應加入明確的使用者確認機制。使用者方面,應善用所使用平台提供的相關設定,以限制 AI 瀏覽器存取敏感服務的權限。
(首圖來源:Steam)