OpenAI 近日承認，帶有代理（Agent）能力的 AI 瀏覽器在結(jié)構(gòu)上難以徹底消除“提示注入”（prompt injection）攻擊風(fēng)險，即便持續(xù)加強防護，仍只能將其視為長期安全挑戰(zhàn)而非可被完全“解決”的技術(shù)問題。 為此，公司正通過更快的安全修補節(jié)奏以及大規(guī)模自動化攻防演練，試圖在真實攻擊出現(xiàn)之前主動發(fā)現(xiàn) Atlas 瀏覽器中的潛在漏洞。

OpenAI 于 10 月正式推出內(nèi)置在 ChatGPT 中的 Atlas AI 瀏覽器后，安全研究人員隨即演示，只需在 Google Docs 等頁面中寫入寥寥數(shù)語，即可悄然改變?yōu)g覽器底層行為，這凸顯了“代理模式”在訪問用戶郵箱、網(wǎng)站等開放環(huán)境時，安全攻擊面被顯著放大。 同日，Brave 在博客中也指出，間接提示注入是所有 AI 瀏覽器面臨的系統(tǒng)性難題，Perplexity 的 Comet 等產(chǎn)品同樣不例外。

這并非 OpenAI 一家的判斷。英國國家網(wǎng)絡(luò)安全中心（NCSC）本月早些時候警告稱，針對生成式 AI 應(yīng)用的提示注入攻擊“可能永遠無法被完全緩解”，網(wǎng)站可能因此遭遇大規(guī)模數(shù)據(jù)泄露。 NCSC 建議安全團隊轉(zhuǎn)而關(guān)注“降低風(fēng)險和影響”，而不是寄望于徹底阻止此類攻擊。 OpenAI 在最新博文中直言，將提示注入視為長期 AI 安全課題，必須持續(xù)加固防御。

在防御策略上，OpenAI 與 Anthropic、Google 等競爭對手的共識是：需要疊加多層防護并持續(xù)壓力測試系統(tǒng)。 Google 近期的安全研究則側(cè)重于在系統(tǒng)架構(gòu)和策略層面對“代理型系統(tǒng)”施加約束，例如通過訪問控制和行為策略減少風(fēng)險。

不過，OpenAI 試圖走出一條差異化路徑——打造一個“基于大模型的自動化攻擊者”。 這一系統(tǒng)本質(zhì)上是一個扮演黑客角色的機器人，經(jīng)由強化學(xué)習(xí)訓(xùn)練，專門尋找向 AI 代理“暗遞”惡意指令的各種方法。 在內(nèi)部測試中，攻擊機器人可以先在模擬環(huán)境中發(fā)動攻擊，系統(tǒng)會展示目標 AI 在看到這類攻擊時的“思考過程”以及可能采取的動作，攻擊機器人再據(jù)此調(diào)整策略并反復(fù)嘗試。 OpenAI 認為，這種對目標模型內(nèi)部推理過程的洞察，是現(xiàn)實世界攻擊者所不具備的優(yōu)勢，因此有望更快發(fā)現(xiàn)隱藏漏洞。

OpenAI 表示，其強化學(xué)習(xí)攻擊者能夠引導(dǎo)代理執(zhí)行復(fù)雜的、由數(shù)十步甚至數(shù)百步組成的有害操作流程，并在這一過程中摸索出此前在人類紅隊演練或外部報告中從未出現(xiàn)過的新型攻擊路徑。 這與當(dāng)前 AI 安全測試領(lǐng)域常見做法一致——先構(gòu)建能“踩邊”的代理，在高頻模擬中不斷探索邊界并反向加固防線。

在最新的演示中，OpenAI 展示了自動化攻擊者如何向用戶郵箱中悄然植入一封惡意郵件。 當(dāng) AI 代理稍后掃描收件箱、準備撰寫外出自動回復(fù)時，它被郵件中隱藏的指令誘導(dǎo)，轉(zhuǎn)而替用戶發(fā)送了一封辭職郵件。 OpenAI 稱，在最近一輪安全更新后，Atlas 的“代理模式”已經(jīng)能夠識別此類提示注入企圖并向用戶發(fā)出警報。 公司還強調(diào)，雖然提示注入難以實現(xiàn)“萬無一失”的防御，但將通過更大規(guī)模的自動化測試和更快的補丁節(jié)奏，盡量在問題被攻擊者利用前完成修復(fù)。

OpenAI 發(fā)言人拒絕透露這些更新是否已經(jīng)在統(tǒng)計上顯著降低成功攻擊率，但表示公司自 Atlas 上線前就已與第三方安全機構(gòu)合作，持續(xù)對該瀏覽器進行攻防演練，以強化其在提示注入方面的防護能力。

外部安全專家對這一路線持審慎肯定。網(wǎng)絡(luò)安全公司 Wiz 的首席安全研究員 Rami McCarthy 指出，強化學(xué)習(xí)確實是一種持續(xù)適應(yīng)攻擊者行為的方式，但只能構(gòu)成解決方案的一部分。 他提出，一個實用的風(fēng)控框架是將 AI 系統(tǒng)的風(fēng)險視為“自治程度 × 訪問權(quán)限”的乘積。 在這一坐標系中，具備一定自主決策能力、但同時擁有極高數(shù)據(jù)訪問權(quán)限的“代理瀏覽器”，天然處在風(fēng)險較高的區(qū)域。

因此，業(yè)界許多建議都圍繞“降低訪問暴露”和“限制自主操作”展開。 例如，減少代理在登錄狀態(tài)下訪問敏感賬戶的機會，以減少潛在攻擊面；同時對發(fā)送消息、發(fā)起支付等關(guān)鍵動作設(shè)置強制用戶確認，從而把代理的自主性控制在可接受范圍內(nèi)。 OpenAI 方面表示，Atlas 已經(jīng)過訓(xùn)練，在發(fā)送消息或執(zhí)行支付前會主動征求用戶確認。 公司還建議用戶盡量以明確任務(wù)指令來驅(qū)動代理，而不是籠統(tǒng)地賦予其廣泛權(quán)限，例如不要簡單地授權(quán)它“打理整個郵箱并采取一切必要行動”。 正如 OpenAI 所言，賦予代理過大的行動空間，會顯著放大隱藏或惡意內(nèi)容影響其決策的機會，即便系統(tǒng)內(nèi)置了多重安全保障。

盡管 OpenAI 強調(diào)保護 Atlas 用戶免受提示注入攻擊是公司“頭等優(yōu)先級”，McCarthy 仍提醒外界，對這類高風(fēng)險瀏覽器的投入產(chǎn)出比應(yīng)持一定懷疑態(tài)度。 在他看來，就目前多數(shù)日常場景而言，“代理瀏覽器”為用戶帶來的增量價值，還不足以完全抵消其當(dāng)前風(fēng)險畫像。 這類工具對郵箱、支付信息等敏感數(shù)據(jù)擁有高度訪問權(quán)限，這既是其強大之處，也是其風(fēng)險所在，而這種權(quán)衡短期內(nèi)仍將十分尖銳。