OpenAI推出ChatGPT代理,用户需警惕提示注入攻击
OpenAI于周四向Plus、Pro和Team订阅用户推出了ChatGPT代理,为用户提供了一种强大的新方式来自动化在线任务。但此次发布伴随着警告:该代理可能会使用户面临提示注入攻击的风险。
“当您将ChatGPT代理登录到网站或启用连接器时,它将能够访问这些来源的敏感数据,例如电子邮件、文件或帐户信息,”OpenAI在一篇博客文章中写道。
该功能还能够采取行动,例如共享文件或修改帐户设置。
“这可能会由于在线存在的‘提示注入’攻击而使您的数据和隐私面临风险,”OpenAI承认。
提示注入是一种攻击类型,其中恶意行为者在AI代理可能读取的内容中嵌入隐藏指令,例如博客文章、网站文本或电子邮件消息。
如果成功,注入的提示可以欺骗代理采取意想不到的行动,例如访问个人数据或将敏感信息发送到攻击者的服务器。
OpenAI于7月17日宣布了该AI代理,最初计划在下周一进行全面推出。
该时间表推迟至7月24日,当时公司与应用程序更新一起推出了该功能。
ChatGPT代理可以登录网站、阅读电子邮件、进行预订,并与Gmail、Google Drive和GitHub等服务进行交互。
虽然旨在提高生产力,但该代理也带来了与AI系统解释和执行指令相关的新安全风险。
根据区块链和AI网络安全公司Halborn的首席技术官兼联合创始人Steven Walbroehl的说法,提示注入本质上是一种命令注入,但有其特殊之处。
“这是一种命令注入,但这种命令注入不是像代码那样的,而是更多的是社会工程,”Walbroehl对Decrypt表示。“您正在尝试欺骗或操纵代理,以便它做出超出其参数范围的事情。”
与依赖精确语法的传统代码注入不同,提示注入利用了自然语言的模糊性。
“对于代码注入,您处理的是结构化、可预测的输入。提示注入则颠覆了这一点:您使用自然语言将恶意指令滑过AI的保护措施,”Walbroehl说。
他警告说,恶意代理可能会冒充可信代理,并建议用户验证其来源,并使用端点加密、手动覆盖和密码管理器等保护措施。
然而,即使是多因素认证也可能不够,如果代理可以访问电子邮件或短信。
“如果它可以看到数据或记录按键,无论您的密码多么安全都没有意义,”Walbroehl说。“即使多因素认证也可能失败,如果代理获取了备份代码或短信文本。唯一真正的保护可能是生物识别——你所是的,而不是你所拥有的。”
OpenAI建议在输入敏感凭证时使用“接管”功能。这会暂停代理并将控制权交还给用户。
为了在未来抵御提示注入和其他与AI相关的威胁,Walbroehl建议采用分层方法,使用专门的代理来加强安全性。
“您可以有一个代理始终作为看门狗,”他说。“它可以监控启发式或行为模式,以指示潜在攻击的发生。”