OpenAI 資安長坦承 ChatGPT Atlas 在防範惡意提示注入上面臨哪些挑戰？

OpenAI 資安長承認 ChatGPT Atlas 在防範惡意提示注入上面臨的挑戰

OpenAI 的資訊安全長 Dane Stuckey 坦承，儘管 ChatGPT Atlas 旨在透過重疊的防護機制、紅隊測試以及新型模型訓練來防範惡意提示注入 (Prompt Injection)，但該瀏覽器在應對此類前沿安全問題上仍面臨挑戰。他指出，攻擊者可能會在網站、電子郵件或其他來源中植入惡意指令，從而誘使代理偏離任務，甚至竊取和外洩個人資料。Stuckey 強調，雖然目前已採取多項策略，但短期內無法完全根除此問題，因為攻擊者可能會投入大量資源來進行攻擊。

AI 瀏覽器面臨的系統性安全挑戰

Brave 瀏覽器在最新研究中揭露了 AI 驅動的代理式瀏覽所面臨的系統性安全挑戰。其中，Perplexity 的 Comet 存在「截圖隱性文字」的間接提示注入漏洞。攻擊者可透過光學文字辨識 (OCR) 技術，從網頁或圖片中抽取人眼不易辨識的隱藏文字（例如淡藍字搭配黃色背景），並將這些文字與使用者提問一同送入大型語言模型 (LLM)。模型可能會將這些惡意內容視為可信命令，進而調用瀏覽器工具執行跨域操作，例如存取已登入的金融或個資服務。

信任邊界崩解與安全建議

Brave 指出，當 AI 助理能夠代替使用者行動，並將網頁內容與使用者指令一併拼入提示時，傳統網路安全假設會失效。由於 AI 助理是以使用者已驗證的身分執行，因此同源政策 (Same-Origin Policy) 無法約束其跨域行為。Brave 認為，在缺乏對可信輸入與不可信內容進行嚴格區隔的前提下，整體代理式瀏覽都存在高風險。短期建議是將代理式瀏覽與一般瀏覽隔離，並僅在使用者明確啟動時才允許其執行開啟網站、讀取郵件等動作。長期而言，則需要研究與資安團隊探索更具體且類別化的安全改進措施。

其他 AI 瀏覽器的安全漏洞

Brave 也測試了另一款 AI 瀏覽器 Fellou，發現其對隱性指令具有一定抵抗力，但仍將可見的網頁內容視為可信輸入。當使用者要求導覽至特定網站時，瀏覽器會將該網站文字與使用者查詢一併送入 LLM，使得網頁文本能夠覆蓋或改寫原本的使用者意圖。此外，網頁開發者 Simon Willison 直言，當前的 AI 瀏覽器在應用安全上「99% 不及格」，並指出 AI 不像人類同事，沒有社會責任可追究，因此將登入瀏覽器的操作權交給代理必須格外謹慎。