您尚未登录账户
您的企业账号申请正在审核中
新的ChatGPT代理可以预订、浏览和填写表单——但暂时不要完全信任它
OpenAI于周四向Plus、Pro和Team订阅用户推出了ChatGPT代理,为用户提供了一种强大的在线任务自动化新方式。但发布时也伴随着警告:该代理可能会使用户面临提示注入攻击的风险。
“当您将ChatGPT代理登录到网站或启用连接器时,它将能够访问这些来源的敏感数据,例如电子邮件、文件或账户信息,”OpenAI在博客文章中写道。
该功能还可以执行操作,例如共享文件或修改账户设置。
“这可能会由于在线存在的‘提示注入’攻击而使您的数据和隐私面临风险,”OpenAI承认。
提示注入是一种攻击类型,恶意行为者在AI代理可能读取的内容中嵌入隐藏指令,例如博客文章、网站文本或电子邮件消息。
如果成功,注入的提示可能会欺骗代理执行意外操作,例如访问个人数据或将敏感信息发送到攻击者的服务器。
OpenAI宣布了AI代理于7月17日,最初计划在下周一全面推出。
该时间表推迟到7月24日,公司在应用更新的同时推出了该功能。
ChatGPT代理可以登录网站、阅读电子邮件、进行预订,并与Gmail、Google Drive和GitHub等服务互动。
虽然设计目的是提高生产力,但该代理也带来了与AI系统如何解释和执行指令相关的新安全风险。
根据区块链和AI网络安全公司Halborn的首席技术官兼联合创始人Steven Walbroehl的说法,提示注入本质上是一种命令注入,但有所不同。
“这是一种命令注入,但命令注入不是像代码那样,而是更多的社会工程学,”Walbroehl告诉Decrypt。 “您试图欺骗或操纵代理执行超出其参数范围的操作。”
与传统的代码注入不同,后者依赖于精确的语法,提示注入利用自然语言的模糊性。
“使用代码注入时,您处理的是结构化、可预测的输入。提示注入则相反:您使用自然语言将恶意指令绕过AI的防护措施,”Walbroehl说。
他警告说,恶意代理可能会冒充可信代理,并建议用户验证其来源并使用端点加密、手动覆盖和密码管理器等保护措施。
然而,即使是多因素认证也可能不足以防止代理访问电子邮件或短信。
“如果它能看到数据或记录击键,无论您的密码多么安全都无济于事,”Walbroehl说。 “即使是多因素认证也可能失效,如果代理获取备份代码或短信。唯一真正的保护可能是生物识别——您是什么,而不是您拥有什么。”
OpenAI建议在输入敏感凭据时使用“接管”功能。这样可以暂停代理并将控制权交还给用户。
为了防御未来的提示注入和其他AI相关威胁,Walbroehl建议采用分层方法,使用专门的代理来加强安全性。
“您可以让一个代理始终充当看门狗,”他说。 “它可以监控启发式或行为模式,以在潜在攻击发生之前进行识别。”
