OpenAI przyznaje: przeglądarki AI zawsze będą podatne na ataki

OpenAI oficjalnie przyznało, że ataki typu prompt injection, które manipulują agentami AI do wykonywania złośliwych instrukcji ukrytych na stronach internetowych lub w e-mailach, pozostaną trwałym zagrożeniem. Firma podkreśla, że problem ten może nigdy nie zostać w pełni rozwiązany.

"Prompt injection, podobnie jak oszustwa i socjotechnika w sieci, prawdopodobnie nigdy nie zostanie całkowicie 'rozwiązany'" - napisało OpenAI w poniedziałkowym wpisie na blogu. Firma przyznała również, że "tryb agenta" w przeglądarce ChatGPT Atlas "rozszerza powierzchnię zagrożeń bezpieczeństwa" (nic dziwnego, że specjaliści ich odradzają).

Szybka reakcja badaczy bezpieczeństwa

OpenAI uruchomiło przeglądarkę ChatGPT Atlas w październiku, a badacze bezpieczeństwa natychmiast zademonstrowali, jak łatwo można manipulować jej zachowaniem. Wystarczyło kilka słów w Google Docs, by zmienić działanie przeglądarki. Tego samego dnia Brave opublikował wpis wyjaśniający, że pośrednie wstrzykiwanie promptów to systemowe wyzwanie dla przeglądarek opartych na AI, włączając w to Perplexity Comet.

Dla większości codziennych zastosowań przeglądarki agentowe nie oferują jeszcze wystarczającej wartości, by uzasadnić ich obecny profil ryzyka

Problem dostrzegają również rządy. Brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego ostrzegło w tym miesiącu, że ataki prompt injection na aplikacje AI "mogą nigdy nie zostać całkowicie złagodzone", narażając strony internetowe na wycieki danych.

Automatyczny haker OpenAI

Odpowiedzią OpenAI jest bot, który odgrywa rolę hakera szukającego sposobów na przemycenie złośliwych instrukcji do agenta AI. Może on testować ataki w symulacji, analizować reakcje AI i wielokrotnie modyfikować swoje podejście. W jednej z demonstracji zautomatyzowany atakujący podrzucił złośliwego e-maila do skrzynki użytkownika. Gdy agent AI później skanował pocztę, wykonał ukryte instrukcje. Czyli dał się "pokonać".

Eksperci ds. bezpieczeństwa pozostają sceptyczni. Rami McCarthy z firmy Wiz zauważa, że "dla większości codziennych zastosowań przeglądarki agentowe nie oferują jeszcze wystarczającej wartości, by uzasadnić ich obecny profil ryzyka". Wysokie ryzyko wynika z dostępu do wrażliwych danych, takich jak e-maile i informacje płatnicze, a to co zyskujemy przez przeglądarkę napedzaną sztuczną inteligencją... właściwie w niczym ważnym wymiernie nie pomaga.