OpenAI于周四向Plus、Pro和Team订阅用户推出了其ChatGPT代理，为用户提供了一种强大的新方式来自动化在线任务。但此次发布伴随着警告：该代理可能会使用户面临提示注入攻击的风险。

“当您将ChatGPT代理登录到网站或启用连接器时，它将能够访问这些来源的敏感数据，例如电子邮件、文件或帐户信息，”OpenAI在一篇博客中写道。

该功能还能够采取行动，例如共享文件或修改帐户设置。

“由于在线存在‘提示注入’攻击，这可能会使您的数据和隐私面临风险，”OpenAI承认。

提示注入是一种攻击类型，恶意行为者在AI代理可能读取的内容中嵌入隐藏指令，例如博客文章、网站文本或电子邮件消息。

如果成功，注入的提示可以欺骗代理执行意外的操作，例如访问个人数据或将敏感信息发送到攻击者的服务器。

OpenAI于7月17日宣布了AI代理，最初计划在下周一全面推出。

该时间表推迟到7月24日，公司在应用更新的同时推出了该功能。

ChatGPT代理可以登录网站、阅读电子邮件、进行预订，并与Gmail、Google Drive和GitHub等服务进行交互。

虽然旨在提高生产力，但该代理也带来了与AI系统解释和执行指令相关的新安全风险。

根据区块链和AI网络安全公司Halborn的首席技术官兼联合创始人Steven Walbroehl的说法，提示注入本质上是一种命令注入，但有其独特之处。

“这是一种命令注入，但命令注入不是像代码那样，而是更多的是社会工程，”Walbroehl告诉Decrypt。“您试图欺骗或操纵代理去做超出其参数范围的事情。”

与依赖精确语法的传统代码注入不同，提示注入利用了自然语言的模糊性。

“使用代码注入时，您处理的是结构化、可预测的输入。提示注入则颠倒了这一点：您使用自然语言将恶意指令悄悄传递给AI的防护措施，”Walbroehl说。

他警告说，恶意代理可能会冒充可信代理，并建议用户验证其来源，并使用端点加密、手动覆盖和密码管理器等安全措施。

然而，即使是多因素身份验证也可能不够，如果代理可以访问电子邮件或短信。

“如果它可以看到数据或记录按键，无论您的密码多么安全都没有意义，”Walbroehl说。“即使多因素身份验证也可能失败，如果代理获取了备份代码或短信文本。唯一真正的保护可能是生物识别——您所是的，而不是您所拥有的。”

OpenAI建议在输入敏感凭据时使用“接管”功能。这会暂停代理并将控制权交还给用户。

为了防御未来的提示注入和其他与AI相关的威胁，Walbroehl建议采取分层方法，使用专门的代理来增强安全性。

“您可以让一个代理始终充当看门狗，”他说。“它可以监控启发式或行为模式，以指示潜在攻击发生之前的迹象。”

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。