OpenAI та інші розробники штучного інтелекту визнають, що ін’єкційні атаки запитів, коли зловмисні інструкції приховані в тексті для маніпулювання агентами штучного інтелекту, залишаються постійною проблемою безпеки для браузерів на основі штучного інтелекту. Незважаючи на триваючі зусилля щодо посилення безпеки, ці атаки навряд чи вдасться повністю усунути, що викликає сумніви щодо безпеки ШІ, що працює у відкритому Інтернеті.
Неминуча вразливість агентів ШІ
Впровадження запитів використовує спосіб, у який агенти ШІ інтерпретують і виконують інструкції. Подібно до фішингових атак на людей, ці атаки використовують обман, щоб змусити ШІ виконати ненавмисні дії. OpenAI визнає, що ввімкнення «режиму агента» в ChatGPT Atlas значно збільшує потенційну поверхню атаки.
Це не нова проблема. Дослідники безпеки відразу ж продемонстрували вразливості в браузері OpenAI Atlas після його запуску в жовтні, довівши, що незначні зміни в тексті на таких платформах, як Google Docs, можуть перехопити контроль над браузером. Національний центр кібербезпеки Великої Британії також попередив, що ці атаки «може ніколи не бути повністю ліквідовано», порадивши фахівцям зосередитися на зниженні ризику, а не на повному запобіганні.
Чому це важливо? На відміну від традиційних уразливостей програмного забезпечення, ін’єкція запитів націлена на основну функцію ШІ: мовну обробку та дії. Це робить його надзвичайно складним для усунення, оскільки ШІ покладається на інтерпретацію гуманоїдних інструкцій, які за своєю суттю схильні до маніпуляцій.
Проактивна стратегія захисту OpenAI
OpenAI реагує, використовуючи безперервний цикл навчання з підкріпленням. Компанія розробила «автоматизованого LLM-зловмисника» — по суті бота зі штучним інтелектом, навченого знаходити слабкі місця у власних системах. Цей зловмисник імітує спроби злому в реальному житті, виявляючи недоліки, перш ніж їх можна буде використати.
Бот працює шляхом багаторазового тестування шкідливих інструкцій проти агента ШІ, уточнюючи атаку на основі відповідей ШІ. Цей внутрішній підхід до червоної команди дозволяє OpenAI відкривати нові стратегії, які люди-тестери можуть пропустити.
Ключовий висновок: OpenAI не націлений на безпомилкове рішення, а радше на швидку адаптацію. Вони надають пріоритет швидшим циклам виправлення та ретельному тестуванню, щоб випереджати загрози, що розвиваються.
Компроміс між автономією та доступом
Експерти з кібербезпеки, такі як Рамі Маккарті з Wiz, підкреслюють, що ризик у системах ШІ прямо пропорційний рівню автономності та доступу, наданого ШІ. Браузери агентів, такі як Atlas, піддаються високому ризику: вони мають значний доступ до конфіденційних даних (електронна пошта, платежі) у поєднанні з помірною автономією.
OpenAI рекомендує пом’якшити це, обмеживши доступ і вимагаючи підтвердження користувача для критичних дій. Зокрема, компанія радить не надавати агентам широкі дозволи, такі як «здійснювати будь-які необхідні дії». Натомість користувачі повинні надати точні інструкції.
Ширша проблема: Багато хто стверджує, що поточні ризики переважують переваги агентських браузерів для щоденного використання. Потенціал для витоку даних і несанкціонованих дій залишається високим, особливо враховуючи доступ, потрібний цим інструментам.
Висновок
Атаки з впровадженням запитів становлять фундаментальну проблему безпеки для браузерів на основі ШІ. OpenAI та інші реагують безперервним навчанням підкріплення та швидкою адаптацією, але повне усунення малоймовірне. Довгострокова життєздатність цих інструментів залежить від балансу між функціональністю, безпекою та ризиком для користувача. Наразі обережність і обмежений доступ залишаються найефективнішим захистом.
