當 AI 瀏覽器不再只是被動回應查詢的搜尋工具,而是逐步進化為能夠代替使用者執行行動的代理系統,資安風險的本質也隨之改變。OpenAI 的最新表態指出一項關鍵但令人不安的事實名為提示注入攻擊(prompt injection)的風險,極可能無法被徹底消除,而這將成為 AI 代理走向開放網路時,最難解、也最結構性的安全難題之一。引述 OpenAI 針對 AI 瀏覽器 ChatGPT Atlas 所發布的安全說明,說明在代理模式啟用後,AI 瀏覽器的攻擊面顯著擴大。不同於傳統駭客入侵瀏覽器本身的技術漏洞,提示注入攻擊的核心在於欺騙 AI 代理。攻擊者透過在網頁、文件或電子郵件中嵌入精心設計的自然語言指令,誘使 AI 在不知情的情況下執行惡意行為,偏離使用者原本的指示。
文章指出,這並非 ChatGPT Atlas 的單一問題。資安研究人員早在 Atlas 上線初期,就已示範如何透過 Google Docs 等工具操控其行為,而 Brave 等開源瀏覽器業者也坦言,凡是導入 AI 代理架構的產品,包括其他競品瀏覽器,都面臨相同的系統性風險。引用學者觀點強調,AI 瀏覽器最大的弱點,在於難以清楚區分可信任的使用者指令與不可信任的外部內容,一旦界線模糊,原本的輔助工具,反而可能成為攻擊使用者的跳板。面對這種無法根除的威脅, OpenAI 採取的應對策略,並非追求完全防堵,而是建立一套快速回應與持續測試的防禦循環。其中最引人注目的作法,是用 AI 打 AI,OpenAI 透過強化學習訓練一個專門扮演駭客的 AI,持續在模擬環境中嘗試新的攻擊手法,藉此提前發現漏洞並反向強化模型。文章中提到的實例,清楚呈現 AI 代理一旦遭操控,可能在使用者毫無察覺的情況下,執行極具破壞性的行為。
資安專家普遍對全面採用 AI 瀏覽器仍持審慎態度。專家指出,當 AI 擁有高度存取權限卻具備一定自主性時,其風險可能尚未被便利性所抵銷。也因此,OpenAI 給使用者的實際建議,強調限制權限、審慎確認與下達明確指令,仍是現階段使用 AI 代理時最重要的自保原則。整體而言,文章不只是技術警示,更是一篇關於 AI 自動化時代信任邊界的深度提醒。當 AI 開始替人行動,我們面對的,不只是效率提升,而是全新的資安現實。
