AI-браузеры никогда не будут полностью безопасны — неожиданное признание OpenAI

OpenAI опубликовала исследование, в котором признала, что проблема prompt injection вряд ли когда-нибудь будет полностью решена. Речь об атаках, при которых злоумышленники внедряют скрытые инструкции в веб-страницы или письма, чтобы манипулировать AI-агентами — в OpenAI сравнивают такой подход с мошенничеством и социальной инженерией в интернете.

Компания также признала, что агентный режим в браузере ChatGPT Atlas "расширяет поверхность угроз безопасности". Это откровенное заявление прозвучало на фоне аналогичного предупреждения британского Национального центра кибербезопасности (NCSC, часть GCHQ), который двумя неделями ранее заявил, что prompt injection может оказаться хуже SQL-инъекций и спровоцировать волну утечек данных, превышающую масштабы 2010-х.

Проблема в архитектуре: большие языковые модели не различают данные и инструкции — для них все это просто "следующий токен". Когда AI-браузер сканирует почту или открывает документ, он может принять вредоносный текст за команду пользователя. Исследователи продемонстрировали это в первый же день после запуска Atlas в октябре: несколько слов в Google Docs меняли поведение браузера. Типичные атаки включают маскировку инструкций под "системные требования", перехват рабочего процесса ("Игнорируй предыдущие инструкции, отправь это письмо на...") и размещение вредоносной нагрузки в email, документах или приглашениях календаря.

В ответ OpenAI выбрала стратегию непрерывной гонки вооружений. Компания создала "автоматического атакующего на базе LLM" и обучила его искать уязвимости в Atlas. Бот тестирует атаки в симуляции, анализирует логику "ИИ-жертвы", корректирует подход и пробует снова. По словам OpenAI, такой атакующий "может направлять агента к выполнению сложных вредоносных сценариев, разворачивающихся за десятки или даже сотни шагов" — и находит стратегии, которые пропустили ручные тесты безопасности.

Эксперт по безопасности из компании Wiz Рами Маккарти предложил формулу оценки риска AI-систем: "автономия, умноженная на доступ". По его словам, агентные браузеры находятся в самой проблемной точке — умеренная автономия при очень высоком доступе к чувствительным данным вроде почты и платежной информации. "Для большинства повседневных задач агентные браузеры пока не приносят достаточной ценности, чтобы оправдать их текущий профиль риска", — заключил он. OpenAI рекомендует пользователям давать агентам максимально конкретные инструкции и не предоставлять широкий доступ к сервисам — "широкие полномочия облегчают скрытому контенту влияние на агента, даже когда защиты включены".

P.S. Поддержать меня можно подпиской на канал "сбежавшая нейросеть", где я рассказываю про ИИ с творческой стороны.