OpenAI周四向 Plus、Pro 和 Team 订阅用户推出了 ChatGPT 代理，为用户提供了一种强大的自动化在线任务的新方法。但此次发布也伴随着一个警告：该代理可能会让用户面临即时注入攻击。

OpenAI 在一篇博客文章中写道：“当你将 ChatGPT 代理登录网站或启用连接器时，它将能够访问来自这些来源的敏感数据，例如电子邮件、文件或帐户信息。”博客 邮政。

该功能还可以采取行动，例如共享文件或修改帐户设置。

OpenAI 承认：“由于网上存在‘即时注入’攻击，这可能会使您的数据和隐私面临风险。

提示注入是一种攻击类型，恶意行为者将隐藏指令嵌入 AI 代理可能阅读的内容中，例如博客文章、网站文本或电子邮件消息。

如果成功，注入的提示可以诱骗代理采取非预期的操作，例如访问个人数据或向攻击者的服务器发送敏感信息。

OpenAI 宣布 这 人工智能代理7 月 17 日，最初计划于下周一全面推出。

该时间表推迟到 7 月 24 日，当天该公司将与应用程序更新一起推出该功能。

ChatGPT 代理可以登录网站、阅读电子邮件、进行预订以及与 Gmail、Google Drive 和 GitHub 等服务进行交互。

尽管该代理旨在提高生产力，但它也带来了与人工智能系统如何解释和执行指令相关的新安全风险。

区块链和人工智能网络安全公司首席技术官兼联合创始人 Steven Walbroehl 表示哈尔伯恩，提示注入本质上是命令注入的一种形式，但有一个变化。

“这是一种命令注入，但命令注入不像代码，而更像是社会工程学，”Walbroehl 告诉解密“你试图欺骗或操纵代理去做超出其参数范围的事情。”

与依赖精确语法的传统代码注入不同，快速注入利用了自然语言的模糊性。

“代码注入指的是结构化、可预测的输入。而即时注入则完全相反：你使用自然语言将恶意指令绕过人工智能的防护，”Walbroehl 说道。

他警告说，恶意代理可能会冒充受信任的代理，并建议用户验证其来源并使用端点加密、手动覆盖和密码管理器等安全措施。

但是，如果代理可以访问电子邮件或短信，即使是多因素身份验证也可能不够。

“如果它能看到数据，或者记录你的按键，你的密码再安全也无济于事，”沃尔布罗尔说。“如果代理获取了备用代码或短信，即使是多重身份验证也可能失败。唯一真正的保护措施可能是生物识别技术——你本身，而不是你拥有的东西。”

OpenAI 建议在输入敏感凭证时使用“接管”功能。该功能会暂停代理并将控制权交还给用户。

为了防御未来即时注入和其他与人工智能相关的威胁，Walbroehl 建议采取分层方法，使用专门的代理来加强安全性。

“你可以让一个代理始终充当看门狗，”他说，“它可以监测那些在攻击发生前就预示潜在攻击的启发式方法或行为模式。”