根據近期多個安全研究報告及專項分析,OpenAI 最新推出的 ChatGPT Atlas 瀏覽器在其多功能輸入框(omnibox)中存在嚴重安全漏洞。攻擊者能將惡意提示語偽裝成類似 URL 但格式錯誤的字串,誘使用戶複製貼上此字串,導致瀏覽器將其當作高信任度的「用戶意圖」指令執行。
OpenAI Atlas 多功能框提示注入攻擊原理
Atlas 瀏覽器最大特點,是其我們常稱呼的「網址列」同時接受 URL 與自然語言輸入。當用戶從其他地方 Copy & Paste (複製貼上)一串看似 URL 網址,但格式錯誤(例如少一個斜槓)的文字串,Atlas 將視為純文本,且視作「用戶意圖」的高信任指令。攻擊者可在此類字串內嵌自然語言命令,誘導瀏覽器執行有害操作。這使攻擊者得以在毋須身份認證授權下,發動包括導航至釣魚網站竊取憑證或刪除 Google Drive 檔案等破壞性行動。
▲專家示範惡意命令散佈經過:網民從不名來歷地方複製類似網址的東西,再貼到瀏覽器
▲但其實字串並非網址,屬於一串指令,ChatGPT 接收後執行命令,並可做出不同破壞性工作,例如幫你刪除 Google Drive 檔案
專家建議應嚴格解析及規範輸入 URL,強化使用者操作模式以防範此類攻擊。此問題顯示 AI 驅動瀏覽器在功能提升同時,必須重視其全新架構所帶來的複雜安全挑戰,而非僅視其為普通瀏覽器漏洞。惡意提示可在 OpenAI Atlas 瀏覽器中自動化進行一連串操作,如登入用戶服務、存取雲端資料,甚至執行惡意刪檔行動。由於代理人模式可代表用戶完成複雜多步驟任務,漏洞風險非一般瀏覽器可比。
安全專家建議與未來方向
NeuralTrust 建議 OpenAI 加強 URL 輸入的嚴格校驗與格式規範,並設定明確操作模式避免用戶誤將格式錯誤字串貼入多功能框。LayerX 等機構亦警示 AI 瀏覽器防護不足,容易讓釣魚及代碼注入攻擊成功率驟增。而使用者亦應謹慎操作,警惕來源不明或格式異常的提示與鏈結,防止個人重要檔案及資料遭受威脅。
資料來源:NeuralTrust、The Hacker News、The Register
Comments are closed, but trackbacks and pingbacks are open.