OpenAI承认AI浏览器难以摆脱“提示注入”，计划以自动化攻防长期对抗

OpenAI 最近表示，带有代理（Agent）功能的 AI 浏览器在设计层面存在先天安全薄弱点，“提示注入”（Prompt Injection）很难被完全杜绝。换句话说，哪怕持续加固防护，这类攻击也更像是长期要面对的技术难题，而不是可以迅速打补丁就解决的小故障。

自从 OpenAI 在今年10月把内置在 ChatGPT 中的 Atlas AI 浏览器 推出后，安全问题就被反复提及。研究显示，攻击者只要在网页或文件里埋入特定提示，就可能在用户无感知的情况下影响浏览器的底层动作。由于 AI 代理可能握有查看邮箱、发起支付等高权限，一旦被利用，便可能引发隐私暴露或错误操作。

为缓解这一难题，OpenAI 正探索不同的防守思路，构建了一个基于大模型的“自动化对手”系统。它借助强化学习，持续模拟黑客手法，对 AI 代理开展高频攻防演练。通过观察模型的推理链路，这个“机器化红队”可以挖掘出人类测试不易发现的新型路径，帮助团队在风险真正爆发前完成修补。

业内人士认为，AI 浏览器的隐患来自“自主决策能力”与“系统访问范围”的叠加。目前，Google、Brave 等厂商也在推进分层防护方案。OpenAI 提醒用户，在当下尽量不要给 AI 代理过大的权限，涉及发邮件、付款等关键步骤，应保留人工核准再执行。