OpenAI称AI浏览器难避“提示注入”风险，计划以自动化攻防长期对抗

OpenAI 近日表示，具备代理（Agent）能力的 AI 浏览器在设计层面存在先天安全缺口，目前很难完全杜绝“提示注入”(Prompt Injection) 攻击。这意味着，即便不断升级安全措施，这类攻击仍会成为 AI 领域的长期技术挑战，而非短时间内即可“修复”的小问题。

自 OpenAI 于今年 10 月将 Atlas AI 浏览器 内置至 ChatGPT 后，相关安全隐患便受到广泛关注。研究人员发现，攻击者只需在网页或文档中埋入特定指令，就可能在用户毫不知情的情况下操控浏览器的底层行为。由于 AI 代理往往拥有访问邮箱、执行支付等高权限，一旦被入侵，极易造成敏感信息泄露或错误操作。

为缓解这一顽疾，OpenAI 正在尝试一条差异化防线：他们开发了一个基于大模型的“自动化攻击者”系统。该系统借助强化学习，模拟黑客对 AI 代理进行高频对抗演练。通过深入洞察模型的推理过程，这个“机器人黑客”能挖掘出人类测试者不易察觉的新型攻击路径，从而帮助团队在真实威胁到来前完成修补。

业内专家指出，AI 浏览器的风险源自“自主权”与“访问权限”的叠加。目前，Google 与 Brave 等厂商也在探索多层防护策略。OpenAI 建议用户在现阶段避免为 AI 代理赋予过于宽泛的权限，尤其在发送邮件、发起支付等关键动作时，务必保留人工确认步骤。