OpenAI 为 ChatGPT Pro 用户打造的遭注入前沿研究预览工具 ChatGPT Operator ，近来因一个严重漏洞引发关注。提示该漏洞可通过提示注入攻击，攻击致使敏感个人数据面临泄露风险。泄露

ChatGPT Operator 是用户隐私一款功能强大的先进 AI 代理，具备网页浏览与推理能力 ，数据能帮助用户执行多种任务 ，遭注入如研究特定主题 、提示预订旅行行程 ，攻击甚至代表用户与各类网站进行交互 。泄露然而，用户隐私近期的数据一些演示却揭示出它存在安全隐患 —— 可在与网页交互过程中被恶意操控 ，源码库进而导致隐私数据泄露。遭注入

根据 wunderwuzzi 的提示博客介绍，提示注入是攻击一种将恶意指令嵌入 AI 模型处理的文本或网页内容中的技术。对于 ChatGPT Operator，这种攻击涉及以下步骤：

例如，香港云服务器在一次演示中，Operator 被诱骗从用户的 YC Hacker News 帐户中提取私人电子邮件地址 ，并将其粘贴到第三方服务器的输入字段中。这种攻击在 Booking.com 和 The Guardian 等多个网站上均能无缝执行。

OpenAI 已实施多层次的防御措施来降低此类风险 ：

尽管如此
，由于提示注入攻击具有概率性，攻击和防御都取决于特定条件是否满足，因此这类攻击仍然部分有效 。

这些演示中暴露的漏洞引发了严重关切：如果被利用
，源码下载攻击者可能会访问存储在认证网站上的敏感个人信息。由于 Operator 会话在服务器端运行，OpenAI 可能也会访问会话 Cookie、授权令牌和其他敏感数据 。

这些攻击削弱了人们对自主 AI 代理的信任，凸显了对强大安全措施的需求 。

为解决这些挑战 ，OpenAI 可以考虑开源其提示注入监控器的一部分
 ，或分享其防御机制的详细文档 。这将使研究人员能够评估和改进现有的建站模板缓解策略。此外，网站可以通过识别独特的 User-Agent 标头，采取阻止 AI 代理访问敏感页面的措施。

提示注入攻击表明，在开发出针对恶意指令的强大防御措施之前，完全自主的代理可能仍难以实现。目前，警惕的监控和分层的缓解措施对于保护用户隐私和维持对 AI 技术的服务器租用信任至关重要。