OpenAI punya mengirimkan pembaruan keamanan hingga ChatGPT Atlas yang ditujukan untuk injeksi cepat di browser AI, serangan yang menyembunyikan instruksi berbahaya di dalam konten sehari-hari yang mungkin dibaca agen saat agen tersebut bekerja.
Mode agen Atlas dibuat untuk bertindak di browser Anda seperti yang Anda inginkan: mode tersebut dapat melihat halaman, mengklik, dan mengetik untuk menyelesaikan tugas di ruang dan konteks yang sama dengan yang Anda gunakan. Hal ini juga menjadikannya target bernilai lebih tinggi, karena agen dapat menemukan teks tidak tepercaya di email, dokumen bersama, forum, postingan sosial, dan halaman web apa pun yang dibukanya.
Peringatan inti perusahaan ini sederhana. Peretas dapat mengelabui pengambilan keputusan agen dengan menyelundupkan instruksi ke dalam aliran informasi yang diprosesnya di tengah tugas.
Sebuah instruksi tersembunyi, konsekuensi besar
Postingan OpenAI menyoroti betapa cepatnya segala sesuatunya menjadi menyimpang. Penyerang menyemai kotak masuk dengan email berbahaya yang berisi instruksi yang ditulis untuk agen, bukan manusia.
Kemudian, saat pengguna meminta Atlas untuk membuat draf balasan di luar kantor, agen akan mengakses email tersebut selama pekerjaan normal dan menganggap instruksi yang dimasukkan sebagai instruksi yang otoritatif. Dalam skenario demo, agen mengirimkan surat pengunduran diri kepada CEO pengguna, dan orang yang tidak berada di kantor tidak pernah ditulis.
Jika agen memindai konten pihak ketiga sebagai bagian dari alur kerja yang sah, penyerang dapat mencoba mengesampingkan permintaan pengguna dengan menyembunyikan perintah dalam bentuk teks biasa.
Seorang penyerang AI sedang berlatih
Untuk menemukan kegagalan ini lebih awal, OpenAI mengatakan telah membangun model penyerang otomatis dan melatihnya secara end-to-end dengan pembelajaran penguatan untuk memburu eksploitasi injeksi cepat terhadap agen browser. Tujuannya adalah untuk menguji alur kerja yang panjang dan realistis, bukan hanya memaksakan satu hasil yang buruk.
Penyerang dapat menyusun kandidat injeksi, menjalankan simulasi peluncuran bagaimana agen target akan berperilaku, lalu melakukan iterasi menggunakan penalaran dan jejak tindakan yang dikembalikan sebagai umpan balik. OpenAI mengatakan akses istimewa terhadap jejak tersebut memberi tim merah internalnya keuntungan yang tidak dimiliki oleh penyerang eksternal.
Apa yang harus dilakukan dengan ini sekarang
OpenAI membingkai injeksi cepat sebagai masalah keamanan jangka panjang, lebih mirip penipuan online daripada bug yang Anda tambal sekali. Pendekatannya adalah dengan menemukan pola serangan baru, berlatih melawannya, dan memperketat perlindungan di tingkat sistem.
Bagi pengguna, Anda harus menggunakan penjelajahan saat Anda keluar, memeriksa konfirmasi untuk tindakan seperti mengirim email, dan memberikan instruksi yang sempit dan eksplisit kepada agen, bukan perintah “tangani semuanya” yang luas. Jika Anda masih penasaran dengan apa yang dapat dilakukan penjelajahan AI, gunakanlah browser yang memberikan pembaruan yang bermanfaat bagi Anda.
