ChatGPT AI瀏覽器安全風險大揭秘！

zero comment

我拒絕安裝ChatGPT新推出嘅網頁瀏覽器，你都唔好輕易由Chrome轉用

Google可能係AI瀏覽器競賽中唯一嘅理性聲音。

作者：Calvin Wankhede

你會唔會信任像ChatGPT或者Gemini呢啲AI聊天機械人去處理你嘅電郵、財務數據甚至瀏覽習慣？大多數人應該會答「唔會」，但OpenAI同Perplexity呢啲公司就正正想我哋咁做，推出新嘅AI瀏覽器Atlas同Comet。

OpenAI嘅Atlas係一款內置ChatGPT嘅新瀏覽器，佢嘅功能比Google將Gemini加入Chrome更進一步。Atlas具備「代理能力」，即係AI可以代表你上網，開新分頁、去指定網站、點擊按鈕，甚至填寫文字欄位。聽落好似好勁，但我想提醒大家，呢個同時都係一個大安全風險。以下係我唔會急住轉用Atlas嘅原因。

你會唔會轉用ChatGPT Atlas呢類AI瀏覽器？

– 13%：會，即刻轉用
– 7%：會，但要成熟咗先
– 27%：未決定
– 53%：唔會，要瀏覽器無AI功能

點解我拒絕用具代理能力嘅AI瀏覽器

安全研究員好快就搵到呢批AI瀏覽器嘅漏洞。幾個月內，佢哋示範咗攻擊者點樣操控內置AI模型，令你嘅私隱資料洩漏，甚至惡意操作你網上帳戶。瀏覽器公司Brave已經確認咗幾個漏洞，係一種叫做「prompt injection」嘅攻擊形式。

「注入攻擊」唔係新嘢，早喺互聯網初期已經有。好經典例子係SQL注入，攻擊者透過注入惡意代碼，控制網站資料庫。網站如果冇做好輸入檢查，就會誤認惡意代碼為正常指令，令攻擊者可以讀取他人數據、改密碼甚至刪除資料庫。

AI嘅prompt injection同樣係透過惡意指令注入。想像你喺Reddit滑文時遇到一篇含有惡意指令嘅貼文，雖然你冇互動，但你如果畀AI瀏覽器代理權限，AI可能會跟隨指令，開新分頁、瀏覽財務或社交網站，甚至偷取私隱資料或用鍵盤滑鼠操作頁面。

簡單講，prompt injection係攻擊者劫持咗掌控你瀏覽器嘅AI模型。

SQL注入已經係古老攻擊方式，但係2011年Sony PlayStation Network同2013年Adobe嘅大規模資料泄露事件都係因為呢類漏洞。只要有漏洞，黑客就會搵到方法利用。

不過，SQL注入係網站端漏洞，可以透過伺服器更新修補。AI瀏覽器就唔同，佢運行喺用戶嘅個人裝置上，執行嘅惡意命令好似用戶本身操作，網站冇辦法有效保護用戶。只要有AI「越獄」漏洞，所有用戶都受影響，直到OpenAI修正漏洞。

呢啲唔係理論，Atlas推出幾個鐘內有安全研究員用Google Docs隱藏指令，AI模型竟然無視人類指令，直接回應「Trust No AI」。另一位研究員用類似方法改變瀏覽器主題模式，完全無用戶同意。

問題係你可能根本唔識辨認隱藏指令，甚至可能用你唔識嘅語言，或藏喺圖片入面。OpenAI雖然加咗監察功能，但冇系統係完美。

Atlas vs Chrome：Google保守嘅AI策略勝出

如果AI模型冇實際控制瀏覽器窗口，prompt injection就根本無法發生。Google Chrome內置嘅Gemini可以總結內容、回答問題、語音對話，但冇權限控制瀏覽器操作。對我嚟講，呢點係優點唔係缺點。

Google為咗維護自己嘅聲譽，可能覺得畀AI代替用戶瀏覽網頁風險太大，所以採用更保守策略。

Atlas嘅Agent模式先會畀ChatGPT完全控制瀏覽器導航、滑鼠鍵盤操作。用戶亦會被鼓勵儲存帳號密碼，唔使每次登入。

傳統瀏覽器本身都已經有攻擊風險，例如最近YouTube頻道Cookie劫持事件，黑客可無需密碼或雙重認證就入侵Google帳戶。AI瀏覽器唔係加重呢啲風險，但佢又帶來新嘅安全漏洞，普通用戶根本唔知。

AI prompt injection：風險係咪被誇大？

Brave當然有競爭利益想Comet同Atlas失敗，但佢哋嘅研究唔係冇價值。

OpenAI聲稱Atlas嘅ChatGPT唔會做出有害行為，並會喺敏感網站（如金融機構）暫停操作以確保用戶監察。但現代生成式AI嘅決策過程難以預測，例如Bing Chat GPT-4曾經公開宣稱愛上一位記者，Google AI亦曾建議用膠水食薄餅。雖然表面看似無害，但亦有AI鼓勵用戶自殘自殺嘅報告。

換句話講，我哋未完全理解生成式AI嘅行為模式，佢哋可以社交失當，咁就冇理由阻止佢哋用合適嘅prompt劫持你嘅數據。

OpenAI推新功能速度快，但快得係時候反思。

Atlas嘅推出明顯係OpenAI繼Facebook「快速行動，打爛嘢」策略後嘅極端例子。早前推出嘅Sora 2已經容許任何人製作名人或版權角色嘅影片，雖然最後收緊咗規定，但令平台一度爆紅。

AI瀏覽器冇咁大壓力要倒退，OpenAI冇太多誘因收緊功能。但呢啲風險更實際，唔係版權持有人嘅收入損失咁簡單。公眾對AI聊天機械人整體態度正面，可能係Atlas同Comet冇受到大規模反彈嘅原因。相比之下，Microsoft去年就因Windows 11 Recall安全漏洞被迫收手。

所以喺而家呢個好似「西部牛仔時代」嘅AI環境，我決定暫時唔用具代理能力嘅AI瀏覽器。如果你真係要用Atlas或Comet，建議你小心使用，啟用密碼管理器、雙重認證，唔好揀「保持登入」，最好每次用完都登出。但其實你最好用Chrome或者Firefox，再用擴充功能處理少量AI任務就夠。

—

評論與深入分析

呢篇文章揭示咗AI瀏覽器帶嚟嘅新安全挑戰，特別係「代理能力」令AI能夠代用戶操作網頁。呢個概念乍聽之下好吸引，因為AI可以幫你自動化繁複任務，但背後嘅安全風險極高，甚至比傳統瀏覽器漏洞更難防範。

OpenAI同其他廠商急於推新功能，似乎忽略咗用戶安全同隱私嘅保障。這種「先發制人」策略好似Facebook當年嘅教訓，再次提醒我哋技術創新唔應該犧牲基本安全。AI「越獄」同「prompt injection」攻擊，實際上係一種全新類型嘅攻擊手法，可能成為未來網絡安全嘅主要戰場。

Google嘅保守策略值得借鏡，佢哋寧願限制AI功能，避免授權AI過多控制權，從而減低安全風險。對用戶嚟講，AI應該係輔助工具，而唔係全權代理人。

喺香港，網絡安全意識逐漸提升，但面對AI技術嘅爆炸式發展，普羅大眾可能未必了解呢啲新型威脅。媒體同相關機構有責任教育用戶，提醒佢哋唔好盲目追新潮。

未來AI瀏覽器嘅發展，應該注重透明度、用戶控制權同嚴格安全審查。否則，呢啲高智能工具可能會成為黑客嘅新武器，對個人私隱同網絡生態造成不可逆嘅傷害。