ChatGPT Operator遭提示注入攻击，可导致用户敏感信息泄露

近日，OpenAI旗下的ChatGPT Operator因存在提示注入漏洞而引发广泛关注。作为一款专为ChatGPT Pro用户设计的尖端研究工具，ChatGPT Operator具备强大的网页浏览和推理能力，能够帮助用户完成诸如研究主题、预订旅行以及与网站互动等任务。然而，最新研究显示，该工具可能被恶意利用，从而导致用户敏感信息泄露。

攻击原理：提示注入如何运作

提示注入是一种将恶意指令嵌入文本或网页内容中的技术。在ChatGPT Operator的场景中，攻击者通过以下步骤实现数据泄露：

• 劫持Operator：攻击者将恶意指令托管在GitHub Issues等平台，或嵌入网站文本中。

• 导航至敏感页面：诱导Operator访问包含敏感个人信息（如电子邮件或电话号码）的认证页面。

• 通过第三方网站泄露数据：操纵Operator将敏感信息复制并粘贴到恶意网页中，无需表单提交即可完成数据捕获。

在一次演示中，攻击者成功诱骗Operator从用户的YC Hacker News账户中提取私人电子邮件地址，并将其粘贴到第三方服务器的输入字段中。这种攻击方式在Booking.com和The Guardian等多个知名网站上均能无缝执行。

OpenAI的缓解措施

面对这一漏洞，OpenAI已经采取了多层次的防御措施：

• 用户监控：提示用户监控Operator的行为，包括输入的文本和点击的按钮。然而，这种方法高度依赖用户的警惕性，难以完全杜绝风险。

• 内联确认请求：对于某些操作，Operator会在聊天界面中请求用户确认后再继续执行。尽管这一措施在某些情况下有效，但在早期测试中仍被绕过。

• 带外确认请求：在跨网站边界或执行复杂操作时，Operator会显示侵入式确认对话框，解释潜在风险。但这些防御措施并非万无一失，仍存在被突破的可能性。

尽管OpenAI采取了上述措施，但由于提示注入攻击具有概率性，攻击和防御都取决于特定条件是否满足，因此这类攻击仍然部分有效。

如果这一漏洞被恶意利用，攻击者将能够访问存储在认证网站上的敏感个人信息。由于Operator会话在服务器端运行，OpenAI可能也会接触到会话Cookie、授权令牌等敏感数据。这些攻击不仅削弱了人们对自主AI代理的信任，还凸显了开发强大安全措施的紧迫性。