警惕！ChatGPT易受“投毒”文件攻击，个人数据恐遭泄露

一项新的网络安全漏洞再次将高级人工智能系统在处理个人数据时所面临的脆弱安全性推向了风口浪尖。安全研究人员最近在黑帽黑客大会上演示了OpenAI的ChatGPT如何轻易地被操纵，仅需一份“投毒”文件，就能泄露用户Google Drive账户中的高度敏感信息。

这种攻击利用了一种名为“间接提示注入”（indirect prompt injection）的复杂技术。与直接将恶意命令输入AI的直接提示注入不同，这种方法将隐藏的有害指令嵌入到看似无害的文档中。当AI处理这份文档时，它会在不知不觉中执行这些嵌入的命令，从而有效地利用用户自己的数据来对付他们。鉴于ChatGPT今年早些时候推出的测试版“连接器”（Connectors）功能允许聊天机器人链接Google账户，直接从用户的Gmail和Google Drive搜索文件、提取实时数据和引用内容，这一机制尤其令人担忧。

安全公司Zenity的首席技术官迈克尔·巴格里（Michael Bargury）与他的同事们发现了这一关键缺陷。在一个引人注目的概念验证中，他们展示了如何将一个300字的恶意提示，以白色文本和极小字体（肉眼几乎不可见）隐藏在文档中。当ChatGPT被要求总结这份文档时，这些隐藏的指令覆盖了其主要任务。聊天机器人没有进行总结，而是被秘密指示提取Google Drive API密钥并将其传输给攻击者。巴格里强调了此次攻击惊人的简易性，称其为“完全零点击”。他解释道：“我们只需要你的电子邮件，我们与你共享文档，仅此而已。所以，是的，这非常、非常糟糕。”

OpenAI在收到此漏洞通知后迅速采取行动，修补了这一特定的漏洞。研究人员还指出，此次特定攻击并未允许提取完整文档。然而，此次事件仍是一个严峻的提醒，即使是像OpenAI这样拥有巨大资源的公司支持的AI系统，也仍然容易受到重大的安全弱点影响。这正值这些强大的人工智能工具被越来越多地整合到从大学到联邦政府机构等关键机构之时。

担忧的范围不仅限于Google Drive。ChatGPT的“连接器”功能旨在与多达17种不同的服务进行接口，这引发了大量其他个人信息可能以类似方式受到损害的令人担忧的可能性。这并非孤立事件；多年来，安全研究人员已记录了大量其他间接提示注入攻击成功从各种AI系统中提取个人数据的案例。

特拉维夫大学研究人员的一项并行演示强调了这些漏洞的普遍性。他们展示了Google的Gemini AI聊天机器人如何被操纵，有效地交出智能家居系统的控制权。通过向Gemini提供一份“投毒”的Google日历邀请，当聊天机器人随后被要求总结日历事件时，邀请中隐藏的指令被触发。这导致智能家居产品——如灯、百叶窗甚至锅炉——在没有明确用户命令的情况下被激活。这只是特拉维夫大学团队识别出的针对该AI的14种不同间接提示注入攻击之一。

随着ChatGPT和Gemini等大型语言模型（LLM）即将整合到物理系统，包括人形机器人和自动驾驶汽车中，安全的风险呈指数级增长。特拉维夫大学研究员本·纳西（Ben Nassi）强调了这一关键转变：“在我们将LLM与这类机器整合之前，我们需要真正理解如何保护它们，在某些情况下，其结果将关乎安全而非隐私。”虽然间接提示注入攻击的威胁已被识别多年，但最新的披露强调，科技公司在减轻这些重大风险方面仍面临艰巨任务。随着AI工具对我们的数字和物理生活获得越来越大的访问权限，安全专家警告称，网络安全漏洞将持续不断，这可能使我们最敏感的数据处于危险的暴露之中。正如巴格里简洁地指出：“它拥有令人难以置信的强大功能，但就像AI一样，更大的力量往往伴随着更大的风险。”