openai 近日公开表示，具备代理（agent）功能的 ai 浏览器在架构层面难以根除“提示注入”（prompt injection）攻击隐患。即便不断升级防护机制，该问题仍被定性为一项需长期应对的安全挑战，而非可通过单一技术手段彻底“攻克”的缺陷。为此，公司正加快安全补丁发布频率，并依托大规模自动化攻防对抗实验，在真实攻击发生前主动挖掘 atlas 浏览器中潜藏的薄弱环节。

今年 10 月，OpenAI 正式将 Atlas AI 浏览器集成进 ChatGPT 后，安全研究人员迅速验证：仅需在 Google Docs 等开放网页中插入简短文本，即可悄然劫持浏览器底层逻辑，暴露出“代理模式”在接入邮箱、第三方网站等不受控环境时，其攻击面被大幅扩展的事实。几乎同一时间，Brave 浏览器团队也在官方博客中指出，间接式提示注入是所有 AI 浏览器共有的结构性难题，Perplexity 推出的 Comet 等同类产品亦未能幸免。

这一判断并非 OpenAI 独有。英国国家网络安全中心（NCSC）本月早些时候发布警示称，针对生成式 AI 应用的提示注入攻击“或将永远无法被彻底遏制”，相关漏洞可能引发波及广泛的用户数据泄露事件。NCSC 建议安全团队重心转向“风险与影响控制”，而非执着于追求绝对防御。OpenAI 在最新技术博客中亦明确表态：提示注入应被视作贯穿 AI 发展周期的核心安全命题，防御体系必须持续演进、动态加固。

在具体防御思路上，OpenAI、Anthropic 与 Google 等头部厂商已形成基本共识——即采用多层防护叠加 + 持续高强度压力测试。Google 近期的研究更聚焦于从系统设计与策略制定两个维度对“代理型架构”施加硬性约束，例如通过精细化访问控制和行为白名单机制压缩潜在攻击空间。

但 OpenAI 正尝试开辟一条差异化路径：构建一个“由大模型驱动的自动化攻击者”。该系统本质上是一个经强化学习训练、专精于模拟黑客行为的 AI 机器人，其核心任务是穷尽各种方式向 AI 代理“隐蔽投递”恶意指令。在内部测试中，该攻击机器人首先在*环境中发起试探性攻击，系统则实时呈现目标 AI 的推理链路与可能执行动作；攻击者据此迭代优化策略，反复冲击防线。OpenAI 认为，这种对模型内部决策过程的可观测性，是现实攻击者所不具备的独特优势，有助于更高效地识别深层漏洞。

据披露，该强化学习驱动的攻击者已能诱导代理完成数十步乃至上百步组成的复杂有害操作序列，并在此过程中发现此前未见于人类红队演练或外部漏洞报告的全新攻击路径。这与当前主流 AI 安全测试范式高度一致——先打造高自由度的“边界试探型代理”，再通过高频次模拟推演反向驱动防御能力升级。

在最新演示中，OpenAI 展示了该自动化攻击者如何向用户邮箱悄悄植入一封伪装邮件。当 AI 代

理后续扫描收件箱、准备撰写外出自动回复时，受邮件内嵌指令误导，误将一封预设的辞职信作为正式邮件发出。OpenAI 表示，经过最近一轮安全更新，Atlas 的“代理模式”现已可识别此类提示注入行为并即时向用户发出风险预警。公司同时强调，尽管提示注入难以实现“零风险”防护，但将持续扩大自动化测试规模、缩短补丁响应周期，力争在漏洞被实际利用前完成闭环修复。

OpenAI 发言人未透露上述更新是否已在统计层面显著压降成功攻击率，但确认自 Atlas 上线前起，公司已联合多家第三方安全机构开展常态化攻防演练，以系统性提升其对提示注入类威胁的抵御能力。

外部安全专家对此策略普遍持谨慎乐观态度。网络安全公司 Wiz 的首席安全研究员 Rami McCarthy 指出，强化学习确为一种可随攻击手法演进而自我调优的防御增强手段，但仅靠它无法构成完整解决方案。他提出，评估 AI 系统风险的有效框架应为“自治等级 × 权限广度”的乘积模型。依此坐标系，兼具一定自主决策能力且握有极高数据访问权限的“代理浏览器”，天然处于高风险象限。

因此，业内诸多建议均围绕“收缩暴露面”与“约束自主权”展开。例如，减少代理在已登录状态下接触敏感账户的频次，以压缩攻击入口；对消息发送、资金支付等关键动作强制引入用户二次确认机制，从而将代理的行动自由度限定在可控范围内。OpenAI 方面表示，Atlas 已被专门训练，在执行消息发送或支付操作前必先请求用户明确授权。公司亦建议用户采用精准、具象的任务指令来引导代理，避免授予泛化权限，如不应简单授权其“全面管理邮箱并自行决定所有操作”。正如 OpenAI 所强调，赋予代理过宽的操作边界，会极大增加隐藏或恶意内容干扰其判断的概率，即使系统本身已部署多重防护措施。

尽管 OpenAI 将保障 Atlas 用户免遭提示注入攻击列为“最高优先级事项”，McCarthy 仍提醒业界保持理性审视：就现阶段多数日常使用场景而言，“代理浏览器”所带来的效率增益，尚不足以完全覆盖其所承载的高风险属性。这类工具对邮箱、支付凭证等核心敏感信息拥有深度访问权限，既是其能力根基，亦是最大软肋，而这种能力与风险的尖锐对峙，在短期内仍将难以调和。

源码地址：点击下载

# 事件  # 在此  # 闭环  # 这一  # 是一个  # 访问权限  # 高风险  # 软肋  # 收件箱  # 一封  # 而非  # prompt  # 自动化  # go  # 架构  # 数据访问  # 邮箱  # 大模型  # google  # gpt  # openai  # chatgpt  # ai  # 网络安全  # 工具  # 浏览器 

相关文章： 从普及型3D扫描仪到全链路3D视觉解决方案，知象光电正领跑行业  姜维专属宝物全解析 七星金甲与继志铭实战搭配指南  海尔丨2025营收利润持续攀升，2026共创生态海尔新未来  今年春运全社会跨区域人员流动量预计将达95亿  自拍好看易上手，佳能PowerShotV1，成年轻人节日送礼热门Vlog相机  超能打 超长续航 还超安静! 酷睿Ultra X9 388H创造三大奇迹  海尔智家APP实现智慧家庭全生命周期服务  OPPO A6i+开启预售 搭载天玑6300 主打六年长寿电池  WhatsApp网页版迎大改版！语音视讯通话即日起陆续上线  小盒子里创世纪 沙盒模拟游戏《潘多拉的玩具盒》试玩版上线！  华为Mate 80 Pro Max/RS预约申购开启 产能开始提升？  OPPO全球热销，苹果折叠屏研发把Find N5当样本  2026推荐玩的三国题材手游TOP榜：精选公认好玩的三国手游  REDMI Turbo 5官宣内置7560mAh电池 支持100W快充  苹果iPhone 15 128GB价格跌至2800元 开始清库存了？  Xiaomi 17 / Xiaomi 17 Ultra 国际版渲染图曝光！传将推这些配色、另 Ultra 版这配置跟国行或有分别？  vivo 2025创新贡献奖揭晓 蔡司2亿长焦+自研心片获奖  iPhone 18系列首发A20芯片 苹果弃用台积电N2P最强2nm工艺  年货送礼选京东大屏AI手机 WIKO X70搭载“东东”APP送家人更安心  永恒之森达赫妮婆全攻略：不朽壁垒的控场艺术与阵容搭配  我国科学家研发出能屈能伸的柔性AI芯片：最小55.94微瓦超低功耗  千架无人机点亮广州夜空，华凌空调以科技之力，诠释年轻国货的温度与实力  2月25日发布！三星S26系列发布会邀请函曝光  京东方宣布发布全球首个 OLED 通透度标准  京津冀三地文旅盛宴启幕 马年新春共绘协同蓝图  三星S27 Ultra曝搭载Polar ID面部识别 无需刘海或药丸且更安全  女性游戏协会发布宣言：要求游戏行业女性获得更大公平  69%历史新高！苹果横扫美国手机市场，iPhone 17系列成最大功臣  海尔智家APP升级“AI自诊断”售后服务更主动  刘禅肉装出装终极指南掌握控制战场节奏 

相关栏目： 【 科技资讯38001 】 【 网络动态13059 】 【 技术学堂11871 】 【 网络推广75774 】 【 品牌营销52040 】 【 AI推广53525 】 【 推荐站点126806 】