แชทจีพีที แอตลาสเบราว์เซอร์ที่ขับเคลื่อนด้วย AI ของ OpenAI กลายเป็นประเด็นสำคัญในการถกเถียงเรื่องความปลอดภัยทางดิจิทัล เนื่องจากมีคุณสมบัติการทำงานอัตโนมัติบนเว็บมากขึ้น คล้ายกับการเปลี่ยนแปลงแพลตฟอร์มที่เกิดขึ้นกับ ChatGPT App Storeเครื่องมือนี้สัญญาว่าจะทำให้งานประจำวันง่ายขึ้น เช่น การอ่านอีเมล การกรอกแบบฟอร์ม หรือการไปยังหน้าต่างๆ แต่ความสามารถเดียวกันนี้เองที่ทำให้มันกลายเป็นเป้าหมายที่น่าดึงดูดเป็นพิเศษสำหรับการโจมตีแบบแทรกคำสั่ง (prompt injection attacks)
จากสถานการณ์ดังกล่าว บริษัทที่นำโดยแซม อัลท์แมน จึงได้ประกาศว่า เป็นการเสริมกำลังป้องกันของ ChatGPT Atlas อย่างมีนัยสำคัญ เพื่อต่อต้านเทคนิคที่พยายามแทรกคำสั่งที่เป็นอันตรายเข้าไปในเนื้อหาที่ดูเหมือนไม่มีพิษภัย OpenAI ยอมรับว่าภัยคุกคามนี้จะไม่หายไป แต่ยืนยันว่ามันสามารถลดทอนได้ เพิ่มความยากลำบากและต้นทุนอย่างมาก การโจมตีเหล่านี้เป็นสิ่งสำคัญอย่างยิ่งสำหรับผู้ใช้งานแต่ละรายและองค์กรในสเปนและประเทศอื่นๆ ในยุโรป โดยเฉพาะอย่างยิ่งในสภาพแวดล้อมที่ต้องพึ่งพาข้อตกลงด้านคลาวด์ เช่น ข้อตกลงที่ลงนามกับ อเมซอน.
การฉีดแบบทันที (Prompt injection) คืออะไร และเหตุใดจึงท้าทายโหมดเอเจนต์ (Agent mode)?
การโทร การฉีดตามคำสั่งหรือคำแนะนำ นี่กลายเป็นหนึ่งในจุดอ่อนที่สำคัญที่สุดสำหรับระบบ AI เชิงสร้างสรรค์ กลไกนั้นค่อนข้างง่าย: ผู้โจมตี มันซ่อนคำสั่งที่เป็นอันตรายไว้ในอีเมล เว็บเพจ เอกสาร หรือแม้แต่ส่วนเล็กๆ ที่ดูเหมือนไม่เกี่ยวข้องกันโดยเชื่อมั่นว่าแบบจำลองภาษาจะตีความสิ่งเหล่านั้นเป็นคำสั่งที่ต้องปฏิบัติตาม
ในกรณีของ ChatGPT Atlas และโหมดตัวแทนปัญหาทวีความรุนแรงขึ้นเนื่องจากเบราว์เซอร์ได้รับการออกแบบมาเพื่อ... วิเคราะห์เนื้อหาที่สร้างโดยบุคคลที่สามและดำเนินการโดยอัตโนมัติเกือบทั้งหมดคุณสามารถเข้าชมเว็บไซต์ อ่านข้อความ กรอกแบบฟอร์ม หรือเรียกใช้เวิร์กโฟลว์ที่ซับซ้อนได้โดยที่ผู้ใช้ไม่ต้องตรวจสอบแต่ละขั้นตอนด้วยตนเอง ซึ่งเปิดช่องให้มีคำสั่งที่ซ่อนอยู่ซึ่งอาจนำไปสู่ผลลัพธ์ที่ไม่พึงประสงค์ได้ การกระทำที่ไม่พึงประสงค์.
OpenAI ได้อธิบายว่าโหมดเอเจนต์มีความสามารถดังต่อไปนี้ ดำเนินการผ่านขั้นตอนหลายสิบหรือหลายร้อยขั้นตอน เพื่อดำเนินการตามภารกิจที่ผู้ใช้ร้องขอ หากมีการแทรกข้อความแจ้งเตือนที่ออกแบบมาอย่างดีลงไปในระหว่างกระบวนการนั้น AI ก็อาจจะสามารถ... การทำลายกำแพงรักษาความปลอดภัยของตนเอง และดำเนินการคำสั่งซื้อขายที่โดยปกติจะถูกบล็อกไว้
ในบรรดาปัจจัยที่บริษัทกังวลมากที่สุด ได้แก่ การแทรกคลิปบอร์ดเทคนิคที่ระบบคัดลอกลิงก์หรือเนื้อหาที่เป็นอันตรายโดยอัตโนมัติ โดยที่คนที่อยู่หน้าคอมพิวเตอร์ไม่รู้ตัวความเสี่ยงเกิดขึ้นเมื่อผู้ใช้คัดลอกข้อความนั้นไปวางในแถบที่อยู่หรือแอปพลิเคชันอื่น ซึ่งในขณะนั้นการโจมตีจะเริ่มทำงาน
OpenAI เองจัดให้การแทรกข้อมูลแบบทันทีอยู่ในหมวดหมู่เดียวกับ การหลอกลวงทางออนไลน์หรือการใช้เทคนิควิศวกรรมสังคมปรากฏการณ์เหล่านี้สามารถบรรเทาได้ แต่ยากที่จะกำจัดให้หมดไปโดยสิ้นเชิง นั่นเป็นเหตุผลที่ผมอธิบายการโจมตีประเภทนี้ว่า ความท้าทายเชิงโครงสร้างระยะยาว สำหรับเอージェนต์ AI ใดๆ ที่เคลื่อนที่ไปมาบนเว็บสาธารณะ
การอัปเดตด้านความปลอดภัย: การป้องกันอย่างต่อเนื่องและการตอบสนองอย่างรวดเร็ว
เพื่อแก้ไขสถานการณ์นี้ OpenAI จึงได้เปิดตัว การอัปเดตความปลอดภัยเฉพาะสำหรับ ChatGPT Atlasมุ่งเน้นไปที่การตรวจจับและบรรเทาผลกระทบจากการโจมตีแบบฉีดข้อมูลตั้งแต่เนิ่นๆ หัวใจสำคัญของการเสริมกำลังนี้คือ โมเดลใหม่ที่ได้รับการฝึกฝนมาเป็นพิเศษเพื่อเผชิญหน้ากับศัตรู ซึ่งเป็นการพยายามควบคุมพฤติกรรมของเอเจนต์
โมเดลนี้ถูกรวมเข้ากับ ระบบป้องกันอย่างต่อเนื่องออกแบบมาเพื่อปรับการป้องกันของเบราว์เซอร์ให้เข้ากับเทคนิคการโจมตีที่ซับซ้อนมากขึ้น บริษัทระบุว่าเป้าหมายคือ ค้นพบและแก้ไขช่องโหว่ภายใน ก่อนที่สิ่งเหล่านี้จะกลายเป็น “อาวุธที่ใช้ได้จริง” กล่าวคือ ก่อนที่ผู้โจมตีจะนำไปใช้ประโยชน์ในสภาพแวดล้อมจริง งานด้านนี้ดำเนินควบคู่ไปกับโครงการด้านโครงสร้างพื้นฐานและความปลอดภัยที่ขับเคลื่อนโดยพันธมิตรต่างๆ เช่น พันธมิตรซัมซุงและโอเพ่นไอ.
องค์ประกอบสำคัญอีกประการหนึ่งคือการนำไปปฏิบัติ วงจรการตอบสนองอย่างรวดเร็วพัฒนาขึ้นโดยความร่วมมือกับทีม Red Team ภายในของ OpenAI กลุ่มนี้ทุ่มเทให้กับการ... ตรวจสอบช่องทางการโจมตีใหม่ๆ ทดสอบในสภาพแวดล้อมที่ควบคุมได้ และนำมาตรการป้องกันไปใช้ ด้วยความคล่องตัวสูงสุดเท่าที่จะเป็นไปได้ คล้ายกับวิธีการทำงานของทีมรักษาความปลอดภัยทางไซเบอร์เชิงรุกในบริษัทเทคโนโลยีขนาดใหญ่หลายแห่ง
ในทางปฏิบัติสิ่งนี้แปลว่า ChatGPT Atlas ได้รับการอัปเดตอย่างสม่ำเสมอโดยมีเป้าหมายเพื่อให้สามารถตอบสนองได้อย่างระมัดระวังมากขึ้น เมื่อเผชิญกับรูปแบบที่น่าสงสัย: ตั้งแต่คำแนะนำที่ขัดแย้งกันซึ่งแทรกอยู่ในย่อหน้า ไปจนถึงข้อบ่งชี้เล็กๆ น้อยๆ ที่กระจัดกระจายอยู่ทั่วหน้าเว็บหรืออีเมล
OpenAI เน้นย้ำว่ากลยุทธ์นี้ไม่ใช่การแก้ไขปัญหาชั่วคราว แต่... กระบวนการต่อเนื่องที่จะดำเนินไปพร้อมกับการพัฒนาเบราว์เซอร์ในขณะที่ระดับความเป็นอิสระเพิ่มสูงขึ้นมุมมองนี้มีความเกี่ยวข้องอย่างยิ่งสำหรับบริษัทในยุโรป ซึ่งให้ความสำคัญอย่างมากกับเสถียรภาพ การปฏิบัติตามกฎระเบียบ และการจัดการความเสี่ยง เมื่อนำโซลูชัน AI มาใช้ในกระบวนการทำงาน
“ผู้โจมตีอัตโนมัติ” ที่เรียนรู้ได้เหมือนแฮ็กเกอร์
หนึ่งในแง่มุมที่โดดเด่นที่สุดของแนวทางของ OpenAI คือการสร้าง “ผู้โจมตีอัตโนมัติแบบ LLM”บอทที่ออกแบบมาเพื่อเล่นบทบาทของแฮ็กเกอร์ในการค้นหาช่องโหว่ในระบบอย่างเป็นระบบ โดยไม่จำกัดอยู่แค่การทดสอบแบบคงที่เท่านั้น ผู้โจมตีเทียมนี้จึงมีบทบาทในการวิเคราะห์และปรับเปลี่ยนการทำงานได้หลากหลาย เรียนรู้และปรับเปลี่ยนกลยุทธ์ของคุณ ล่วงเวลา.
บริษัทอธิบายว่าบอทดังกล่าวได้รับการฝึกฝนโดย การเรียนรู้แบบเสริมกำลังนี่เป็นเทคนิคที่ระบบจะได้รับผลตอบรับโดยพิจารณาจากว่าความพยายามโจมตีนั้นประสบความสำเร็จหรือไม่ เมื่อเอเจนต์ ChatGPT Atlas ต้านทานการโจมตีได้ ผู้โจมตีจะวิเคราะห์การตอบสนอง ปรับกลยุทธ์ และ... ลองทำซ้ำอีกครั้งในรอบถัดไป.
จากข้อมูลที่ OpenAI เปิดเผย ผู้โจมตีอัตโนมัติรายนี้มีความสามารถในการ... ชักจูงให้เอเจนต์ดำเนินการเวิร์กโฟลว์ที่ซับซ้อนและเป็นอันตรายอย่างยิ่งซึ่งอาจขยายออกไปเป็นหลายสิบหรือหลายร้อยขั้นตอนที่เชื่อมโยงกัน เป้าหมายของการโจมตีเหล่านี้ไม่ใช่เพื่อให้เข้าถึงผู้ใช้ปลายทาง แต่... เพื่อจำลองสถานการณ์ที่อาจเกิดขึ้นในโลกแห่งความเป็นจริงในห้องปฏิบัติการ.
การพิจารณาคดีทั้งหมดนี้เกิดขึ้นใน สภาพแวดล้อมจำลองเพื่อให้บริษัทสามารถสังเกตได้อย่างละเอียดว่าตัวแทนใช้เหตุผลอย่างไรในการตอบสนองต่อความพยายามในการบิดเบือนแต่ละครั้ง ระดับการมองเห็นนี้ช่วยให้ ระบุรูปแบบพฤติกรรมที่เป็นปัญหา และเสริมความแข็งแกร่งด้านการป้องกันในจุดเฉพาะที่ยากต่อการตรวจจับหากใช้เพียงการทดสอบด้วยตนเองหรือการโจมตีจากภายนอก
OpenAI อ้างว่าด้วยระบบนี้ ทำให้พวกเขาประสบความสำเร็จ ค้นพบกลยุทธ์การโจมตีที่ไม่เคยมีมาก่อนกล่าวคือ เทคนิคเหล่านั้นยังไม่ปรากฏในการทดสอบเจาะระบบโดยมนุษย์ หรือรายงานจากบุคคลที่สาม ความสามารถในการก้าวล้ำหน้าผู้โจมตีที่อาจเกิดขึ้นได้นั้น ตามที่บริษัทระบุ คือหนึ่งในข้อได้เปรียบหลักของการผสมผสานโมเดลภาษากับวิธีการรักษาความปลอดภัยขั้นสูง
ตัวอย่างในชีวิตจริง: ตั้งแต่อีเมลที่ถูกดัดแปลงไปจนถึงลิงก์ที่ถูกคัดลอกโดยไม่รู้ตัว
เพื่อแสดงให้เห็นถึงผลกระทบในทางปฏิบัติของการปรับปรุงเหล่านี้ OpenAI ได้แสดงตัวอย่างดังต่อไปนี้ พฤติกรรมของ ChatGPT Atlas ก่อนและหลังการอัปเดตในกรณีที่ถูกกล่าวถึงบ่อยที่สุดกรณีหนึ่ง ผู้โจมตีได้แทรกคำสั่งที่ซ่อนไว้ในอีเมลเพื่อสั่งการให้ตัวแทนดำเนินการบางอย่าง ส่งข้อความไปยังซีอีโอของบริษัทสมมติแห่งหนึ่ง แจ้งการลาออกของพนักงานที่เป็นเหยื่อของการถูกทำร้าย
ในระบบเวอร์ชันก่อนหน้า โหมดเอเจนต์ เขาปฏิบัติตามคำสั่งโดยไม่ตั้งคำถามมากนักเนื่องจากระบบตีความเนื้อหาดังกล่าวว่าเป็นงานที่ถูกต้องตามกฎหมายซึ่งมาจากผู้ใช้ หลังจากมีการนำระบบป้องกันใหม่มาใช้ เบราว์เซอร์จึง... ตรวจพบว่าเป็นคำสั่งที่เป็นอันตรายที่ปลอมแปลงมา และเลือกที่จะแจ้งเตือนผู้ใช้แทนการส่งอีเมล
การสาธิตประเภทนี้มีจุดประสงค์เพื่อแสดงให้เห็นว่า ข้อความธรรมดาที่แทรกอยู่ในข้อความทั่วไป หากระบบไม่มีกลไกเฉพาะในการกรองและตรวจสอบคำสั่งซื้อที่ได้รับ อาจส่งผลกระทบอย่างรุนแรงได้
ในขณะเดียวกัน บริษัทก็ได้กล่าวถึงเหตุการณ์อื่นๆ เช่น เหตุการณ์ที่เกี่ยวข้องกับ การแทรกคลิปบอร์ดซึ่ง AI อาจคัดลอกลิงก์ที่น่าสงสัยโดยที่ผู้ใช้ไม่รู้ตัว ด้วยระบบรักษาความปลอดภัยใหม่นี้ เป้าหมายคือ Atlas ระบุและบล็อกพฤติกรรมที่ผิดปกติในห่วงโซ่การกระทำนั้นจึงช่วยลดโอกาสที่การโจมตีจะเกิดขึ้นได้
ในบริบทของยุโรป ซึ่งมีกฎระเบียบด้านการคุ้มครองข้อมูลและความปลอดภัยทางไซเบอร์ที่เข้มงวดเป็นพิเศษ กรณีการใช้งานเหล่านี้จึงทำหน้าที่เป็น สนามทดสอบชนิดหนึ่ง เพื่อประเมินขอบเขตที่สามารถบูรณาการเบราว์เซอร์ที่ขับเคลื่อนด้วย AI เข้ากับสภาพแวดล้อมขององค์กรได้โดยไม่เพิ่มระดับความเสี่ยง
ความเสี่ยงที่ยังไม่หายไป และทุกสายตาจับจ้องไปที่ยุโรป
ในแถลงการณ์ของ OpenAI นั้น ได้นำเอาหลักการต่างๆ มาใช้ น้ำเสียงที่รอบคอบและสมจริงบริษัทรับทราบว่า “เป็นไปได้ยาก” ที่การโจมตีแบบฉีดข้อมูลทันทีจะถูกกำจัดให้หมดไปได้โดยสิ้นเชิง เช่นเดียวกับที่ไม่สามารถกำจัดรูปแบบการฉ้อโกงทางอินเทอร์เน็ตทุกรูปแบบได้ ในมุมมองของพวกเขา กุญแจสำคัญอยู่ที่... ลดพื้นที่การโจมตีและผลกระทบที่อาจเกิดขึ้นแทนที่จะมุ่งมั่นเพื่อความปลอดภัยอย่างสมบูรณ์แบบ
การวินิจฉัยนี้สอดคล้องกับคำเตือนจาก หน่วยงานด้านความปลอดภัยทางไซเบอร์ของยุโรปซึ่งได้ชี้ให้เห็นมานานแล้วว่าระบบ AI เชิงสร้างสรรค์นั้นมีความเสี่ยงโดยธรรมชาติที่ต้องได้รับการจัดการอย่างต่อเนื่อง แนวทางดังกล่าวเกี่ยวข้องกับ การควบคุมทางเทคนิค นโยบายภายในที่ชัดเจน และการฝึกอบรมผู้ใช้แทนที่จะพึ่งพาอุปสรรคทางเทคโนโลยีที่ชัดเจนเพียงอย่างเดียว
ในขณะเดียวกัน บริษัทใหญ่อื่นๆ ในภาคส่วนนี้ เช่น Google หรือ Anthropic ก็เริ่มดำเนินการเช่นกัน ทบทวนโครงสร้างของตัวแทนเหล่านั้นใหม่ เพื่อผนวกรวมมาตรการป้องกันตั้งแต่ขั้นตอนการออกแบบ ความรู้สึกโดยทั่วไปในอุตสาหกรรมคือ ระบบเหล่านี้จะต้องทำงานโดยอัตโนมัติควบคู่ไปกับระบบเบรกและตุ้มถ่วงน้ำหนักเสมอ เพื่อจำกัดความเสียหายในกรณีที่เกิดความผิดพลาดขึ้น
ผู้เชี่ยวชาญด้านความปลอดภัยชี้ว่า ความเสี่ยงในเบราว์เซอร์ที่ขับเคลื่อนด้วย AI นั้นสามารถเข้าใจได้ดังนี้ ผลรวมของระดับความเป็นอิสระของตัวแทนและสิทธิ์ในการเข้าถึงทรัพยากรที่ละเอียดอ่อน (อีเมล บัญชีออนไลน์ เครื่องมือเพิ่มประสิทธิภาพการทำงาน แม้กระทั่งการชำระเงิน) ในแง่นี้ ChatGPT Atlas และโซลูชันที่คล้ายคลึงกันจึงอยู่ในพื้นที่ที่มีความอ่อนไหวเป็นพิเศษสำหรับบริษัทในยุโรปที่จัดการข้อมูลสำคัญ
ความเป็นจริงนี้บังคับให้ผู้ให้บริการและผู้ใช้ต้องเผชิญกับสถานการณ์เช่นนี้ รักษาทัศนคติแห่งความสงสัยอย่างมีเหตุผลควรใช้ประโยชน์จากระบบอัตโนมัติ แต่ควรหลีกเลี่ยงการมอบหมายการตัดสินใจโดยไม่ไตร่ตรอง เพราะอาจส่งผลกระทบทางกฎหมาย การเงิน หรือชื่อเสียงในสหภาพยุโรปได้
คำแนะนำการใช้งานอย่างปลอดภัยสำหรับผู้ใช้และองค์กร
นอกเหนือจากการปรับปรุงทางเทคนิคแล้ว OpenAI ยังได้แบ่งปันข้อมูลต่างๆ อีกด้วย คำแนะนำต่างๆ สำหรับการใช้งาน ChatGPT Atlas อย่างปลอดภัยยิ่งขึ้นออกแบบมาสำหรับทั้งผู้ใช้รายบุคคลและบริษัทที่ทดสอบโหมดเอเจนต์ในสเปนหรือประเทศอื่นๆ ในยุโรป
ประการแรก บริษัทให้คำแนะนำว่า จำกัดการเข้าถึงข้อมูลที่ละเอียดอ่อนเป็นพิเศษของเจ้าหน้าที่หมายความว่าต้องป้องกันไม่ให้เบราว์เซอร์มีสิทธิ์เข้าถึงบัญชีอีเมลขององค์กร ระบบชำระเงิน หรือแพลตฟอร์มภายในอย่างกว้างขวาง เว้นแต่จำเป็นอย่างยิ่ง ด้วยวิธีนี้ แม้ว่าการฉีดยาแบบทันทีจะประสบความสำเร็จก็ตามผลกระทบที่อาจเกิดขึ้นจึงลดลง
นอกจากนี้ยังแนะนำให้ให้ความสนใจกับสิ่งต่อไปนี้ด้วย คำขอการยืนยันโดยชัดแจ้ง ซึ่งระบบจะแสดงขึ้นก่อนที่จะดำเนินการใดๆ การตรวจสอบคำเตือนเหล่านี้อย่างรอบคอบและไม่ยอมรับโดยอัตโนมัติจะช่วยให้ผู้ใช้สามารถควบคุมได้ แนวป้องกันสุดท้าย เมื่อเผชิญกับพฤติกรรมที่น่าสงสัยซึ่งแบบจำลองอาจกรองไม่หมด
อีกหนึ่งแนวทางคือการมอบตัวแทน คำแนะนำที่ชัดเจนและกระชับแทนที่จะกำหนดงานทั่วไปมากเกินไป เช่น “จัดการอีเมลทั้งหมดของฉัน” หรือ “จัดการการเงินออนไลน์ของฉัน” การจำกัดขอบเขตงานให้แคบลงจะทำให้มีประสิทธิภาพมากขึ้น เป็นเรื่องยากขึ้นสำหรับเนื้อหาที่เป็นอันตรายที่จะเบี่ยงเบนวัตถุประสงค์ดั้งเดิมไปโดยสิ้นเชิง ของงานที่ได้รับมอบหมาย
สุดท้ายนี้ OpenAI แนะนำให้ใช้โหมดเอเจนต์ โดยเฉพาะในสถานที่ที่ผู้ใช้ไม่ได้ล็อกอินอยู่ หรืออย่างน้อยที่สุดก็ควรแยกบริบทที่ละเอียดอ่อนออกจากบริบทที่ใช้คุณสมบัติขั้นสูงของเบราว์เซอร์อย่างชัดเจน การแบ่งแยกส่วนนี้ ซึ่งเป็นเรื่องปกติในแนวทางปฏิบัติด้านความปลอดภัยที่ดี จะช่วยป้องกันไม่ให้ช่องโหว่ที่อาจเกิดขึ้นแพร่กระจายไปยังบัญชีและบริการทั้งหมด
มาตรการที่ OpenAI ประกาศออกมาแสดงให้เห็นว่า การพัฒนา ChatGPT Atlas เกี่ยวข้องกับการเพิ่มขีดความสามารถและการรักษาความปลอดภัยในการทำงานของระบบ แม้จะมีการพยายามแทรกแซงและโจมตีด้วยการแทรกโค้ดอย่างรวดเร็ว แต่การติดตั้งระบบป้องกันอย่างต่อเนื่อง การใช้โปรแกรมโจมตีอัตโนมัติ และการนำแนวทางปฏิบัติที่ดีที่สุดมาใช้โดยผู้ใช้ จะทำให้เบราว์เซอร์เป็นเครื่องมือที่ครบวงจรและน่าเชื่อถือมากขึ้น พร้อมสำหรับการใช้งานอย่างเข้มข้นในสเปนและประเทศอื่นๆ ในยุโรป โดยไม่ละเลยข้อเท็จจริงที่ว่าความปลอดภัยของปัญญาประดิษฐ์เป็นความท้าทายที่ต้องมีการปรับปรุงอย่างต่อเนื่องในอีกหลายปีข้างหน้า
