该公司测试了123个案例,代表29个不同的攻击方案,当使用浏览器使用而无需安全衰减时,攻击率为23.6%。
一个示例涉及一封恶意电子邮件,要求Claude删除用户的“邮箱卫生”目的的电子邮件。克劳德(Claude)无保证,遵循这些说明并删除了未经确认的用户电子邮件。
人类人士说,他已经实施了几项防御措施来应对这些漏洞。用户可以通过网站授权授予或撤销Claude访问特定网站的访问。在Claude采取高风险动作之前,该系统需要用户确认,例如出版,购买或共享个人数据。该公司还阻止了克劳德(Claude)默认情况下访问提供金融服务,成人内容和黑客的网站。
这些安全措施在自主模式下将攻击率降低了23.6%至11.2%。在针对浏览器攻击的四项特定的专门测试中,新的衰减将从35.7%降低到0%。
独立的IA研究员西蒙·威利森(Simon Willison)在很大程度上写了关于IA安全风险的文章,并在2022年发明了“快速注射”一词,称其为11.2%的攻击率剩余的“灾难性”,写在他的博客上,“在没有100%可靠的保护的情况下,我发现很难想象一个很好的想法可以使这种模型释放出这种模型”。
通过“模型”,威利森指的是将AI代理集成到Web浏览器中的最新趋势。他在上一篇有关《困惑彗星》中最近发现的类似注射安全问题的文章中写道:“我强烈期望代理商浏览器扩展的整个概念是致命的,无法安全地建造。”
安全风险不再是理论上的。上周,Brave的安全团队发现,可以欺骗Comet de Perplexity浏览器,以访问用户的Gmail帐户,并通过隐藏在Reddit Publications中的恶意说明触发密码恢复流。当用户要求彗星总结一下线程Reddit时,攻击者可以集成不可见的订单,这些订单要求AI在另一个选项卡中打开Gmail,提取用户的电子邮件地址并执行未经授权的操作。尽管困惑试图修复脆弱性,但Brave后来确认他的衰减被击败,安全漏洞仍然存在。
目前,人类计划使用其新的搜索概述来识别和处理在现实世界中使用现实世界中出现的攻击模型,然后才能使Chrome扩展更广泛地使用。在没有AI提供商的良好保护的情况下,安全负担落在了用户身上,用户通过在开放网络上使用这些工具承担着很大的风险。正如威利森(Willison)在他关于克劳德(Claude)Chrome的文章中指出的那样,“我认为最终用户对安全风险做出很好的决定是不合理的。”