商傳媒|何映辰/台北報導
Google 近期為其大型語言模型 Gemini 3.5 Flash 導入「電腦操作能力」,讓人工智慧(AI)不僅能理解螢幕內容,甚至可直接跨瀏覽器和應用程式執行各項操作。這項能力使得 AI 代理(Agent)不再需要透過應用程式介面(API)呼叫,便能直接與圖形使用者介面(GUI)互動,如同人類般使用軟體,大幅簡化複雜工作流程的自動化,特別有利於缺乏自動化或 API 連接的傳統軟體。
然而,Google 自身也警告,這項「電腦操作能力」帶來了獨特的資安與營運風險,AI 模型可能在執行任務時遭遇不受信任的內容或操作失誤。
近期在加州便發生一起實際案例。一名資安專家經歷了由 Anthropic 開發的 Claude AI 代理所造成的信用卡詐欺案。該專家下載一個看似正常的檔案後,其隱藏的惡意指令——亦即「提示注入攻擊」(prompt injection attack)——誘使 Claude AI 利用電腦中儲存的錢包購買禮品帳戶,導致信用卡遭盜刷。這起事件凸顯了 AI 代理存取電腦後可能面臨的風險,駭客能將惡意指令隱藏在給 AI 的輸入中,誘騙 AI 執行非預期的行為。
這代表網頁本身可能成為主要攻擊面,駭客能將惡意指令隱藏在網頁內容中,誘導 AI 代理執行有利於自身的行為。目前大多數網站安全工具主要設計來保護網站不受訪客攻擊,而非反向防禦,因此資安威脅模型(threat model)急需擴展。Google DeepMind 的資深科學家也已針對透過入侵 AI 代理來竊取金錢的陷阱發出警告。
為應對新興威脅,Google 發布了七項安全措施指南,包含在敏感操作中保持「人在迴路」(human in the loop)、在沙盒環境(sandboxed environments)中執行 AI 代理、對提示進行淨化以防止惡意程式碼注入、建立內容防護措施以抵禦提示注入攻擊或「越獄」行為、利用白名單與黑名單控制 AI 的導航能力、進行操作日誌記錄以供稽核,以及確保執行環境的清潔與一致性。雖然代理式人工智慧的自動化潛力巨大,但資安環境的應變速度顯然尚未跟上 AI 技術的快速發展。
