תוך יום מההשקה: פרצת אבטחה התגלתה בדפדפן החדש של OpenAI
חוקרי אבטחה הצליחו להחדיר פקודות זדוניות ל-ChatGPT Atlas. סמנכ"ל אבטחת המידע של החברה הודה: "הוא חשוף למתקפות"
תמונה: OpenAI
חברת הבינה המלאכותית OpenAI עשתה השבוע צעד משמעותי במאבק שלה נגד Google Chrome עם השקת דפדפן ה-AI שלה – ChatGPT Atlas. אבל מה שהתחיל בקול תרועה, זכה ללא מעט הרמות גבה ביממה האחרונה, כאשר סמנכ"ל אבטחת המידע של החברה נאלץ להודות כי למרות שהדפדפן רק הגיח לאוויר העולם הוא כבר חשוף למתקפות Prompt Injection שונות.
"אחד הסיכונים החדשים שאנו בוחנים ומנסים למזער הוא Prompt Injection – מצבים שבהם תוקפים מטמיעים הוראות זדוניות באתרים, מיילים או מקורות אחרים, כדי לגרום לסוכן לבצע פעולות לא צפויות", כתב דיין סטאקי בפוסט שפרסם ברשת החברתית X (לשעבר טוויטר). לטענתו, היעד של החברה הוא לאפשר למשתמשים לסמוך על סוכן ה-AI שלה "כמו על עמית או חבר שמודע לסיכוני אבטחה", אך גם הוא מסכים כי אטלס עדיין לא שם: "להשקה הזו ביצענו בדיקות נרחבות ואימנו את המודל להתעלם מהוראות זדוניות, אבל Prompt Injection הוא עדיין אתגר פתוח בעולמות האבטחה, ויש מי שישקיע זמן ומשאבים כדי לגרום לסוכן שלנו להיכשל".
Yesterday we launched ChatGPT Atlas, our new web browser. In Atlas, ChatGPT agent can get things done for you. We’re excited to see how this feature makes work and day-to-day life more efficient and effective for people.
ChatGPT agent is powerful and helpful, and designed to be…
— DANΞ (@cryps1s) October 22, 2025
לדבריו, כחלק ממערכי ההגנה שהחברה הכניסה ל-Atlas, נמצא מצב עבודה חדש בשם "Logged out mode" שמאפשר לסוכן לעבוד עבור המשתמש, אך ללא גישה לפרטי ההתחברות, וסטאקי ממליץ להשתמש בו כשאין צורך בפעולה בתוך חשבונות אישיים. לטענתו, מצב "Logged In" מומלץ לעבודה כיום רק בפעולות באתרים אמינים במיוחד, בהם הסיכון למתקפה נמוך. לדוגמה, להוסיף מצרכים לעגלה באתר קניות נחשב בטוח יותר מהוראה כללית כמו: "סקור את כל המיילים שלי ופעל בהתאם".
לא הדפדפן היחיד שנופל למתקפה
חשוב לזכור כי למרות ש-Atlas הוא הצעצוע החדש על המדף, הוא לא דפדפן ה-AI הראשון, ומשכך לא מעט פרצות אבטחה כבר נחשפו ותועדו על ידי מומחי אבטחה ומשתמשים שונים. רק לאחרונה חשפה חברת LayerX הישראלית פרצה בדפדפן Comet של פרפלקסיטי. מדובר בפרצת "Zero-click indirect prompt injection" – מתקפה שמאפשרת להזריק פקודות למנוע ה-AI דרך כתובת האתר עצמה (ולא דרך תוכן הדף), ולגרום לו לפעול בשם התוקף.
פרצות Prompt Injection נחשבות לפופולריות במיוחד בתחום דפדפני ה-AI ורק השבוע נחשף בדיוק עד כמה. במקביל להשקת Atlas פורסם דוח מיוחד של חברת Brave Software, שמפעילה את דפדפן Brave, המבוסס על קוד פתוח ושם דגש על פרטיות המשתמשים בו. על פי חוקרי החברה, Prompt Injection היא אתגר מערכתי שמאפיין את כל דפדפני ה-AI – בדגש על מתקפת Indirect Prompt Injection, המבוססת על חשיפה של מודל ה-AI לתוכן שאותו הוא מפרש כחלק מההוראות שניתנו לו, במקום מידע שאותו הוא אמור לנתח.
מתקפה נוספת המכונה Image Scaling מדגימה עד כמה האיום מורכב. במתקפה זו תוקפים מסתירים הוראות זדוניות בתוך תמונות שנראות תמימות לחלוטין לעין אנושית, אבל הופכות לגלויות למודל ה-AI רק לאחר שהדפדפן מבצע Scaling לתמונה לפני שהוא מעביר אותה למודל לעיבוד. כך, סוכן ה-AI עלול לקרוא פקודה מוסתרת בפיקסלים של תמונה, ולפעול לפיה מבלי שהמשתמש כלל יבחין בכך שהונדס לתת פקודה זדונית. לדוגמה, תמונה של מוצר פרסומי באתר קניות עלולה להכיל פקודה סמויה שתגרום לסוכן ה-AI להדליף את היסטוריית הגלישה של המשתמש.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
אטלס הושק לפני יומיים, ו-24 שעות לאחר מכן כבר עלו הגילויים על הפריצה. כך למשל כתב המפתח CJ Zafir (עם כ-50 אלף עוקבים ברשת X) כי הוא מחק את הדפדפן לאחר שגילה ש"prompt injections אמיתיים לחלוטין". חוקר אבטחה נוסף בשם יוהאן רהברגר פרסם הדגמה דומה ב-Google Docs – שבה ההוראה הזדונית גרמה לאטלס לעבור ממצב כהה (Dark Mode) למצב בהיר (Light Mode).
לדברי רהברגר, OpenAI כבר יישמה מנגנוני הגנה יעילים אך תוכן ממוקד היטב באתרים עדיין יכול להטעות את Atlas ולגרום לו להפיק טקסט או לבצע פעולות בפועל למען תוקף. החוקר הדגיש שלמרות ש-OpenAI מודעת לאיומים ולסכנות ופועלת למצוא פתרונות, אנחנו נמצאים רק בתחילת המסע של דפדפני AI ולכן "רוב הסכנות אפילו לא נחשפו עדיין".
אז נכון, בכל שימוש בטכנולוגיה יש מרכיב של סיכון ואף פעם אין באמת אפשרות להיות בטוחים ב-100%, אבל כשמלחמת הדפדפנים עוברת לקרב בין דפדפני AI, כדאי מאוד לשים לה אילו פקודות אתם מזינים לסוכן ה-AI שלכם. ובינתיים, רק כדי להיות קצת יותר בטוחים שהמידע שלכם נשאר שלכם, שווה שתציצו גם בטיפים של החברים ב-Geektime על ההגדרות שכדאי מאוד שתשנו בדפדפן החדש, כי לכל היכולות הללו יש בסופו של דבר מחיר, ומאחר שהמוצר הוא חינמי, כולנו יודעים שאתם המוצר.
