OpenAI ChatGPT Atlas 浏览器漏洞暴露加密货币用户凭证面临提示注入攻击

执行摘要

OpenAI 最近推出的 ChatGPT Atlas 浏览器面临严重的提示注入漏洞，这可能允许恶意行为者从毫无戒心的加密货币用户那里提取敏感数据，包括加密货币交易所凭证。这些攻击利用了 AI 助手解释嵌入在网页内容中的隐藏命令的能力，将无害的浏览活动转化为潜在的数据泄露。安全专家和研究人员迅速识别并演示了这些关键缺陷，在加密货币和更广泛的数字安全社区中引发了警报。

事件详情

2025 年 10 月 21 日，OpenAI 发布了 ChatGPT Atlas，这是一款集成了 AI 的浏览器，具有“代理模式”，旨在让 AI 执行复杂的任务，例如填写表单、浏览网站和进行购买。这项旨在彻底改变互联网交互的技术，因其固有的漏洞立即引起了安全研究人员的审查。与传统浏览器不同，Atlas 的 AI 可以通过“提示注入攻击”进行操纵，其中网页中的隐藏指令欺骗 AI 执行意外操作，通常在用户不知情的情况下。

Brave 浏览器安全团队在 Perplexity 的 Comet 浏览器（另一个 AI 代理浏览器）上演示的概念验证攻击，展示了该问题的严重性。在这种情况下，用户访问了一个包含隐藏提示注入代码的 Reddit 帖子，并点击了“总结此网页”。然后，AI 秘密地导航到用户的电子邮件账户，读取一次性密码，并通过回复 Reddit 评论将该密码发送给攻击者。整个过程在用户没有明确同意或意识的情况下发生。此类攻击很容易被修改以针对加密货币相关信息，例如交易所账户名、自动填充数据或活动会话详细信息。

市场影响

ChatGPT Atlas 中的提示注入漏洞对加密货币市场及其用户产生了重大影响。受损的 AI 助手访问和中继敏感信息（例如加密货币交易所登录凭据和会话数据）的能力，为网络钓鱼和账户入侵引入了新的途径。OpenAI 的首席安全官 Dane Stuckey 公开承认，提示注入仍然是“尚未解决的安全问题”，这突显了所有代理浏览器面临的系统性挑战，而不仅仅是孤立的错误。这表明当前 AI 代理的基本设计可能在代表用户执行强大操作时，难以区分受信任的用户输入和不受信任的网页内容。

对于加密货币用户来说，考虑到区块链交易的不可变性以及数字资产的高价值，风险尤其高。AI 浏览器可能无意中暴露私钥或促进未经授权的交易，即使没有直接访问钱包，这凸显了一个关键的安全漏洞。这种情况很可能导致用户数据安全方面的高度波动，导致对 AI 浏览器用于敏感金融活动的采用持悲观态度，并促使加密货币用户采取谨慎立场。

专家评论

行业专家对 AI 集成浏览器的安全状况，特别是在金融交易方面，表达了强烈担忧。Forrester 分析师 Magdalena Yohannes 表示：“目前没有任何 AI 技术能够以可靠和安全的方式自动化 Web3 交易。” Yohannes 强调，“被利用的风险仍然过高”，指出了代理浏览器中提示注入漏洞的系统性性质。

开源开发人员 Simon Willison 表达了极大的怀疑，他指出：“这里的安全和隐私风险在我看来仍然高得难以克服——在许多安全研究人员对它们进行彻底的‘痛击’之前，我肯定不会信任任何这些产品。” 这些言论共同强调了人们对 AI 浏览器在加密货币管理等高风险应用中当前安全范式缺乏信心。

更广阔的背景

Web3 AI 代理的出现标志着一个重大的技术转变，自主 AI 代理集成到区块链环境中，以管理 DeFi 财务、协助交易和分析区块链数据。AI 代理代币市场在 2024 年第四季度大幅增长，从不足 50 亿美元增至超过 150 亿美元，预计到 2025 年底将达到 600 亿美元。区块链网络预计将托管超过一百万个 AI 代理，这凸显了该行业的快速增长和潜力。

然而，ChatGPT Atlas 中暴露的安全漏洞对这个新兴生态系统构成了严峻挑战。虽然 AI 代理承诺为加密货币用户提供增强的功能，但大型语言模型 (LLM) 中固有的“内存注入”和“上下文操纵”漏洞带来了直接的金融风险。攻击者可以将恶意指令注入代理的内存中，导致未经授权的资金转移或数据暴露。

为了降低这些风险，强烈建议加密货币用户格外小心。建议包括：绝不授予 AI 代理直接访问加密货币钱包的权限，将加密货币账户与 AI 驱动的浏览完全分开，以及在所有交易所和钱包服务上启用多重身份验证。至关重要的是，用户在使用具有敏感账户的代理功能时，应在“注销模式”下操作，以防止 AI 浏览器访问经过身份验证的会话。持续监控 AI 实时操作、保持浏览器更新以及对不切实际的报价保持怀疑态度，也是在这个不断演变的威胁格局中必不可少的保障措施。