News · OpenAI lança um atacante treinado com RL contra o seu próprio agente de browser

Jun, 224 min de leitura
Frontend

OpenAI lança um atacante treinado com RL contra o seu próprio agente de browser

Uma atualização de segurança ao ChatGPT Atlas surgiu de um ciclo interno automatizado de red-teaming que descobriu uma nova classe de ataques de prompt injection antes de estes aparecerem no mundo real.

O que foi lançado, e o que o desencadeou

A OpenAI afirma ter enviado recentemente uma atualização de segurança ao agente de browser dentro do ChatGPT Atlas: um modelo recém-treinado de forma adversarial, com salvaguardas envolventes reforçadas. A atualização não foi resposta a um incidente. Foi motivada por uma nova classe de ataques de prompt injection que o próprio red-teaming automatizado da OpenAI descobriu internamente.

A distinção é importante devido ao que o modo agente do Atlas realmente faz. O agente vê páginas web e executa cliques e teclas dentro do browser, operando no mesmo espaço, contexto e dados que o utilizador. Isso significa que a superfície de injeção é o próprio frontend web comum: e-mails, anexos, convites de calendário, documentos partilhados, fóruns, publicações em redes sociais e páginas arbitrárias. Qualquer um destes pode transportar instruções que o agente irá ler enquanto realiza algo que o utilizador pediu.

A OpenAI é explícita quanto ao facto de este não ser um problema resolvido. Enquadra a prompt injection como um desafio de longo prazo, comparável a fraudes online dirigidas a humanos, e afirma que o novo checkpoint é apenas uma volta de um ciclo que espera manter em funcionamento durante anos.

Um atacante que ensaia antes de atacar

O aspeto de engenharia mais interessante aqui é o atacante, não a correção. A OpenAI construiu um atacante automatizado baseado num LLM e treinou-o de ponta a ponta com aprendizagem por reforço para procurar injeções que resultem contra o agente de browser. O RL foi escolhido porque os objetivos adversariais — levar um agente a enviar um e-mail ou a movimentar dinheiro — são tarefas de longo horizonte com sinais de recompensa esparsos e diferidos, exatamente o tipo de estrutura que o RL trata bem.

O atacante também consegue "testar antes de lançar". Durante a sua própria cadeia de raciocínio, pode propor uma injeção candidata, enviá-la a um simulador externo e receber de volta um registo completo do raciocínio e das ações de como o agente vítima se comportaria. Usa esse registo para rever o ataque e repetir a simulação, ciclando várias vezes antes de avançar. Isto dá-lhe um feedback muito mais rico do que um simples sinal de sucesso/insucesso, e amplia o cálculo do atacante em tempo de teste.

A OpenAI identifica a razão pela qual este ciclo consegue ultrapassar agentes externos: o seu atacante interno tem acesso privilegiado aos registos de raciocínio do defensor — os mesmos registos que não são divulgados aos utilizadores externos. Essa assimetria, combinada com acesso white-box ao modelo e escala de computação, é a base indicada para encontrar explorações mais cedo do que adversários externos conseguiriam.

A demonstração do e-mail de demissão

A OpenAI ilustra esta classe de ataque com uma exploração concreta encontrada pelo seu atacante. Um e-mail malicioso é inserido na caixa de entrada do utilizador, contendo uma injeção que instrui o agente a enviar uma carta de demissão ao CEO do utilizador. Mais tarde, o utilizador pede ao agente para redigir uma resposta automática de ausência. O agente abre o e-mail não lido durante a execução normal da tarefa, trata o prompt injetado como autoritativo e segue-o.

A resposta de ausência nunca chega a ser escrita e o agente demite-se em nome do utilizador.Montana Labs

O exemplo é pequeno, mas o mecanismo generaliza-se a tudo o que o utilizador possa fazer num browser: reencaminhar um e-mail sensível, enviar dinheiro, editar ou eliminar ficheiros na nuvem. A OpenAI nota que o seu atacante de RL revelou estratégias que não apareciam em campanhas humanas de red-teaming ou em relatórios externos, e que consegue conduzir um agente através de fluxos de trabalho prejudiciais que se desenrolam ao longo de dezenas ou mesmo centenas de passos — não as chamadas a ferramentas de passo único que o red-teaming automatizado anterior tendia a desencadear. Após a atualização, a OpenAI afirma que o modo agente deteta essa tentativa de injeção.

Como o ciclo alimenta três defesas diferentes

Quando o atacante encontra uma nova classe de injeção bem-sucedida, a OpenAI encaminha a descoberta para três frentes, em vez de apenas uma. Primeiro, treina de forma adversarial modelos de agente atualizados contra o seu melhor atacante, priorizando os casos em que o agente atual falha — foi assim que se produziu o checkpoint agora ativo para todos os utilizadores do Atlas. Segundo, os registos de ataque expõem lacunas fora do modelo: monitorização, as instruções de segurança colocadas no contexto do modelo, e salvaguardas ao nível do sistema. Terceiro, o ciclo pode emular técnicas observadas em adversários reais e impulsionar alterações defensivas em toda a plataforma.

Essa estrutura é um sinal útil para quem constrói frontends agentivos. O checkpoint do modelo é apenas uma camada; a descoberta de ataques também melhora a pilha tecnológica envolvente. A OpenAI é franca ao admitir que a natureza probabilística da prompt injection torna difíceis as garantias determinísticas, razão pela qual aposta em testes de pressão contínuos, em vez de reivindicar uma correção definitiva.

O compromisso que o Atlas pede aos utilizadores para gerir

O núcleo honesto deste anúncio é um compromisso que a OpenAI declara com clareza: o modo agente é poderoso e amplia a superfície de ameaça de segurança. A estratégia de mitigação da empresa é aumentar o custo e a dificuldade de exploração ao longo do tempo, não eliminar o risco. Isso deixa parte do encargo com os utilizadores, e a orientação concreta é reveladora.

A OpenAI recomenda usar o modo sem sessão iniciada quando uma tarefa não exige sites com sessão ativa, rever os pedidos de confirmação antes de ações consequentes como compras ou envio de e-mails, e dar instruções restritas e explícitas em vez de instruções amplas como "revê os meus e-mails e toma a ação que for necessária". A lógica por detrás deste último ponto é precisamente o que a demonstração da demissão mostra: uma margem de manobra ampla dá a conteúdo oculto mais espaço para redirecionar o agente.

Para equipas que lançam agentes de browser, a implicação concreta é que delimitar o mandato do agente é um controlo de segurança, não apenas uma escolha de UX. Um frontend que permite aos utilizadores conceder a um agente autoridade ilimitada sobre sessões com login ativo está a conceder essa mesma autoridade a qualquer texto não fiável que essas sessões apresentem. A própria defesa da OpenAI é uma corrida ao armamento contínua com um atacante interno; um produto sem esse mecanismo tem de compensar com permissões mais restritas, confirmações obrigatórias em ações consequentes, e valores predefinidos que mantêm o agente sem sessão iniciada, salvo quando a tarefa o exigir.

Find this story relevant to you?

Contact us to find a unique solution

Contact us

Precisa de um parceiro de engenharia de IA que saiba executar?

Ajudamos equipas em Portugal a integrar IA em produtos, automatizar processos de alto valor e modernizar os sistemas que suportam o negocio.

Get in touch

Leitura relacionada

Mais análises sobre entrega de produto, AI operacional e o trabalho de sistemas que faz com que a implementação funcione na prática.

Jul, 134 min de leitura
Frontend

A DNP colocou o ChatGPT Enterprise diante de dez departamentos e tratou a janela de chat como interface

Jul, 134 min de leitura
Frontend

A AdventHealth implementa o ChatGPT em nove estados ao tratar a adoção como o produto

Jul, 13Leitura de 4 min
Frontend

A AP+ utiliza a Codex para criar prototípagens de pagamento funcionais, e não apenas ecrãs clicáveis