人工智慧(AI)代理工具的資安疑慮日益浮現。資安業者近期揭露,Google 旗下用於檔案系統操作的 AI 代理開發工具 Antigravity 存在嚴重漏洞,恐導致遠端程式碼執行。與此同時,OpenAI 新推出的桌面 AI 助理 Chronicle 因其螢幕截圖數據收集機制,也引發資料隱私與提示注入的風險。這些案例警示企業,需嚴肅看待新興 AI 工具帶來的資料安全挑戰。
Google AI 代理工具漏洞曝光
資安業者 Pillar Security 的研究人員揭露,Google 旗下用於檔案系統操作的 AI 代理開發工具 Antigravity 存在一項關鍵漏洞。這項漏洞結合了「提示注入」(prompt injection)手法與 Antigravity 的檔案建立功能,使攻擊者即使在最高安全設定「安全模式」(Secure Mode)下,也能執行遠端程式碼。安全模式原旨在沙盒環境中執行指令、限制網路存取並禁止在工作目錄外寫入程式碼。
Pillar Security 的 AI 資安研究員 Dan Lisichkin 指出,此漏洞利用 Antigravity 使用的「find_by_name」原生系統工具,在安全防護機制啟動前執行,導致安全邊界無法攔截惡意指令。Dan Lisichkin 進一步說明,這意味著攻擊者可以在安全意識高的使用者依賴的配置下,達成任意程式碼執行。攻擊者可透過受損的身份帳戶,或將惡意指令隱藏在 AI 代理工具讀取的開源檔案或網路內容中,來進行提示注入攻擊。他強調,AI 代理工具難以區分用於提供上下文的資料與字面上的指令,這使得攻擊者無需提升權限即可發動攻擊。
Pillar Security 已於今年 1 月 6 日向 Google 通報此漏洞,Google 則於 2 月 28 日修復並頒發了抓漏獎金。研究人員強調,這種透過未經驗證輸入進行提示注入的模式,也曾見於其他 AI 程式編碼工具,例如 Cursor。
OpenAI Chronicle 資料隱私與資安風險
OpenAI 近期為其 Mac 版 Codex 推出名為 Chronicle 的研究預覽功能,旨在提供環境感知 AI 助理。此功能會定期截取使用者 Mac 螢幕截圖,並上傳至 OpenAI 伺服器進行光學字元辨識(OCR)與視覺分析,以產生螢幕活動的文字摘要。這些摘要以未加密的 Markdown 檔案形式,永久儲存於使用者本機的特定目錄。
OpenAI 總裁 格雷格·布羅克曼(Greg Brockman)曾形容此功能「用起來出奇地神奇」,能自動為 AI 提供使用者活動的完整上下文。然而,資安專家擔憂其潛在風險。雖然 OpenAI 表示原始螢幕截圖僅暫存六小時後刪除,且不會用於模型訓練,但惡意網站內容仍可能被 Chronicle 截取並誤判為指令,導致提示注入。此外,本地儲存的未加密記憶檔案可能包含敏感資訊,一旦裝置遭入侵,將直接洩露。Chronicle 目前不適用於歐盟、英國和瑞士地區,且需每月支付 100 美元以上的 ChatGPT Pro 訂閱費用。
此功能也引發業界對「環境感知 AI」(ambient AI)的安全疑慮。過去微軟(Microsoft)的 Copilot 訂閱用戶曾因信任問題減少 39%,其 Recall 功能也曾被發現加密資料庫可遭利用。高德納諮詢公司(Gartner)預測,到 2026 年將有超過四成大型企業部署環境智慧試點,凸顯此類技術的資安挑戰將越發嚴峻。
企業應警惕 AI 代理工具的資安風險
Pillar Security 的 Dan Lisichkin 警告,每個進入 Shell 指令的原生工具參數都可能是潛在的注入點。他強調,對這類漏洞進行審計已不再是可選項目,而是安全部署代理功能的前提。對於台灣企業而言,隨著 AI 代理工具日益普及於程式開發與日常作業中,如何確保其在處理敏感程式碼和企業資料時的安全性,已成為刻不容緩的資安議題。企業應審慎評估引進 AI 代理工具的風險,並採行嚴格的資安政策與技術控制措施,以防範資料洩漏及系統被濫用。
