OpenAI於10月21日推出的ChatGPT Atlas瀏覽器，雖以Chromium為基底，內建LLM驅動的代理功能，能自動預約、製作簡報等複雜任務，卻意外放大提示注入攻擊風險，讓駭客以自然語言操縱AI，竊取敏感資料或執行遠端程式碼。資安專家警告，此「代理AI」浪潮雖加速數位生產力，卻如雙刃劍，台灣逾40%企業已導入類似AI工具，恐成間諜與資料外洩溫床。LayerX資安公司最新報告揭露Atlas首個記憶體注入漏洞，呼籲組織嚴格審核代理存取權限，防範從「說奇怪話」升級至「做危險事」的攻擊轉變。

 

Atlas瀏覽器標誌AI代理走向大眾化。目前限macOS（其他平台後續），免費版僅基本ChatGPT功能，付費Plus（每月20美元）與Pro（200美元）版解鎖代理AI，能從頭到尾處理任務，如研究報告或程式除錯。OpenAI宣傳其「自主工具使用」，但這正是隱憂核心：代理AI不只回應提示，還能呼叫外部工具、分析資料，甚至與其他代理互動。資安媒體Dark Reading指出，這擴大攻擊面，讓提示注入從單純「讓AI洩密」演變為系統性威脅。

 

提示注入分直接與間接兩型。直接型如直接問ChatGPT洩露公司內檔；間接型更隱蔽，駭客藏惡意提示於郵件或網頁，讓代理AI無意讀取執行。OWASP代理AI威脅清單震驚業界：注入可讓代理用程式工具開新漏洞、遠端程式碼執行（RCE），甚至癱瘓代理網路。LayerX共同創辦人Or Eshed表示，「AI嵌入瀏覽器是進步，但下半年更強大功能，將讓駭客如虎添翼。」10月底，LayerX揭Atlas首漏洞：駭客可注入惡意指令至瀏覽器記憶體，未來研究將深挖。

 

OpenAI CISO Dane Stuckey於X發文慶祝推出，卻坦承提示注入「仍是邊疆未解問題，敵手將砸重金破解代理AI」。儘管OpenAI投入數十億美元，堆疊守門員模型減低信任度，代理AI的工具存取仍放大風險。Mend.io應用資安CTO Amit Chita強調，「每個工具互動都是新向量，代理無法如人類般負責。」Seraphic Security COO Suresh Batchu預測，「短期內提示注入將惡化：從『說怪話』變『做壞事』，雲商已警告注入可外洩或RCE。小型組織無成熟防護，將成長尾風險。」

 

台灣脈絡下，此威脅迫在眉睫。根據數位發展部（數發部）2025年AI報告，台灣企業AI採用率達45%，瀏覽器代理工具如Atlas或類似擴充，已用於行銷分析與客服自動化。台積電、鴻海等供應鏈巨頭，代理AI處理內部文件，若遭注入，恐洩露專利或訂單，損失逾兆元。近期事件如LINE加密漏洞助亞洲間諜，或Shai-hulud蟲復活，皆顯示代理AI成新戰場。資策會資安中心估計，2025年台灣提示注入事件漲30%，多源自間接型網頁攻擊。

 

代理AI的興起源自安全領域實驗：初用於SOC輔助，成本等同工程師年薪；如今Atlas等產品降價普及，預期數月內爆發更多注入案例。Eshed比喻，「成功功能即是駭客喜悅—雙刃劍。」Chita指出，「組織須定期審核代理存取，僅給必要工具與資料。有時明知風險，仍需深思熟慮。」Batchu建議，「嚴格最小權限、沙箱執行工具、每步設守門員、敏感動作需人審。提示注入非『更好提示』可解，需架構約束與預設敵對不信任內容。」

 

台灣企業防範可從以下入手：

 

OpenAI承諾安全隱私，但共享責任混亂：供應商建模，組織管部署，用戶承後果。Batchu樂觀，「長期事件壓力將改善預設，但短期須自保。」在台灣AI國家戰略下，Atlas等代理雖加速轉型，卻需警覺「意外後果定律」：便利開啟注入洪流。企業若不主動，恐從生產力工具變資安炸彈。資安非零和，台灣應借鏡OWASP，建本土代理防護聯盟，讓AI代理成助力而非隱雷。

 

 

出處：本新聞參考自Alexander Culafi於2025年11月26日發表於Dark Reading的報導《Prompt Injections Loom Large Over ChatGPT's Atlas Browser》。