OpenAI 部署网络索引防御系统对抗 AI 代理数据窃取

Alvin Lang 2026年3月3日 20:15

OpenAI 揭示新的安全架构，使用独立网络索引来防止基于 URL 的数据从 ChatGPT 和代理式 AI 系统中外泄。

OpenAI 详细说明了其技术方法，以防止 AI 代理通过 URL 悄悄泄露用户数据——随着自主 AI 系统获得网页浏览能力，这类漏洞变得越来越重要。该公司的解决方案依赖于将请求的 URL 与完全无法访问用户对话的独立网络索引进行交叉引用。

威胁简单但阴险。当 AI 代理加载 URL 时，该请求会被目标服务器记录。使用提示注入的攻击者可以操纵代理获取类似 https://attacker.example/[email protected] 的内容——用户可能永远不会注意到，因为它是静默发生的，可能作为嵌入式图像加载。

为什么允许列表失败了

OpenAI 明确拒绝了将受信任域名列入白名单的明显解决方案。两个问题：合法网站支持重定向，可能会将流量跳转到恶意目的地，而且严格的列表会产生摩擦，导致用户习惯性地盲目点击警告。

相反，该公司构建了相当于来源检查的机制。他们的独立网络爬虫以与搜索引擎相同的方式发现公共 URL——通过扫描开放网络，而不与用户数据有任何连接。当代理尝试获取 URL 时，系统会检查该确切地址是否已存在于公共索引中。

如果匹配，则自动加载继续。如果不匹配，用户会看到警告："此链接未经验证。它可能包含来自您对话的信息。"

此次披露是继 OpenAI 于2月推出"锁定模式"以禁用高风险代理功能以及针对外部链接的"高风险"标签系统之后的举措。该公司刚刚在3月初的融资轮中获得8400亿美元估值，参与方包括亚马逊、英伟达和软银，自2025年底安全研究人员成功演示数据外泄攻击以来，一直在积极修补漏洞。

OpenAI 明确承认其局限性：这些保障措施不能保证页面内容可信，无法阻止社交工程，也无法防止所有提示注入。该公司将此框架为"更广泛的纵深防御策略中的一层"，并将代理安全视为持续的工程问题，而非已解决的问题。

对于在 OpenAI API 上构建应用的开发人员或部署代理系统的企业，随附此公告的技术论文提供了值得审查的实施细节。核心见解——公共 URL 验证可以作为数据安全的代理——可能适用于 OpenAI 生态系统之外，因为整个行业正在努力保护日益自主的 AI 代理。

图片来源：Shutterstock