AI浏览器扩展：安全噩梦还是创新利器？

引言

“你们站在天才的肩膀上，还不知结果如何就急于完成一切。申请专利、打包上架，在午餐盒上发广告。然后就是卖钱，马上变现。”这句话出自《侏罗纪公园》中备受欢迎的角色马尔科姆博士。尽管他在电影中指的是科研人员匆忙复活极度危险的恐龙，但在如今的人工智能热潮中，同样的观点似乎仍然适用。实际上，目前的人工智能局势可能比《侏罗纪公园》中更为危险。在电影中，科学家们复活的恐龙至少被控制在几个岛屿上，并由一家公司管理。然而，现实中的AI"怪兽"却无处不在，无论是在可见还是触及的范围内，人人都能感受到它的存在。

距离ChatGPT发布已经过去了半年多，AI驱动的浏览器扩展程序迅猛发展。在ChromeWebStore中搜索“AI”，屏幕上会显示出密密麻麻的数百个选项，让人眼花缭乱。然而，这些AI浏览器扩展也带来了各种安全风险。有些扩展本身就是恶意软件，借AI之名窃取用户数据；还有一些通过复制粘贴隐私策略来进行隐秘操作；当然，也有一些来自备受尊重和认可的品牌厂商。

安全风险与最佳实践

本文将重点关注员工如何使用AI技术，企业又该怎样管理这种技术渗透。我们将讨论三种常规安全风险类别，并探讨价值评估和应用限制方面的最佳实践。

恶意软件冒充AI浏览器扩展

AI浏览器扩展带来的头号风险，在于其中不少程序本身就是恶意软件。3月8日，Guardio报告称名为“快速访问ChatGPT”的Chrome扩展程序会劫持用户的Facebook账户，并窃取“存储在浏览器中的所有cookies——包括安全和会话令牌……”。更糟糕的是，尽管该扩展仅在Chrome商店上架一周，但每天仍有超2000用户下载。作为对报告的回应，谷歌删除了这款扩展，但更多扩展仍在不断涌现。而且各大主要平台似乎也没有监管这部分新技术的意愿或者能力。

合法AI扩展的安全风险

即使是最铁杆的AI支持者，也不能否认恶意浏览器扩展带来的风险。我们应当尽一切努力劝阻人们盲目下载。但说到合法AI浏览器扩展中的安全风险时，情况往往变得更复杂且充满争议。以下是一些潜在的安全问题：

• 共享给生成式AI工具的敏感数据，可能被纳入训练数据、甚至被其他用户看到。我们讲个简单的小故事：假设你是一位企业高管，想给战略报告中加点料，所以使用AI驱动的浏览器扩展对文本做了润色。第二天，最大竞争对手的另一位高管要求AI猜测你们公司的战略是什么，接触过报告内容的AI很快给出了极为详尽且逻辑完整的答案！对此类泄密的担忧，已经促使Verizon、亚马逊和苹果明令禁止或严格限制员工使用生成式AI。
• 浏览器扩展或AI企业本身面临数据泄露风险。公平地讲，任何一家合作供应商都无法彻底回避安全风险。但需要注意的是，行业中的龙头之一已经掉过坑。今年3月，OpenAI宣布发现一个bug，“导致某些用户会看到其他活跃用户聊天记录中的标题”，“某些用户会看到其他活跃用户的姓名、电子邮件地址、寄送地址”等付款信息。
• 版权、抄袭和法律问题仍是一团乱麻。从GitHubCopilot首次亮相的那一刻起，版权、抄袭和法律问题就始终悬在其头顶。LLM经常会生成与人类原作者高度相似的图片、文本和代码。目前还没有法律条款明确规定这是否构成侵权，但其中的危险相信大家都感受得到。另外还有输出代码本身的质量问题——LLM经常胡写一通，甚至照搬众所周知的安全漏洞。

即时注入攻击

最后，咱们聊聊最为可怕的一种新兴威胁：网站通过接入的AI工具窃取数据。从LLM的固有特性来看，这类提示词注入攻击似乎永远无法消除。简而言之：LLM的基本用法就是根据输入的内容自动做出下一步决策。但如果这些输入本身就存在恶意，那LLM可能在诱导之下做出任何举动，甚至包括开发团队明确禁止的行为。

面对风险，唯一真正安全的选择就是：永远不要将联网AI接入关键服务或数据源。在诱导之下，AI可能输出任何它访问过的东西，而且这个问题根本就没有已知有效的解决方案。在答案出现之前，企业和员工都应当保持谨慎。定义哪些是“关键”数据和应用，并在制定政策时与员工充分沟通。这些应当成为任何AI项目的基本前提。

最佳实践

即使完成了前期培训，我们也不能指望员工像专家那样熟悉各类扩展程序的隐私政策。因此，最安全的选择是根据具体情况将部分扩展列入白名单。哪怕无法彻底禁绝风险，我们也至少该从中挑选出相对更安全的选项，这也能避免员工因行动受限而选择影子IT这种更难管理的路线。在挑选扩展时，务必选择那些明确承诺不会将用户数据输入其模型的产品。

管理员还可以编写自定义检查，根据实际需求阻止个别扩展。同样的，简单的阻断显然不会是管理政策的最终形态，管理者应该就选择工具的原因、有没有更安全的替代选项等问题与员工主动对话。但如果之前就检测并阻断了用户安装的扩展程序，那双方的对话过程难免会有些尴尬。