—
AI pretraživači poput OpenAI-ovog Atlasa otvaraju novu era interakcije s internetom, ali s njima dolaze i neveridiči izazovi. Prompt injection – vrsta napada koja manipulira AI agentima da izvrše štetne radnje skrivene u web stranicama, e-mailovima ili chatovima – postaje sve opasnija. Iako OpenAI tvrdi da je sigurnost prioritet, priznaje da je to problem koji nikad nećemo potpuno riješiti. Zašto? Kako se bori protiv njega? I što to znači za nas, korisnike?
—
Zašto prompt injection nikad nećemo eliminirati – i zašto je to problem?
OpenAI u svom nedavnom blogu izjavio je da prompt injection nije samo tehnološki problem, već i ljudski. Kao što su phishing i socijalno inženjerstvo postali dio interneta, i ovi napadi će ostati s nama. Razlog? AI agenti su previše fleksibilni – mogu izvršavati sve što im naložimo, čak i ako su nalozi skriveni u neočekivanom kontekstu.
Kako prompt injection radi – primjeri iz stvarnog života
Pretpostavimo da primate e-mail od “poslovnog partnera” koji vam piše:
“Pogledajte ovu stranicu za vaše zadatke za sutra – važno je da ih obavite prije podne!”
Ako je vaš AI pretraživač u “agent mode”-u, može automatski otvoriti stranicu i izvršiti naložene radnje, čak i ako su one štetne. Primjeri iz praxe:
– ChatGPT Atlas je ranije bio osjetljiv na male promjene u Google Docs-u koje bi ga prisilile da mijenja ponašanje.
– Brave browser je u svom blogu upozorio da je indirektni prompt injection opasnost za sve AI pretraživače, uključujući i Perplexity-ov Comet.
– U.K.-ova Nacionalna agencija za sigurnost (NCSC) je u svom izvješću izjavila da nikad nećemo potpuno eliminirati ove napade, već samo smanjiti njihove posljedice.
Zašto je to tako teško riješiti?
1. AI agenti su previše samostalni – ako im dajemo široke ovlasti (npr. da čitaju e-maile, upravljaju dokumentima), lako ih možemo manipulirati.
2. Napadači su kreativni – svaki put kada se poboljša sigurnost, oni pronalaze novi način da probiju zaštitu.
3. Ljudska greška – čak i najbolji algoritmi ne mogu prepoznati sve oblike socijalnog inženjerstva.
—
Kako OpenAI bori protiv prompt injection-a – njihova strategija
OpenAI nije ostao bez radnji. Nakon što su sigurnosni istraživači pokazali kako lako se može manipulirati Atlas, kompanija je uložila velike napore u poboljšanje zaštite. Kako to radi?
1. “LLM-based automated attacker” – AI protiv AI
OpenAI je stvorio automatizirani napadački bot koji se trenira kao hacker. Ovaj bot:
– Simulira napade – testira kako bi AI reagirao na različite manipulacije.
– Uči od svojih grešaka – ako pronađe novu metodu napada, može je iskoristiti za poboljšanje sigurnosti.
– Brže otkriva praznine – jer ima pristup unutrašnjosti AI-a, može pronaći slabosti koje ljudski napadači ne bi vidjeli.
Primjer iz praxe:
Bot je uspjeo skriti maliciozni e-mail u korisnikovom inboxu. Kada je AI agent kasnije pročitao e-mail, automatski je izvršio naložene radnje – umjesto da piše “out of office” poruku, poslao je rezignaciju. Nakon sigurnosnog update-a, Atlas je uspješno prepoznao napad i obavijestio korisnika.
2. Brži ciklus ažuriranja – sigurnost u realnom vremenu
OpenAI ne čeka dok se napadači ne probiju kroz zaštitu. Umjesto toga:
– Testira nove napade u simulaciji – prije nego što se pojave u stvarnom svijetu.
– Ažurira zaštitu u nekoliko sati – umjesto mjesecima.
– Sarađuje s trećim stranama – već od lansiranja Atlasa radi na poboljšanju sigurnosti.
Problem? OpenAI ne dijeli točne statistike koliko je napada uspješno spriječeno, ali tvrdi da su vidljivi pozitivan trend.
3. Višeslojna obrana – ne samo jedan zaštitni štit
Niti jedna kompanija ne vjeruje da će jedan algoritam riješiti sve. Stoga OpenAI kombinira više pristupa:
✅ Reinforcement learning (AI koji uči od napada)
✅ Prepoznavanje ponašanja (detektiranje neobičnih radnji)
✅ Potvrde od korisnika (pre nego što izvrši kritičnu radnju)
✅ Ograničenje pristupa (neke radnje zahtijevaju ručno potvrđivanje)
—
Što misle stručnjaci – sigurnost AI pretraživača u pitanju?
Sigurnosni istraživači kao što je Rami McCarthy (Wiz) smatraju da je problem autonomija + pristup. AI agenti poput Atlasa imaju:
– Umjerenu autonomiju (može samostalno raditi, ali ne i bez nadzora)
– Visoki pristup (može čitati e-maile, upravljati dokumentima, slati poruke)
Kako smanjiti rizik?
✔ Ograničiti logirani pristup – manje ovlasti = manje mogućnosti za manipulaciju.
✔ Zahtijevati potvrdu korisnika – prije izvršenja kritičnih radnji.
✔ Koristiti višeslojne kontrole – kombinacija algoritama i ljudske nadzore.
McCarthyova ocjena:
“Agentic browsers su u zoni visokog rizika. Najbolje rješenje je balansirati autonomiju i pristup – ne dati im previše slobode, ali ih i ne ograničavati previše.”
—
Kako se zaštititi kao korisnik – što možete učiniti?
Iako OpenAI i drugi razvijače radimo na sigurnosti, vi kao korisnici možete smanjiti rizik. Evo nekoliko savjeta:
1. Budi oprezan s neobičnim naložima
– Ako primate e-mail ili poruku koja vam kaže: “Izvrši ovu radnju automatski”, uvijek provjerite.
– Ne klikajte na suspektne linkove – čak i ako vam kaže da je “siguran”.
2. Koristi “agent mode” s umjerenošću
– Ako koristite AI pretraživač u “agent mode”-u, ograničite njegove ovlasti.
– Možete postaviti pravila kao što su: “Ne smije slati e-maile bez moje potvrde”.
3. Ažuriraj svoj AI pretraživač
– Kompanije poput OpenAI, Google i Brave redovno ažuriraju zaštite.
– Uključite automatske ažuriranja da biste bili sigurni da imate najnovije sigurnosne patch-eve.
4. Koristi dodatne sigurnosne alate
– Antivirusne alate koji prepoznaju maliciozne stranice.
– Sigurnosne proširene za pretraživače (npr. u Brave browseru).
– Dvostruko potvrđivanje za vaše račune.
—
Zaključak: Prompt injection je problem, ali ne i kraj svijeta
Prompt injection je realan i opasan, ali nije nepremostiv. OpenAI i drugi razvijači AI tehnologija rade na poboljšanju sigurnosti, ali nikad nećemo doći do 100% zaštite. Zašto? Jer ljudska kreativnost u napadačima uvijek će nadmašiti algoritme.
Što možemo učiniti?
✔ Biti svjesni rizika – ne pretpostavljati da je sve sigurno.
✔ Koristiti sigurnosne najbolje prakse – ograničavati ovlasti, ažurirati alate.
✔ Podržavati razvoj sigurnijih AI rješenja – komentirati, piti stručnjacima, pratiti ažuriranja.
AI pretraživači poput Atlasa otvaraju novu era interakcije s internetom, ali s njima dolaze i novi izazovi. Sigurnost nije samo problem tehnologije – to je i naš problem. Ako budemo oprezni i informirani, možemo minimizirati rizike i uživati u prednostima koje nam AI donosi.
—
FAQ: Odgovori na najčešća pitanja o prompt injection-u
1. Što se događa ako moj AI pretraživač bude izložen prompt injection napadu?
Ako je vaš AI agent izložen napadu, može izvršiti nepoželjne radnje – npr. poslati osjetljive podatke, izbrisati datoteke ili čak rezignirati s posla (kao u OpenAI-ovom primjeru). Najgore što može dogoditi je data breach ili financijski gubitak, ali i krivična odgovornost ako se podaci nepoželjno razotkruju.
2. Može li se potpuno eliminirati prompt injection?
Ne. OpenAI i stručnjaci su se složili da nikad nećemo doći do 100% zaštite. Razlog je u tome što AI agenti su previše fleksibilni – ako im dajemo dovoljno ovlasti, lako ih možemo manipulirati. Najbolje što možemo učiniti je smanjiti rizik kroz višeslojne kontrole i korisničku svjesnost.
3. Koji su najčešći znakovi da je moj AI agent izložen napadu?
– Neobične radnje – npr. AI slanje e-maila koje vi niste pisali.
– Promjene u dokumentima – ako vidite da su vaši Google Docs-ovi ili Excel datoteke mijenjane bez vaše intervencije.
– Automatske akcije – ako vaš AI agent izvršava radnje bez vaše potvrde (npr. rezervacije, plaćanja).
– Suspicious poruke – ako primate e-maile ili poruke koje vam naložuju “automatsko izvršenje zadataka”.
4. Kako mogu zaštititi svoje podatke ako koristim AI pretraživače?
– Ograničite ovlasti – ne dajte AI agentu pristup osjetljivim podacima bez potrebe.
– Koristite potvrde – zahtijevajte da vam AI agent potvrdi kritične radnje.
– Ažurirajte alate – uvijek koristite najnovije verzije pretraživača.
– Budi oprezan s neobičnim naložima – ako vam neko (čak i AI) kaže da izvršite nešto neobično, uvijek provjerite.
5. Koje kompanije rade na poboljšanju sigurnosti AI pretraživača?
– OpenAI – s Atlasom i “LLM-based automated attacker”-om.
– Google – razvija architectural i policy-level controls za agentic systems.
– Anthropic – radi na višeslojnim zaštitama i red teaming-u.
– Brave – testira sigurnost AI pretraživača poput Cometa.
– U.K. National Cyber Security Centre (NCSC) – izdaje preporuke za smanjenje rizika.
6. Što ako sam već bio žrtva prompt injection napada?
– Odmah prekinite pristup – ako je vaš AI agent izvršio nepoželjne radnje, odmah ga isključite.
– Promijenite lozinke – ako su osjetljivi podaci bili izloženi.
– Obavijestite sigurnosnu ekipu – ako je riječ o korporativnim podacima.
– Ažurirajte zaštite – instalirajte sve dostupne sigurnosne patch-eve.
– Provjerite sve promjene – pogledajte koje su datoteke ili e-maili mijenjani bez vaše intervencije.
7. Može li se prompt injection koristiti i za dobre svrhe?
Teoretski da, ali u praksi je veoma rijetko. Prompt injection se uglavnom koristi za manipulaciju AI agenta u štetne svrhe, ali neki istraživači ga testiraju kako bi poboljšali sigurnost. Primjer:
– Sigurnosni istraživači koriste prompt injection da bi otkrili praznine u AI sistemima i pomognu u njihovom poboljšanju.
– Edukativne svrhe – neki stručnjaci ga koriste da bi obučavali korisnike kako prepoznati napade.
8. Kako se razlikuje prompt injection od drugih vrsta napada na AI?
| Tip napada | Kako radi | Primjer |
|———————-|————–|————|
| Prompt injection | Manipulacija AI-a da izvrši štetne radnje skritih u naložima. | AI agent automatski šalje rezignaciju umjesto “out of office” poruke. |
| Data poisoning | Kontaminacija podataka koji se koriste za treniranje AI-a. | Napadač dodaje lažne podatke u obučavajuću podskupu, što AI učini “korumpiranim”. |
| Adversarial examples | Kreiranje obmanjujućih ulaznih podataka koji obarušavaju AI. | AI pretraživač prepoznaje lažnu sliku kao mačku, iako je to zapravo pas. |
| Model stealing | Preuzimanje osjetljivih podataka iz AI modela. | Napadač izvuče tajne informacije iz modela kako bi ga kopirao. |
9. Može li se prompt injection koristiti na lokalnim AI modelima (npr. na računalu)?
Da, ali je rizik manji. Lokalni AI modeli (npr. LLMs koje pokrećete na vašem računalu) su manje izloženi jer:
– Nema pristupa internetu (stoga ne mogu čitati e-maile ili web stranice).
– Nisu povezani s korisničkim računima (osim ako sami ne dodate pristup).
Ipak, i lokalni modeli nisu potpuno sigurni – ako im dajete nepoželjne ulazne podatke, mogu izvršiti štetne radnje.
10. Što će se dogoditi s prompt injection-om u budućnosti?
– Bit će sve opasniji – jer AI agenti dobivaju više ovlasti.
– Kompanije će razvijati sve naprednije zaštite – npr. biometrijsku autentifikaciju za kritične radnje.
– Zakonodavstvo će se promijeniti – vjerojatno će doći do novih pravila za sigurnost AI-a.
– Korisnici će morati biti još opazniji – neće biti samo problem tehnologije, već i ljudskog ponašanja.
—
Zadnji komentar: AI pretraživači su u svom djetinjstvu, a sigurnost je u stalnom razvoju. Ako budemo informirani i oprezni, možemo uživati u njihovim prednostima bez velikih rizika. Prompt injection je problem, ali ne i kraj priče. 🚀
