作者：Elaine Atwell. 编译：Cointime：QDD.

“你站在巨人的肩膀上，用尽全力去完成某事，还没有真正理解你所做的事情，你就给它申请了专利，将其包装起来，放在塑料午餐盒上，然后你开始销售。你想把它卖掉。”

这句话是出自《侏罗纪公园》中的伊恩·马尔科姆博士（戴着皮衣的数学家），但它可以轻松地描述最近AI*驱动工具的爆炸性增长，而不是迅猛恢复的迅猛龙。

实际上，当前的AI情况可能比《侏罗纪公园》更危险。在那部电影中，使恐龙重生的误导性科学至少局限于一个岛屿，并由一个公司控制。而在我们当前的现实中，恐龙已经逃脱，任何想玩的人都可以亲手试验。

在ChatGPT公开发布的六个月内（截至本文撰写时），AI浏览器扩展迅速增多。数以百计的扩展程序，搜索Chrome网店中的“AI”，你会在滚动到列表末尾之前感到厌倦。

这些浏览器扩展程序在承诺提供的功能方面各不相同：有些可以为您总结网页和电子邮件，有些可以帮助您撰写文章或产品描述，还有一些承诺将纯文本转化为可用代码。

这些AI浏览器扩展程序带来的安全风险也各不相同：有些只是等待窃取您数据的恶意软件，有些是无根据的操作，复制+粘贴的隐私政策，还有一些是受人尊敬且知名品牌的AI实验。

我们认为没有一种AI驱动的浏览器扩展程序是没有安全风险的，但现在，大多数公司甚至没有制定政策来评估不同扩展程序带来的风险类型和级别。在缺乏明确指导的情况下，全世界的人们都在安装这些小助手，并向其提供敏感数据。

AI浏览器扩展程序的风险在任何情况下都令人担忧，但在这里，我们将重点关注工作者如何使用AI以及公司如何管理这种使用。我们将介绍三类一般的安全风险，以及评估各种扩展程序的价值和限制使用的最佳实践。

*是的，大型语言模型（LLM）实际上并不是真正的人工智能，因为它们并不具备真正的智能，但我们将在这里使用常见的术语。

**我们并不是在将LLMs与恐龙进行比较，因为关于AI的末日言论在很大程度上只是对其对数据安全和就业市场的现实风险的分散注意力的干扰，但你明白我们的意思。

伪装成AI浏览器扩展程序的恶意软件

AI浏览器扩展程序最直接的安全风险是其中一些恶意软件。

Guardio于3月8日报告称，一个名为“Quick access to Chat GPT”的Chrome扩展程序劫持了用户的Facebook账户，并窃取了“在您的浏览器上存储的所有（强调是他们的）cookie列表，包括安全和会话令牌...”更糟糕的是，尽管该扩展程序在Chrome商店上仅上架了一周，但每天仍然有超过2000名用户下载。

作为对此报道的回应，谷歌删除了这个特定的扩展程序，但越来越多的恶意软件不断涌现，因为主要的技术平台似乎缺乏意愿或能力对这个领域进行有意义的监管。正如Guardio指出的，这个扩展程序应该触发谷歌和Facebook的警报，但他们什么也没做。

这种对犯罪分子的宽容态度可能会让大型科技公司的用户感到震惊，他们认为在Chrome商店上可以获得并在Facebook上进行宣传的产品已经通过了某种质量控制。引用Guardio的文章，这是“一个对我们过去无条件信任那些负责我们绝大部分在线存在和活动的公司和大牌名人的信任的严重打击”。

令人特别担忧的是，恶意的基于AI的扩展程序（包括我们刚提到的那个）可以表现得像合法产品一样，因为将它们与ChatGPT的API连接起来并不困难。在其他形式的恶意软件中，比如污染谷歌搜索结果的开源欺诈，一旦用户下载的工具无法正常工作，他们很快就会意识到被欺骗了。但在这种情况下，用户没有任何警告信号，因此这种恶意软件可以作为一种舒适的寄生虫存在于他们的浏览器（以及潜在的其他地方）。

合法的AI驱动浏览器扩展程序的安全风险是什么？

即使是最坚定的AI信徒也会同意，恶意浏览器扩展程序是有害的，我们应尽一切可能防止人们下载它们。

当我们讨论合法AI浏览器扩展程序中固有的安全风险时，事情变得棘手（并且不可避免地引起争议）。

以下是一些潜在的安全问题：

1. 您与生成式AI工具共享的敏感数据可能会被纳入其训练数据，并被其他用户查看。为了简化这个问题的演示，想象一下，您是一位高管，想要给您的战略报告增添一些亮点，所以您使用了一个AI驱动的浏览器扩展程序来提升您的写作。第二天，你公司最大竞争对手的一位高管询问AI对于你公司的战略会有什么看法，它提供了一个令人惊讶的详细和启示性的答案！

对此类型的信息泄露的担忧已经促使一些公司，包括Verizon、亚马逊和苹果，禁止或严格限制生成式AI的使用。正如《The Verge》关于苹果禁令的文章解释的那样：“考虑到ChatGPT在改进代码和构思创意等任务上的效用，苹果可能真正担心其员工会将机密项目的信息输入系统。”

2. 扩展程序或AI公司本身可能会发生数据泄露。公平地说，这是与您合作的任何供应商都面临的安全风险，但这值得一提，因为该行业的一家重要参与者已经发生过这种情况。在3月份，OpenAI宣布他们最近遇到了一个错误，“使一些用户能够看到另一个活跃用户的聊天历史记录标题”，“使一些用户能够看到另一个活跃用户的名字、电子邮件地址、付款地址”，以及其他一些付款信息。

浏览器扩展程序对数据泄露的容易程度取决于它们保留了多少用户数据，而在这一点上，许多“受人尊敬”的扩展程序都含糊其辞。

3. 整个版权+剽窃+法律混乱。当GitHub Copilot首次亮相时，我们撰写了一篇关于此问题的详细文章，但需要重申的是，AI生成的代码涉及版权和法律问题。尽管GitHub声称您是生成代码的唯一拥有者，但它没有涵盖您将外部代码包括在内的可能性。这可能导致有关版权归属和合法使用的争议，从而使您处于不利的法律风险之中。

问题如此严重，以至于在6月5日，Stack Overflow的志愿版主罢工抗议该平台决定允许使用AI生成的内容。在一封公开信中，版主们写道，AI将导致“错误信息（“幻觉”）和无限制的剽窃”大量存在。

AI开发人员正在以诚意努力减轻所有这些风险，但不幸的是，在这个新兴领域，很难区分好的从坏的。

即使像Fireflies这样广泛使用的扩展程序（用于会议和视频转录），其服务条款也几乎等同于“买家自负”。他们要求用户负责确保其内容不违反任何规定，并承诺只采取“合理的手段来保护此类数据的隐私和安全性”。这种措辞是否指出了令人担忧的缺乏问责制，还是只是例行法律用语？不幸的是，您必须自行决定。

*写有关AI的伟大之处在于，当您提出自己的担忧时，每个人都非常冷静，一点都不奇怪。

AI的“无法解决”的威胁：注入攻击

最后，让我们谈谈可能是最可怕的新兴威胁：通过链接的AI工具窃取数据的网站。

这方面的首次证据于5月19日在Twitter上出现。

如果这个解释让您感到困惑，以下是Willison在“披萨术语”中的解释。

考虑到LLM的固有特性，这些注入攻击被认为是无法解决的。简而言之：LLM需要能够根据其从输入中发现的内容做出自动化的下一步决策。但是，如果这些输入是恶意的，LLM可能会被欺骗而执行任何操作，甚至是明确告知它不应该执行的操作。

目前还无法全面评估这种威胁对数据治理和安全性的完全影响，但目前看来，无论个别LLM、扩展程序还是插件有多么负责任或安全，这种威胁都将存在。

风险是如此严重，以至于唯一真正安全的选择是：永远不要将与网络连接的AI与关键服务或数据源相链接。AI可能会被诱导从任何可以访问的内容中泄露数据，而目前对于这个问题没有已知的解决方案。在有解决方案之前，您和您的员工需要远离这些风险。

明确定义哪些数据和应用程序属于“关键”，并将这些政策与员工进行沟通，应该成为您的首个AI项目。

员工应该被制定什么样的人工智能政策？

人工智能革命突然发生，我们仍在适应这个全新的世界。每天，我们都在了解更多关于这项技术的应用，无论是好的、坏的还是令人尴尬的。各行各业的公司都面临着巨大的压力，要分享他们如何将人工智能纳入业务中，如果你今天还没有答案，那也没有关系。

然而，如果你负责制定公司的人工智能政策，你不能再等下去了，需要立即制定明确的指导方针，规定员工如何使用这些工具。（如果你需要一个起点，这里有一个末尾附有示例政策的资源。）

你可以采取多种途径来管理员工使用人工智能的情况。你可以像苹果一样完全禁止使用，但对于许多公司来说，这种全面禁令过于极端，他们希望鼓励员工尝试使用人工智能。然而，在实践良好的安全性的同时，拥抱创新将变得棘手。这在浏览器扩展中尤为明显，因为它们本质上是面向外部的，并且通常默认开启。因此，如果你打算允许使用这些扩展，以下是一些最佳实践：

教育：就像刚从蛋中孵化出来的小恐龙一样，人工智能扩展看起来很可爱，但需要非常小心对待。始终如此，这从教育开始。大多数员工并不了解这些工具所带来的安全风险，因此他们不知道应该对哪些工具进行谨慎选择以及分享哪些类型的数据。教育员工了解这些风险，并教导他们如何区分恶意和合法的产品。

允许列表：即使进行了教育，也不合理指望每个员工在下载之前都深入研究扩展的隐私政策。考虑到这一点，最安全的选择是根据具体情况将扩展添加到允许列表中。正如我们在关于Grammarly的博客中所写的那样，你应该尝试寻找更安全的替代危险工具，因为完全禁止可能会伤害员工并使他们转向影子IT。在这种情况下，寻找明确承诺不将你的数据输入其模型的产品（例如这个Grammarly替代品）。

可见性和零信任访问：如果你不知道员工在使用哪些基于人工智能的扩展，那么你就无法保护公司免受这些扩展的安全风险。为了了解这一点，IT团队需要能够查询整个公司的设备以检测扩展。从那里开始，下一步是自动阻止带有危险扩展的设备访问公司资源。

这就是我们在Kolide的做法，当我们为GitHub Copilot编写了一个检测其存在并在删除Copilot之前停止设备认证的检查时。我们还允许管理员编写自定义检查，根据需要阻止单个扩展。但是，简单的阻止不应该是你政策的最终步骤，而应该开启关于为什么员工觉得他们需要这些工具以及公司如何为他们提供更安全替代方案的对话。

这些对话可能会很尴尬，尤其是如果你发现并阻止了用户已经安装的扩展。我们的CEO Jason Meller在Dark Reading上写过关于消除恶意扩展的文化困难的文章：“对于许多团队来说，帮助终端用户的好处不值得冒已经摇摇欲坠的苹果大车的风险。”但是，不愿与终端用户进行对话会为恶意软件提供了温床：“因为太少的安全团队与终端用户建立了建立在信任基础上的坚实关系，恶意软件作者可以利用这种迟疑，深入其中，并造成真正的损害。

最后，我想说，这是一个庞大而快速发展的主题，这篇博客只是浅尝辄止。因此，如果你想了解我们在人工智能和安全方面的工作，请订阅我们的媒体！