La mise à jour de sécurité des liens d'OpenAI empêche les agents de récupérer automatiquement des URL non vérifiées qui pourraient cacher des données privées dans les chaînes de requête. Les agents ne récupèrent les liens que s'ils existent déjà sur le web public (selon un index de crawler indépendant); sinon, les utilisateurs voient un avertissement et peuvent choisir de continuer ou non.

Le risque spécifique : les URL peuvent exfiltrer des données

Lorsqu'un agent charge un lien, l'URL complète (y compris les paramètres de requête) est envoyée à la destination et souvent enregistrée. Les attaquants peuvent inciter un agent à inclure un contexte sensible - comme un e-mail ou le titre d'un document - dans cette URL, créant une fuite silencieuse (même via des redirections, des images ou des aperçus).

Pourquoi les listes blanches simples ne suffisent pas

Inclure sur liste blanche des “sites de confiance” échoue lorsque ces sites redirectionnent ou intègrent du contenu tiers; cela crée aussi une friction que les utilisateurs apprennent à ignorer. OpenAI cible plutôt l'adresse URL elle-même : cette adresse exacte est-elle déjà publique ?

Le contrôle : ne récupérer automatiquement que les URL publiques

OpenAI utilise un index web indépendant (séparé des conversations des utilisateurs) pour vérifier si une URL est publiquement connue.

• Correspondance trouvée : l'agent peut charger automatiquement.

• Aucune correspondance : l'agent évite la récupération automatique; les utilisateurs peuvent voir un avertissement et choisir de continuer ou de demander des alternatives.

Ce que les utilisateurs verront

Pour les liens non vérifiés, ChatGPT peut afficher une boîte de dialogue “Vérifiez que ce lien est sûr”: “non vérifié”, “peut inclure des informations de votre conversation”, et des options pour copier ou ouvrir quand même. Cela rend la “fuite silencieuse” visible et garde le contrôle à l'humain.

Ce que cela couvre - et ne couvre pas

Cette défense se concentre sur l'exfiltration basée sur les URL. Elle ne garantit pas la fiabilité des pages ou l'élimination de tous les risques de prompt-injection, alors OpenAI la couche avec des atténuations au niveau du modèle, des contrôles de produit, une surveillance et un red-teaming dans le cadre d'une approche de dynamique de défense.

Implications pour les développeurs et les équipes de sécurité

• Réduire les fuites silencieuses : Adoptez une politique similaire de “récupération automatique uniquement des URL publiques” dans les agents personnalisés et installez des avertissements pour les liens non vérifiés.

• Renforcer contre les injections : Associez la sécurité des liens avec des atténuations de prompt-injection et des modèles d'utilisation guidée des outils dans Agent Builder/AgentKit.

• Équilibrer UX et sécurité : Tenez les utilisateurs informés sans bloquer la navigation légitime; utilisez le contrôle humain pour les actions à haut risque.

• Faites évoluer vos garde-fous : Traitez la sécurité des agents comme un programme continu – ajoutez des contrôles au fur et à mesure que vous observez de nouvelles tentatives d'évasion.

En bref : La sécurité des liens ne remplace pas d'autres contrôles, mais elle élimine un chemin subtil et commun pour la fuite de contexte – et établit un solide paramètre par défaut pour la navigation des agents.

FAQ

Q1. Qu'est-ce que l'exfiltration de données basée sur les URL dans les agents ?
Lorsqu'un agent charge un lien qui intègre un contexte privé dans la chaîne de requête de l'URL, ces données peuvent être enregistrées par la destination – fuyant l'information silencieusement.

Q2. Comment fonctionne la sécurité des liens d'OpenAI ?
Les agents récupèrent automatiquement uniquement les URL précédemment observées sur le web public par un crawler indépendant. Les liens non vérifiés déclenchent un avertissement utilisateur avant l'ouverture.

Q3. Cela arrête-t-il les injections de prompt ?
Il réduit un résultat de prompt-injection (récupération forcée d'URL avec des secrets) mais des risques d'injection plus larges subsistent et sont atténués via des protections au niveau du modèle et du produit.

Q4. Que devraient copier les développeurs de cela ?
Implémentez la vérification des URL publiques, des avertissements explicites, et une approbation humaine pour les actions risquées; combinez avec les meilleures pratiques de sécurité établies et HITL.

Q5. Est-ce disponible dans ChatGPT aujourd'hui ?
OpenAI décrit cela comme une mesure de protection livrée pour ChatGPT/expériences agentiques et indique qu'elle continuera à évoluer au fur et à mesure que les attaquants s'adaptent.