在ChatGPT的深度研究智能体中发现的一个零点击漏洞,使得攻击者无需任何用户交互就能从用户的Gmail账户中窃取敏感数据。
OpenAI后来修复的这个漏洞,利用了一种隐藏在电子邮件中的复杂间接提示注入方式,诱使智能体直接从OpenAI的云基础设施中泄露个人信息。
据Radware称,此次攻击始于攻击者向受害者发送一封特制邮件。这封邮件包含隐藏指令,这些指令人眼无法看见,通过小字体或白字白底等技术嵌入在其HTML代码中。
当用户提示深度研究智能体分析其Gmail收件箱时,该智能体会将这封恶意邮件与合法邮件一同读取。
隐藏的提示使用了社会工程学策略来绕过智能体的安全协议。这些策略包括:
- 宣称权威:该提示词虚假声称智能体拥有“完全授权”来访问外部网址。
- 伪装恶意URL:攻击者的服务器被伪装成一个合法的“合规验证系统”。
- 强制保持持续性:智能体接到指示,如果连接失败,要进行多次重试,以克服非确定性的安全拦截。
- 制造紧迫感:提示语警告称,不遵守要求将导致报告不完整。
- 虚假声称安全:这些指令欺骗性地指示智能体对窃取的数据进行Base64编码,将其伪装成一种安全措施,而实际上是在掩盖数据泄露行为。
一旦智能体处理了这封恶意邮件,它就会在用户的收件箱中搜索特定的个人身份信息(PII),例如来自人力资源邮件中的姓名和地址。
然后,它会对这些数据进行编码并发送到攻击者控制的服务器,整个过程不会有任何视觉提示,也不会经过用户确认。
服务端与客户端数据泄露
这种漏洞之所以特别危险,是因为其服务端特性。数据泄露完全发生在OpenAI的云环境中,由智能体自身的浏览工具执行。
这与以往依赖在用户浏览器中渲染恶意内容(如图片)的客户端攻击相比,是一次显著的升级。
由于此次攻击源自OpenAI的基础设施,因此常规的企业安全措施(如安全网络网关、终端监控和浏览器安全策略)无法发现它。Radware 表示,用户不会意识到数据泄露,因为他们的屏幕上不会显示任何内容。
虽然概念验证的重点是 Gmail ,但该漏洞的原理可应用于与深度研究智能体集成的任何数据连接器。
恶意提示可能隐藏在:
- 谷歌云端硬盘或Dropbox中的PDF或Word文档。
- Outlook或谷歌日历中的会议邀请。
- HubSpot或Notion中的记录。
- Microsoft Teams中的消息或文件。
- GitHub中的README文件。
任何允许智能体接收基于文本的内容的服务,都可能成为此类攻击的潜在载体。
发现这一漏洞的研究人员表示,一个有效的缓解策略包括持续监控智能体的行为,以确保其行动与用户的原始意图一致。这有助于检测并阻止由恶意提示引发的偏差。
该漏洞于2025年6月18日报告给OpenAI。该问题得到了确认,并在8月初部署了修复程序。OpenAI于2025年9月3日将该漏洞标记为已解决。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
