网络安全研究人员披露,OpenAI的ChatGPT深度研究智能体存在一个零点击漏洞,攻击者只需发送一封精心构造的电子邮件,无需用户进行任何操作,就能窃取敏感的Gmail收件箱数据。
Radware将这类新型攻击命名为ShadowLeak。在2025年6月18日进行负责任的披露后,OpenAI已于8月初解决了该问题。
安全研究人员兹维卡·巴博、加比·纳基布利和毛尔·乌齐尔表示:“这种攻击利用了间接提示注入,这种注入可以隐藏在电子邮件的HTML中(极小的字体、白字白底的文本、布局技巧),因此用户永远不会注意到这些指令,但智能体仍然会读取并遵守它们。”
“与以往依赖客户端图像渲染来触发信息泄露的研究不同,这种攻击直接从OpenAI的云基础设施中窃取数据,从而避开了本地或企业的防御系统。”
OpenAI于2025年2月推出的深度研究是ChatGPT内置的一种智能体能力,它能在互联网上进行多步骤研究,以生成详细报告。过去一年,谷歌Gemini和Perplexity等其他热门人工智能聊天机器人也添加了类似的分析功能。
在Radware详细描述的攻击中,威胁攻击者向受害者发送一封看似无害的电子邮件,其中包含使用白色文字配白色背景或CSS技巧隐藏的指令,这些指令会让智能体从收件箱中的其他邮件中收集个人信息,并将其泄露到外部服务器。
因此,当受害者提示ChatGPT深度研究分析其Gmail邮件时,该智能体会解析恶意邮件中的间接提示注入,并使用browser.open()工具将这些细节以Base64编码格式发送给攻击者。
“我们精心设计了一个新的提示词,明确指示智能体使用browser.open()工具访问恶意URL,”Radware表示。“我们最终成功的策略是指示智能体在将提取的个人身份信息附加到URL之前,先将其编码为Base64格式。我们将这一操作描述为在传输过程中保护数据的必要安全措施。”
概念验证(PoC)依赖于用户启用Gmail集成,但这种攻击可以扩展到ChatGPT支持的任何连接器,包括Box、Dropbox、GitHub、谷歌云端硬盘、HubSpot、微软Outlook、Notion或SharePoint,这实际上扩大了攻击面。
与AgentFlayer和EchoLeak这类发生在客户端的攻击不同,ShadowLeak事件中观察到的数据泄露直接发生在OpenAI的云环境内部,同时还绕过了传统的安全控制措施。这种可见性的缺失是它与其他类似的间接提示注入漏洞的主要区别所在。
ChatGPT被诱导破解验证码
这一披露发布之际,人工智能安全平台SPLX展示,巧妙措辞的提示词,再加上语境污染,可用于绕过ChatGPT智能体的内置防护机制,并破解旨在验证用户为人类的基于图像的验证码。
这种攻击本质上是先打开一个常规的ChatGPT-4o对话,说服这个大型语言模型(LLM)制定一个方案来解决向它描述的一系列虚假验证码问题。下一步,打开一个新的ChatGPT智能体对话,将之前与该大型语言模型的对话粘贴进去,并声称这是“我们之前的讨论”——这实际上会让该模型毫无抵抗地去解决这些验证码。
安全研究员多里安·舒尔茨表示:“关键在于将验证码重新定义为‘假的’,并构建一段对话,让智能体在此对话中已经同意继续操作。通过继承这一语境,它就不会察觉到常见的危险信号。”
“该智能体不仅能破解简单的验证码,还能破解基于图像的验证码——甚至会调整光标来模仿人类行为。攻击者可以将真实控件重新定义为‘虚假’控件以绕过它们,这凸显了保障上下文完整性、内存安全性和持续红队测试的必要性。”
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
