【AIbase ニュース】 Radwareのセキュリティ研究者によると、AIプラットフォームのChatGPTの「ディープラーニングモード」に、「ShadowLeak」という深刻なバグが存在したことが明らかになりました。このバグにより、ユーザーが気づかないうちに、Gmailアカウントの名前や住所などの機密データを盗むことが可能でした。

この攻撃の特異な点は、OpenAI自身のクラウドインフラ内でのみ行われ、痕跡を残さず、ファイアウォールなどのローカルセキュリティ対策を回避できる点です。研究者たちは、この攻撃プロキシを「外部から操縦される内部人」と例えています。

ハッカー マシン データセンター

調査によると、攻撃は一見普通のメールから始まりました。件名は通常ですが、本文には隠されたHTML(例えば、白地白文字や小さなフォント)で悪意のあるコマンドが埋め込まれていました。これらのコマンドは、「ディープラーニングモード」のプロキシに以下の操作を誘導しました:ユーザーの別のメールから個人情報を抽出したり、それらの情報をBase64で暗号化して、攻撃者が制御する外部URLに送信することです。

プロキシの組み込みセキュリティ対策を回避するために、攻撃者は社会工学技術を使用し、プロキシがそのタスクを実行する権限があると信じ込ませました。また、「報告が不完全だ」といった理由で緊急性を作り出しました。ユーザーが「ディープラーニングクエリ」を起動すると(例えば「今日の人事メールを分析してください」)、この悪意あるメールが無防備に処理され、隠されたコマンドが実行され、データが静かに攻撃者のサーバーに送信されます。このプロセスはユーザーにとって完全に透明です。

Radwareは、このバグが言語モデル自体ではなく、プロキシの実行ツールの能力に起因していると指摘しています。browser.open()という内部機能はプロキシがHTTPリクエストを発信できるようにし、これが今回の攻撃の突破口となりました。

研究者たちは、このような攻撃方法はメールに限らず、Google Drive、Outlook、Teams、Notion、GitHubなど、構造化テキストを処理するすべてのプラットフォームがリスクにさらされていることを警告しています。悪意のあるコマンドは会議招待状、共有PDFファイル、チャット履歴などに隠れ、通常のAIタスクが潜在的なセキュリティ脆弱性になる可能性があります。

Radwareは、2025年6月18日にBugcrowdプラットフォームを通じてOpenAIにこのバグを報告しました。OpenAIは8月初頭に修正を完了しましたが、9月3日まで公開して問題が解決したことを確認しなかったのです。