【AIbase 報道】Radware 安全研究人員披露,人工智能平臺 ChatGPT 的“深度研究”模式曾存在一個名爲“ShadowLeak”的嚴重漏洞。該漏洞允許攻擊者在用戶毫不知情的情況下,悄然竊取其 Gmail 賬戶中的姓名、地址等敏感數據。

該攻擊的特殊之處在於,它完全發生在 OpenAI 自己的雲基礎設施內,不留任何痕跡,並能繞過防火牆等本地安全防護。研究人員將這種攻擊代理比作“一個被外部操縱的內部人員”。

黑客 主機 機房

據瞭解,攻擊始於一封經過精心僞裝的電子郵件,其主題看似普通,但郵件正文卻利用隱藏的 HTML(例如,白底白字或小字體)嵌入惡意指令。這些指令會誘騙“深度研究”模式的代理執行以下操作:從用戶的另一封電子郵件中提取個人數據。或者將這些數據通過 Base64編碼後發送到一個由攻擊者控制的外部 URL。

爲了繞過代理的內置安全措施,攻擊者使用了社會工程學技術,讓代理“相信”其有權執行該任務,並以“報告不完整”等理由製造緊迫感。當用戶啓動“深度研究”查詢時(例如“分析我今天的人力資源郵件”),該代理會在不知不覺中處理這封惡意郵件,並執行隱藏指令,將數據靜默傳輸到攻擊者的服務器,整個過程對用戶完全透明。

Radware 指出,該漏洞並非源於語言模型本身,而是代理執行工具的能力。其中,名爲 browser.open() 的內部功能允許代理髮起 HTTP 請求,成爲此次攻擊的突破口。

研究人員警告,這種攻擊方法不僅限於電子郵件,任何代理處理結構化文本的平臺,如 Google Drive、Outlook、Teams、Notion 或 GitHub 等都可能面臨風險。惡意指令可以被隱藏在會議邀請、共享 PDF 文件或聊天記錄中,將常規的 AI 任務變成潛在的安全漏洞。

Radware 已於2025年6月18日通過 Bugcrowd 平臺向 OpenAI 報告了該漏洞。OpenAI 於8月初完成了修復,但直到9月3日才公開承認並確認該問題已解決。

此次事件再次凸顯了 AI 代理系統的脆弱性。核心問題在於“即時注入”(Prompt Injection),即攻擊者將隱藏指令嵌入用戶無察覺的文本中。儘管該漏洞已存在多年,但仍未找到可靠的解決方案。有研究表明,幾乎每個 AI 代理都可能被入侵,尤其那些能夠訪問互聯網的代理,極易被操縱導致數據泄露、惡意軟件下載等問題。OpenAI 首席執行官 Sam Altman 也曾警告,不要將高風險或敏感任務委託給 AI 代理。