資安研究公司Radware發現OpenAI的ChatGPT Deep Research工具存在名為「ShadowLeak」的嚴重漏洞,攻擊者僅需發送一封惡意電子郵件,即可在用戶毫不知情的情況下竊取敏感個人資料。OpenAI已於9月3日正式修復此漏洞。
零點擊攻擊威脅
ShadowLeak是一種極為危險的零點擊攻擊漏洞,由Radware資安研究團隊的Gabi Nakibly、Zvika Babo和Maor Uziel所發現。這項漏洞針對OpenAI今年2月推出的Deep Research工具,該工具能讓用戶要求ChatGPT瀏覽網際網路或個人電子郵件收件匣,並生成詳細報告。
Radware技術長David Aviv表示:「這是典型的零點擊攻擊。不需要任何用戶操作,沒有可見的提示,受害者也無法知道他們的資料已被竊取。一切都在OpenAI雲端伺服器上透過自主代理程式的操作在幕後進行。」
攻擊手法解析
ShadowLeak攻擊流程相當隱密且複雜:
- 觸發條件:當用戶要求Deep Research「總結今天的電子郵件」或「研究我收件匣中的某個主題」時,AI代理程式會讀取包含惡意指令的電子郵件。
- 隱藏技術:攻擊者可將惡意指令隱藏在微小字體、白色文字或其他版面技巧中,讓受害者完全看不到這些指令,但AI代理程式仍會讀取並執行。
- 資料竊取:在沒有進一步用戶互動的情況下,惡意郵件會指示AI代理程式透過呼叫攻擊者控制的URL來竊取敏感資料,包括姓名、地址或內部機密資訊。
研究人員展示的攻擊案例中,惡意電子郵件標題看似無害,如「重組計畫 – 行動項目」,但內容包含以白色文字撰寫的指令,要求Deep Research在收件匣中尋找員工的完整姓名和地址,並開啟指向攻擊者控制伺服器的「公開員工查詢URL」。
廣泛影響範圍
雖然研究人員主要透過Gmail整合功能進行概念驗證,但漏洞影響範圍極為廣泛。任何能將結構化或半結構化文字導入代理程式的連接器都可能成為提示注入攻擊向量,包括Google Drive、Dropbox、SharePoint及其他雲端儲存服務。
研究人員警告,相同技術可應用於額外連接器,用於竊取高度敏感的商業資料,如合約、會議記錄或客戶記錄。
ShadowLeak攻擊特別危險的原因在於其隱密性。從網路層面幾乎無法偵測此類攻擊,對外看來就像是獲得授權的助理活動。由於現有的安全防護機制主要專注於監控輸出內容,因此無法有效識別這種透過工具驅動的隱蔽竊取行為,讓攻擊者得以在完全不被察覺的情況下竊取敏感資料。
修復時程與回應
Radware於6月18日透過漏洞回報平台BugCrowd向OpenAI揭露此漏洞。OpenAI在8月初表示漏洞已修復,並於9月3日正式標記為已解決。
OpenAI發言人向媒體確認:「對我們來說,安全地開發模型非常重要。我們採取措施減少惡意使用的風險,並持續改善防護措施,讓我們的模型對提示注入等攻擊更加穩健。研究人員經常以對抗性方式測試這些系統,我們歡迎他們的研究,因為這有助於我們改進。」
資安啟示
ShadowLeak漏洞凸顯了自主AI代理程式面臨的新興安全威脅。隨著AI工具與各種資料源深度整合,提示注入攻擊正成為一個日益嚴重的安全挑戰。企業在部署AI助理工具時,應特別注意定期更新AI工具至最新版本、對整合的資料源進行安全性評估、建立適當的存取控制和監控機制,以及提升員工對新型態AI安全威脅的認知。
本文轉載自therecord.media。