資安研究機構 Operant AI 揭露名為 Shadow Escape 的新型攻擊手法,針對使用 ChatGPT、Claude 及 Gemini 等 AI 助理的企業發動零點擊攻擊(Zero-Click Attack),在使用者毫無察覺的情況下竊取個資。研究團隊估計,目前流向暗網的消費者個人記錄規模可能達到數兆筆。
零點擊攻擊:無需使用者操作即可竊取資料
與過去的網路釣魚攻擊不同,Shadow Escape 不需要誘騙使用者點擊可疑連結。攻擊者將惡意指令隱藏在看似無害的文件中,例如員工入職手冊或從網路下載的 PDF 檔案。當員工為了工作方便將這些文件上傳至企業的 AI 助理時,嵌入的隱藏指令就會告訴 AI 開始收集並傳送客戶資料。
由於 AI 助理被設計為協助使用者,系統會自動跨資料庫查詢相關記錄,從完整姓名、地址到信用卡號碼、醫療識別碼全部暴露。Operant AI 釋出的示範影片顯示,一個簡單的客戶資料查詢如何快速升級為 AI 自動揭露並秘密傳送完整敏感記錄至惡意伺服器,整個過程不會被察覺。
MCP 協定成為攻擊突破口 數兆筆記錄面臨風險
問題源自模型上下文協定(Model Context Protocol, MCP)。企業使用 MCP 連接大型語言模型與內部資料庫及工具,讓 ChatGPT、Claude、Gemini 等 AI 助理能存取公司資源。
Operant AI 共同創辦人暨技術長 Priyanka Tembey 表示:「關鍵不在於特定的 AI 代理程式,而是模型上下文協定賦予這些代理程式前所未有的組織系統存取權限。任何使用 MCP 連接資料庫、檔案系統或外部 API 的 AI 助理,都可能透過 Shadow Escape 被利用。」
這並非單一供應商的問題,而是所有使用 MCP 的系統都可能遭受相同攻擊手法威脅。
研究人員在報告中警告,「由於 Shadow Escape 很容易透過標準 MCP 設定和預設 MCP 權限配置來執行,目前透過 Shadow Escape MCP 資料外洩手法流向暗網的私人消費者和使用者記錄,規模可能輕易達到數兆筆。」
傳統資安工具完全失效
Shadow Escape 難以防範的主要原因,在於資料竊取發生在企業安全網路和防火牆內部。AI 助理對資料擁有合法存取權限,當它開始傳送記錄時,流量看起來就像正常運作,使傳統資安工具無法識別異常。
研究團隊發現,AI 將竊取的資料傳送至外部伺服器時,會偽裝成例行的效能追蹤活動。員工或 IT 部門完全不會察覺任何異狀。
研究團隊呼籲所有依賴 AI 代理程式的組織立即稽核系統,「下一次重大資料外洩可能不是來自駭客,而是來自可信賴的 AI 助理。」Shadow Escape 攻擊的出現顯示,當企業採用 AI 技術提升效率時,必須同步建立相應的資安防護機制,重新檢視 AI 系統的權限設定與資料存取控制。
本文轉載自hackread。