ChatGPT新型零點擊攻擊手法曝光，可竊取Gmail、Outlook敏感資料

資安公司 Radware 的研究人員在 ChatGPT 中發現多項嚴重漏洞，攻擊者可利用這些漏洞從 Gmail、Outlook、Google Drive 及 GitHub 竊取敏感資料，整個過程無需使用者進行任何操作。

零點擊攻擊流程

攻擊流程如下：攻擊者先寄送包含預建 URL 和外洩指令的惡意電子郵件。當使用者要求 ChatGPT 執行 Gmail 相關任務時，ChatGPT 會讀取收件匣並執行攻擊者的指令，進而外洩資料。整個過程中，使用者只需正常與 ChatGPT 對話，無需任何額外操作。

GreyNoise 威脅監控平台也觀察到相關攻擊活動。自去年 12 月底起，駭客系統性地搜尋配置錯誤的代理伺服器，試圖取得商業大型語言模型服務的存取權限。在這波持續進行的攻擊中，攻擊者已探測超過 73 個 LLM 端點，產生超過 8 萬個連線階段。

ZombieAgent繞過OpenAI防護機制

2024 年 9 月，Radware 資安研究員透過 BugCrowd 漏洞懸賞平台向 OpenAI 通報一項提示注入攻擊技術，並將其命名為「ZombieAgent」。OpenAI 於同年 12 月中旬修補了此漏洞，並在2025 年 1 月 8 日公開研究報告細節。

攻擊手法源於 ChatGPT 近期的功能擴展，OpenAI 為 ChatGPT 新增了連接器功能，讓使用者可快速整合 Gmail、Outlook、Google Drive、GitHub 等外部系統，同時也加入了網頁瀏覽、連結開啟、圖片生成等能力。這些功能雖然提升實用性，卻也讓 ChatGPT 能存取更多敏感的個人資料。

從ShadowLeak到ZombieAgent的演進

研究人員先前發現 ChatGPT 深度研究代理存在結構性漏洞。攻擊者可透過經設計的電子郵件，指示代理洩漏 Gmail 收件匣中的敏感資料。這項技術被命名為「ShadowLeak」。其特點是從伺服器端外洩資料，使本地端或企業防禦系統無法偵測。

延伸閱讀：ShadowLeak攻擊手法解析：AI代理程式的「服務端滲透」新威脅

ShadowLeak 利用間接提示注入技術，在電子郵件的 HTML 中嵌入隱藏指令 (例如使用白色文字或極小字型) 讓使用者無法察覺。當 Deep Research 代理執行這些指令時，會將敏感資料作為 URL 參數附加到攻擊者控制的連結上。

為了防範 ShadowLeak，OpenAI 強化防護機制，禁止 ChatGPT 動態修改 URL。系統現在只能開啟完全相符的 URL，即使明確指示也會拒絕新增參數。然而，專家發現能完全繞過這項防護的新方法。

ZombieAgent 使用預先建構的靜態 URL 規避 OpenAI 的 URL 修改防禦機制，逐字元竊取 ChatGPT 中的敏感資料。攻擊者不需動態生成 URL（此舉會觸發安全過濾器），而是提供一組固定 URL，每個 URL 對應一個特定字元（字母、數字或空格符號）。

ChatGPT 接著會被指示執行以下步驟：首先從電子郵件、文件或內部系統中提取敏感資料；接著將資料標準化處理，例如轉換成小寫、將空格替換為「$」等特殊符號；最後逐字元開啟預先定義的 URL 來外洩資料。

攻擊者使用索引式 URL（例如為每個字元分配 a0、a1 到 a9），確保外洩資料的正確順序。由於 ChatGPT 並未實際建構 URL，而是直接執行提供的連結，因此成功繞過 OpenAI 的 URL 改寫和黑名單防護機制。

記憶功能成為攻擊持續性關鍵

研究人員進一步指出，ChatGPT 的記憶功能也成為攻擊突破口。該功能預設啟用，會儲存使用者對話和資料以提供個人化回應，並允許 AI 讀取、編輯或刪除記憶條目。

攻擊者可透過檔案注入記憶修改規則，使 ChatGPT 在每則訊息中讀取特定的攻擊者電子郵件並優先外洩資料。儘管 OpenAI 限制連接器和記憶功能混用，反向存取仍然可行。即使在新對話中，資料也會持續外洩。

這種攻擊甚至能進一步擴散，攻擊者的伺服器可透過掃描收件匣取得電子郵件地址，自動發送惡意載荷，鎖定整個組織進行攻擊。

防護建議

針對這些威脅，資安專家建議採取以下防護措施：

• 限制 Ollama 模型僅能從可信任的註冊中心提取
• 實施出站流量過濾（Egress Filtering）
• 在 DNS 層級封鎖已知的 OAST 回呼網域
• 對可疑的自治系統編號（ASN）實施速率限制
• 監控與自動化掃描工具相關的 JA4 網路指紋
• 持續監控代理行為並清理輸入內容

Radware 於 2024 年 9 月 26 日透過 BugCrowd 通報這些問題並提供詳細資訊。OpenAI 已在同年 9 月 3 日修補 ShadowLeak 漏洞，並於 12 月 16 日完成所有漏洞的修補作業。然而，專家警告 AI 代理系統仍存在盲點，組織應持續保持警戒。

本文轉載自 BleepingComputer、CyberSecurityNews、InfosecurityMagazine。