【AIbase 报道】 据 Radware 安全研究人员披露,人工智能平台 ChatGPT 的“深度研究”模式曾存在一个名为“ShadowLeak”的严重漏洞。该漏洞允许攻击者在用户毫不知情的情况下,悄然窃取其 Gmail 账户中的姓名、地址等敏感数据。
该攻击的特殊之处在于,它完全发生在 OpenAI 自己的云基础设施内,不留任何痕迹,并能绕过防火墙等本地安全防护。研究人员将这种攻击代理比作“一个被外部操纵的内部人员”。
据了解,攻击始于一封经过精心伪装的电子邮件,其主题看似普通,但邮件正文却利用隐藏的 HTML(例如,白底白字或小字体)嵌入恶意指令。这些指令会诱骗“深度研究”模式的代理执行以下操作:从用户的另一封电子邮件中提取个人数据。或者将这些数据通过 Base64编码后发送到一个由攻击者控制的外部 URL。
为了绕过代理的内置安全措施,攻击者使用了社会工程学技术,让代理“相信”其有权执行该任务,并以“报告不完整”等理由制造紧迫感。当用户启动“深度研究”查询时(例如“分析我今天的人力资源邮件”),该代理会在不知不觉中处理这封恶意邮件,并执行隐藏指令,将数据静默传输到攻击者的服务器,整个过程对用户完全透明。
Radware 指出,该漏洞并非源于语言模型本身,而是代理执行工具的能力。其中,名为 browser.open() 的内部功能允许代理发起 HTTP 请求,成为此次攻击的突破口。
研究人员警告,这种攻击方法不仅限于电子邮件,任何代理处理结构化文本的平台,如 Google Drive、Outlook、Teams、Notion 或 GitHub 等都可能面临风险。恶意指令可以被隐藏在会议邀请、共享 PDF 文件或聊天记录中,将常规的 AI 任务变成潜在的安全漏洞。
Radware 已于2025年6月18日通过 Bugcrowd 平台向 OpenAI 报告了该漏洞。OpenAI 于8月初完成了修复,但直到9月3日才公开承认并确认该问题已解决。
此次事件再次凸显了 AI 代理系统的脆弱性。核心问题在于“即时注入”(Prompt Injection),即攻击者将隐藏指令嵌入用户无察觉的文本中。尽管该漏洞已存在多年,但仍未找到可靠的解决方案。有研究表明,几乎每个 AI 代理都可能被入侵,尤其那些能够访问互联网的代理,极易被操纵导致数据泄露、恶意软件下载等问题。OpenAI 首席执行官 Sam Altman 也曾警告,不要将高风险或敏感任务委托给 AI 代理。
