新的 ChatGPT 漏洞允许攻击者从 Gmail、Outlook 和 GitHub 窃取敏感数据
- 浏览次数 716
- 喜欢 0
HackerNews 编译,转载请注明出处:
ChatGPT的严重漏洞使攻击者能够无需用户交互,就从Gmail、Outlook和GitHub等已连接服务中窃取敏感数据。
这些被命名为ShadowLeak和ZombieAgent的漏洞,利用AI的"连接器"和"记忆"功能,实现了零点击攻击、持久化驻留甚至传播。
OpenAI的"连接器"功能允许用户在几次点击内,让ChatGPT与Gmail、Jira、GitHub、Teams和Google Drive等外部系统集成。
默认启用的"记忆"功能会存储用户对话和数据以提供个性化回复,允许AI读取、编辑或删除记录。
虽然这些功能增强了实用性,但它们也授予了对个人和企业数据的广泛访问权限,在防护措施不足的情况下放大了风险。
ChatGPT零点击和一点击攻击
攻击者通过恶意电子邮件或共享文件发送隐藏指令,这些指令对用户不可见,例如使用白色文本、极小字体或页脚。
在零点击服务器端变种攻击中,ChatGPT在执行总结邮件等常规任务时会扫描收件箱,执行攻击载荷,并通过OpenAI的服务器在用户察觉前泄露数据。
一键触发版本则是在受害者上传受污染的文件时启动,从而能对已连接的代码库或网盘发起连锁攻击。
| 攻击类型 | 触发条件 | 数据外泄方法 | 影响范围 |
|---|---|---|---|
| 零点击服务器端 | 共享恶意文件 | 通过OpenAI服务器上的browser.open()工具 | Gmail收件箱、个人身份信息 |
| 一点击服务器端 | 通过文件修改记忆 | 隐藏在文档中的提示 | Google Drive、GitHub |
| 持久化 (ZombieAgent) | 通过文件修改记忆 | 根据查询持续泄露 | 所有聊天记录、医疗数据 |
| 传播 | 收集电子邮件地址 | 自动转发给联系人[查询上下文] | 组织内传播 |
OpenAI已阻止了动态URL修改,但研究人员通过为每个字符(a-z,0-9,$表示空格)预先构建URL的方式绕过了此限制。
ChatGPT会将诸如"Zvika Doe"这样的敏感字符串规范化成"zvikadoe",然后顺序打开像compliance.hr-service.net/get-public-joke/z这样的静态链接,在不"构建"URL的情况下泄露数据。这种服务器端方法绕过了客户端防御、浏览器和用户界面的可见性检测。
为了实现持久化,攻击者通过文件注入修改记忆的规则:在每条消息中,首先读取特定的攻击者电子邮件并泄露数据。
尽管OpenAI限制了连接器和记忆功能的混合使用,但反向访问仍然有效,即使在新的聊天中也能实现无休止的数据外泄。传播攻击会扫描收件箱中的地址并窃取它们,攻击者的服务器随后会自动发送攻击载荷,以此针对组织。
Radware于2025年9月26日通过BugCrowd平台报告了这些问题,并提供了详细信息和升级建议。OpenAI在复现问题后,于2025年9月3日修复了ShadowLeak,并于2025年12月16日修复了全套问题。
专家敦促监控AI的行为并净化输入内容,因为AI的盲区仍然存在。
消息来源:cybersecuritynews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文