新的 ChatGPT 漏洞允许攻击者从 Gmail、Outlook 和 GitHub 窃取敏感数据
HackerNews 编译,转载请注明出处: ChatGPT的严重漏洞使攻击者能够无需用户交互,就从Gmail、Outlook和GitHub等已连接服务中窃取敏感数据。 这些被命名为ShadowLeak和ZombieAgent的漏洞,利用AI的”连接器”和”记忆”功能,实现了零点击攻击、持久化驻留甚至传播。 OpenAI的”连接器”功能允许用户在几次点击内,让ChatGPT与Gmail、Jira、GitHub、Teams和Google Drive等外部系统集成。 默认启用的”记忆”功能会存储用户对话和数据以提供个性化回复,允许AI读取、编辑或删除记录。 虽然这些功能增强了实用性,但它们也授予了对个人和企业数据的广泛访问权限,在防护措施不足的情况下放大了风险。 ChatGPT零点击和一点击攻击 攻击者通过恶意电子邮件或共享文件发送隐藏指令,这些指令对用户不可见,例如使用白色文本、极小字体或页脚。 在零点击服务器端变种攻击中,ChatGPT在执行总结邮件等常规任务时会扫描收件箱,执行攻击载荷,并通过OpenAI的服务器在用户察觉前泄露数据。 一键触发版本则是在受害者上传受污染的文件时启动,从而能对已连接的代码库或网盘发起连锁攻击。 攻击类型 触发条件 数据外泄方法 影响范围 零点击服务器端 共享恶意文件 通过OpenAI服务器上的browser.open()工具 Gmail收件箱、个人身份信息 一点击服务器端 通过文件修改记忆 隐藏在文档中的提示 Google Drive、GitHub 持久化 (ZombieAgent) 通过文件修改记忆 根据查询持续泄露 所有聊天记录、医疗数据 传播 收集电子邮件地址 自动转发给联系人[查询上下文] 组织内传播 OpenAI已阻止了动态URL修改,但研究人员通过为每个字符(a-z,0-9,$表示空格)预先构建URL的方式绕过了此限制。 ChatGPT会将诸如”Zvika Doe”这样的敏感字符串规范化成”zvikadoe”,然后顺序打开像compliance.hr-service.net/get-public-joke/z这样的静态链接,在不”构建”URL的情况下泄露数据。这种服务器端方法绕过了客户端防御、浏览器和用户界面的可见性检测。 为了实现持久化,攻击者通过文件注入修改记忆的规则:在每条消息中,首先读取特定的攻击者电子邮件并泄露数据。 尽管OpenAI限制了连接器和记忆功能的混合使用,但反向访问仍然有效,即使在新的聊天中也能实现无休止的数据外泄。传播攻击会扫描收件箱中的地址并窃取它们,攻击者的服务器随后会自动发送攻击载荷,以此针对组织。 Radware于2025年9月26日通过BugCrowd平台报告了这些问题,并提供了详细信息和升级建议。OpenAI在复现问题后,于2025年9月3日修复了ShadowLeak,并于2025年12月16日修复了全套问题。 专家敦促监控AI的行为并净化输入内容,因为AI的盲区仍然存在。 消息来源:cybersecuritynews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文