ChatGPT 修复 ShadowLeak 漏洞

今年2月，OpenAI 推出了深度研究功能，允许 ChatGPT 根据用户指令浏览互联网或个人邮箱，并生成详细的调查报告。该功能支持与 Gmail、GitHub 等应用集成，帮助用户深度分析自己的文档和数据。

漏洞的披露与修复

然而，这一功能的背后却暗藏安全隐患。

网络安全公司 Radware 的研究团队发现了ShadowLeak漏洞。他们演示了攻击过程：只需要向用户发送一封特定邮件，当用户使用深度研究功能处理邮件时（如要求“总结今日邮件”或“研究收件箱中某主题”），内嵌在邮件中的恶意指令就会使代理自动向攻击者控制的服务器发送敏感数据，包括姓名、地址或其他私有信息。值得注意的是，整个过程中用户无需点击或查看该邮件，数据就会在不知情的情况下被窃取。

6月18日，Radware通过漏洞报告平台BugCrowd向 OpenAI 报告了这一漏洞。到8月初，OpenAI 完成了修复工作，并于9月3日正式标记为已解决。OpenAI 发言人确认通过其漏洞赏金计划收到了该报告，并表示：“安全开发是我们的首要任务。我们持续采取措施降低恶意使用风险，并不断增强防护机制，以提升模型对抗此类攻击的能力。我们也欢迎研究人员通过对抗测试帮助我们改进。”

零点击攻击

Radware首席技术官David Aviv介绍到：“这是一种典型的零点击攻击，没有任何用户交互提示，受害者完全无法察觉数据被窃。所有操作都在 OpenAI 的云服务器上自主完成”。据 Radware 透露，目前尚未发现该漏洞在现实中被利用。

相关研究人员指出，这种攻击不会在网络层面留下痕迹，因此企业用户很难检测。攻击者使用多种伪装技巧，如将指令文字设置为白色、使用微小字体等方式隐藏恶意内容，收件人难以察觉，但代理仍会读取并执行这些指令。

在一个演示案例中，攻击者发送了一封标题为“重组方案—待办事项”的邮件，邮件正文使用白色文字指令深度研究功能在收件箱中查找员工信息，并访问一个伪装成“公共员工查询”的攻击者控制网址。研究人员表示，邮件中使用了社会工程学技巧，绕过代理的安全限制，同时攻击者还将服务器伪装成“合规验证系统”以使请求看起来合法。

虽然演示基于 Gmail 集成进行，但该攻击同样适用于 Google Drive、Dropbox、SharePoint 等其他数据源。任何能够向代理提供结构化文本的连接器都可能成为攻击载体，潜在泄露包括合同、会议记录和客户档案等高敏感业务数据。