【AIbase 报道】根据 Radware 安全团队的最新发现,人工智能对话平台 ChatGPT 所搭载的“深度研究”功能曾暴露出一个高危漏洞,代号为“ShadowLeak”。该漏洞可被恶意利用,导致用户的 Gmail 账户信息(如姓名、地址等敏感数据)在未授权且无感知的情况下被窃取。
此次攻击的独特之处在于,整个过程完全在 OpenAI 的云端环境中进行,不留外部入侵痕迹,同时能有效规避本地防火墙和其他终端防护机制。研究人员形象地将这种被操控的 AI 代理称为“由外部驱动的内部帮凶”。
攻击通常以一封伪装得极为逼真的电子邮件为起点。邮件主题看似无害,但其正文隐藏了经过特殊处理的 HTML 内容——例如使用白色字体显示在白色背景上,或极小字号的文字——其中嵌入了恶意指令。这些指令会欺骗“深度研究”代理执行两项关键操作:一是从用户其他邮件中抓取个人隐私信息;二是将这些信息通过 Base64 编码后,发送至攻击者控制的远程服务器。
为了绕过系统的安全校验,攻击者采用了社会工程手段,诱导 AI 代理误以为该请求属于合法任务的一部分,并通过制造“报告缺失关键内容”等紧迫情境,促使代理优先执行指令。当用户发起类似“帮我分析今天收到的人力资源邮件”这样的查询时,“深度研究”代理便会自动处理包含隐藏指令的恶意邮件,在后台悄然完成数据提取与外传,全程对用户完全隐蔽。
Radware 强调,此漏洞并非源自大语言模型本身的缺陷,而是与其所集成的工具执行权限有关。具体而言,名为 browser.open() 的内部函数允许代理发起任意 HTTP 请求,正是这一能力被滥用,成为攻击链中的核心突破口。
安全团队进一步指出,此类威胁不仅局限于电子邮件系统。任何支持 AI 代理读取结构化文本的服务平台——包括 Google Drive、Outlook、Microsoft Teams、Notion 和 GitHub 等——均可能成为潜在目标。恶意代码可潜伏于会议邀请、共享文档 PDF、聊天记录甚至代码注释中,将原本正常的 AI 协作任务转变为数据泄露通道。
该漏洞已于 2025 年 6 月 18 日通过 Bugcrowd 漏洞赏金平台提交给 OpenAI。OpenAI 在同年 8 月初完成修复工作,但直到 9 月 3 日才正式发布公告,确认问题已解决并感谢研究人员的披露。
这一事件再次敲响警钟:AI 代理系统的安全性面临严峻挑战。其根本风险在于“提示注入”(Prompt Injection)攻击——即攻击者将恶意指令隐藏在正常内容中,诱使 AI 执行非预期操作。尽管此类攻击模式已存在多年,目前仍缺乏有效的防御机制。已有研究证实,几乎所有具备外部交互能力的 AI 代理都可能存在被劫持的风险,尤其是那些可访问互联网和用户数据的系统,极易被利用进行数据窃取、恶意软件下载等行为。此前,OpenAI CEO Sam Altman 也曾公开提醒用户:切勿将敏感或高风险任务交由 AI 代理处理。
