【AIbase 深度报道】Radware 安全研究团队近日揭露了人工智能平台 ChatGPT“深度研究”模式中一个极其隐蔽的严重漏洞——代号“ShadowLeak”。该漏洞能够让攻击者在用户毫无察觉的情况下,直接从其 Gmail 账户中窃取姓名、地址等核心敏感信息。这种攻击的独特之处在于,整个入侵过程完全发生在 OpenAI 自家的云服务器内部,不仅不会留下任何可追踪的痕迹,甚至能够轻易绕过用户端的防火墙等本地安全防护措施。研究人员将这种攻击行为形象地描述为“一个被外部遥控的内部员工”。
据悉,这场攻击的起手式是一封经过高明伪装的钓鱼邮件。其邮件主题看似平平无奇,但正文内容却暗藏玄机——通过隐藏的 HTML 技巧(如白底白字或极小字号文字)嵌入恶意指令。这些指令会诱骗 ChatGPT 的“深度研究”代理执行两大任务:一是从用户其他邮件中直接抓取个人数据,二是将提取的数据经过 Base64 编码后发送至攻击者控制的外部服务器。为了突破代理内置的安全机制,攻击者巧妙地运用了社会工程学手法,让代理产生“权限错觉”——通过编造“报告不完整将影响后续分析”等虚假理由制造紧迫感。当用户启动“深度研究”功能(例如输入“分析今天的人力资源邮件”等指令)时,代理会在用户不知情的情况下处理这封恶意邮件,并自动执行隐藏指令,将敏感数据无声无息地传输至攻击者手中,整个过程对用户而言完全透明。
Radware 研究团队强调,该漏洞并非 ChatGPT 语言模型本身的技术缺陷,而是代理执行工具的安全漏洞。其中名为 browser.open() 的内部函数允许代理发起 HTTP 请求,成为攻击者的关键突破口。值得注意的是,这种攻击方式并不仅限于电子邮件,任何处理结构化文本的 AI 代理平台,包括 Google Drive、Outlook、Teams、Notion 或 GitHub 等,都可能面临类似风险。攻击者可以将恶意指令隐藏在会议邀请、共享 PDF 文件或聊天记录中,将看似无害的 AI 任务转化为潜在的数据窃取渠道。
Radware 于 2025 年 6 月 18 日通过 Bugcrowd 平台正式向 OpenAI 报告了这一漏洞。OpenAI 在 8 月初完成了技术修复,但直到 9 月 3 日才公开承认问题并确认修复完成。这一事件再次敲响了 AI 代理系统安全性的警钟。核心问题在于“指令注入”(Prompt Injection)技术,即攻击者将恶意指令巧妙地嵌入用户无法察觉的文本中。尽管该漏洞的技术存在已久,但目前仍缺乏可靠的防范方案。相关研究显示,几乎所有 AI 代理都存在被入侵的风险,尤其是那些具备互联网访问功能的代理,极易被操控导致数据泄露、恶意软件下载等严重后果。OpenAI 首席执行官 Sam Altman 也曾公开提醒用户,切勿将涉及高风险或敏感信息的工作委托给 AI 代理处理。