吳明宜安全研究人員發現,ChatGPT Deep Research 有個漏洞能被用來當幫兇,偷偷從 Gmail 中竊取敏感資訊而不被發現。好消息是 OpenAI 已經修補該漏洞。
現在各家 AI 公司都極力發展 AI 代理人自動代使用者上網及點擊連結執行任務的能力,並宣稱只要用戶授權其代理人存取個人郵件、行事曆和工作文件等,就能省下大量時間。
Radware 研究人員就利用這點,設計了提示注入攻擊,讓代理人為攻擊者為虎作倀。他們測試利用 Deep Research 代理人的 Connector 串連 Gmail 或其他應用程式的攻擊手法,並稱之為 Shadow Leak 。 Shadow Leak 應用相當多元,包括偽造同儕審查、執行詐騙或控制智慧家庭裝置。而且攻擊往往發生在使用者眼皮底下,他們卻無法察覺異常。
例如一種提示注入攻擊中,可以將攻擊指令藏在白色背景的白色文字中。 Radware 研究人員示範在寄給 Gmail 郵件中注入指令,而在用戶以 ChatGPT 讀取信件時發生互動。當用戶以 ChatGPT Deep Research 摘要信件時,會接收隱藏的白色文字指令,該指令要求它搜尋 HR 郵件及個人資料,再將資訊神不知鬼不覺送給駭客。
這類攻擊是利用 Deep Research 代理人在處理來自已連接的資料來源,如 Gmail 、 Google Drive 等 connectors 時,沒有足夠過濾或正規化 (sanitize)HTML 內容中的隱藏提示。研究人員指出,不同於一般提示注入,Shadow Leak 是從 OpenAI 的伺服端 (cloud infrastructure) 發生,而不是在使用者的裝置或客戶端去渲染圖片/內容,因而一般網路安全工具防不勝防。
在研究人員測試中,測試環境安全機制雖然存在,但不夠穩固。因而研究者透過多次調整最終仍突破安全工具防護。防禦機制對於這種存在服務端、隱藏提示注入、授權誤導 及訊息混淆技巧組合起來的手法並未有效阻止。
Radware 表示,Shadow Leak 只是概念驗證攻擊,他們警告,其他整合 Deep Research 的應用程式,包括 Outlook 、 GitHub 、 Google Drive 和 Dropbox 等都可能遭類似攻擊,而導致機密及隱私資料外洩,如公司聯絡人、會議紀錄或客戶資料等。
接獲 Radware 通報漏洞後,OpenAI 已於六月份修補。
來源:The Verge