ChatGPT 曝出“ShadowLeak”漏洞:黑客可借“深度研究”模式无痕窃取 Gmail 账户信息

【AIbase 报道】根据 Radware 安全团队的最新发现，人工智能对话平台 ChatGPT 所搭载的“深度研究”功能曾暴露出一个高危漏洞，代号为“ShadowLeak”。该漏洞可被恶意利用，导致用户的 Gmail 账户信息（如姓名、地址等敏感数据）在未授权且无感知的情况下被窃取。

此次攻击的独特之处在于，整个过程完全在 OpenAI 的云端环境中进行，不留外部入侵痕迹，同时能有效规避本地防火墙和其他终端防护机制。研究人员形象地将这种被操控的 AI 代理称为“由外部驱动的内部帮凶”。

攻击通常以一封伪装得极为逼真的电子邮件为起点。邮件主题看似无害，但其正文隐藏了经过特殊处理的 HTML 内容——例如使用白色字体显示在白色背景上，或极小字号的文字——其中嵌入了恶意指令。这些指令会欺骗“深度研究”代理执行两项关键操作：一是从用户其他邮件中抓取个人隐私信息；二是将这些信息通过 Base64 编码后，发送至攻击者控制的远程服务器。

为了绕过系统的安全校验，攻击者采用了社会工程手段，诱导 AI 代理误以为该请求属于合法任务的一部分，并通过制造“报告缺失关键内容”等紧迫情境，促使代理优先执行指令。当用户发起类似“帮我分析今天收到的人力资源邮件”这样的查询时，“深度研究”代理便会自动处理包含隐藏指令的恶意邮件，在后台悄然完成数据提取与外传，全程对用户完全隐蔽。

Radware 强调，此漏洞并非源自大语言模型本身的缺陷，而是与其所集成的工具执行权限有关。具体而言，名为 browser.open() 的内部函数允许代理发起任意 HTTP 请求，正是这一能力被滥用，成为攻击链中的核心突破口。

微信 WeLM

WeLM不是一个直接的对话机器人，而是一个补全用户输入信息的生成模型。

33

查看详情

安全团队进一步指出，此类威胁不仅局限于电子邮件系统。任何支持 AI 代理读取结构化文本的服务平台——包括 Google Drive、Outlook、Microsoft Teams、Notion 和 GitHub 等——均可能成为潜在目标。恶意代码可潜伏于会议邀请、共享文档 PDF、聊天记录甚至代码注释中，将原本正常的 AI 协作任务转变为数据泄露通道。

该漏洞已于 2025 年 6 月 18 日通过 Bugcrowd 漏洞赏金平台提交给 OpenAI。OpenAI 在同年 8 月初完成修复工作，但直到 9 月 3 日才正式发布公告，确认问题已解决并感谢研究人员的披露。

这一事件再次敲响警钟：AI 代理系统的安全性面临严峻挑战。其根本风险在于“提示注入”（Prompt Injection）攻击——即攻击者将恶意指令隐藏在正常内容中，诱使 AI 执行非预期操作。尽管此类攻击模式已存在多年，目前仍缺乏有效的防御机制。已有研究证实，几乎所有具备外部交互能力的 AI 代理都可能存在被劫持的风险，尤其是那些可访问互联网和用户数据的系统，极易被利用进行数据窃取、恶意软件下载等行为。此前，OpenAI CEO Sam Altman 也曾公开提醒用户：切勿将敏感或高风险任务交由 AI 代理处理。

以上就是ChatGPT 曝出“ShadowLeak”漏洞:黑客可借“深度研究”模式无痕窃取 Gmail 账户信息的详细内容，更多请关注php中文网其它相关文章！