ChatGPT驚傳零點擊漏洞!駭客能無痕竊取您的Gmail資料

2025-09-19

記者孫敬/編譯

OpenAIChatGPT旗下的「Deep Research」的AI代理(AI Agent),近日被發現存在一個嚴重的「零點擊」(Zero-click)漏洞,駭客可利用此漏洞,在使用者毫無察覺、無需任何互動的情況下,竊取Gmail帳戶內的機敏資料。

延伸閱讀:Google試算表導入「客戶端加密」功能 讓企業自己掌握加密金鑰保障資安

OpenAI ChatGPT
零點擊漏洞結合電子郵件執行惡意指令。(圖/科技島資料照)

駭客如何用隱形指令欺騙AI代理

資安公司Radware指出,這是一種精密的「間接提示注入」(Indirect prompt injection)攻擊手法。駭客會發送一封經過精心設計的惡意電子郵件給受害者,這封信件的HTML程式碼中隱藏了肉眼看不見的惡意指令,例如使用微小字體或白色文字。

當使用者啟動Deep Research的AI代理分析Gmail信箱時,AI代理會自動讀取這封惡意郵件。隱藏的指令會利用多種社交工程手法,繞過AI代理內建的安全協定,包括:

  • 偽造權限:惡意指令聲稱AI代理擁有「完全授權」來存取外部URL。
  • 偽裝網址:駭客的伺服器被包裝成一個合法的「合規驗證系統」。
  • 數據混淆:指令要求AI代理將竊取來的資料用Base64編碼,將其偽裝成安全措施,但實質上是為了掩蓋數據外傳的軌跡。

一旦AI代理處理了這封郵件,就會在信箱中搜尋個人身份資訊(PII),例如HR郵件中的姓名與地址,接著將這些資料編碼並自動發送到駭客控制的伺服器,整個過程完全在後台完成,使用者螢幕上不會顯示任何異常。

服務端攻擊難以防範,企業資安面臨新挑戰

這個漏洞最危險之處在於「服務端」(Service-side)的特性。資料竊取完全發生在OpenAI的雲端環境中,由AI代理的內建瀏覽工具執行。這與過去常見的「客戶端」(Client-side)攻擊(如在使用者瀏覽器中呈現惡意內容)有顯著不同。

由於攻擊源頭來自OpenAI的基礎設施,傳統的企業資安防護措施,如安全網路閘道(Secure web gateways)或端點監控系統,都難以偵測到。這也意味著受害者在資料外洩時,將毫無所覺。

儘管概念驗證是以Gmail為例,但研究人員警告,這類攻擊原理可應用於任何與深度研究AI代理整合的數據服務,潛在的攻擊媒介包括:

  • GoogleDrive或Dropbox中的PDF/Word文件。
  • Outlook或GoogleCalendar的會議邀請。
  • HubSpot或Notion的記錄文件。
  • MicrosoftTeams的訊息或檔案。
  • GitHub中的README檔案。

研究人員建議,若要有效防禦此類攻擊,需持續監控AIAI代理的行為,確保其操作與使用者原始意圖相符,才能及時發現並阻擋惡意提示所造成的偏差。OpenAI在6月18日接獲漏洞通報,並於9月3日確認問題已解決。

資料來源:Cyber Security News

Loading

在 Google News 上追蹤我們
標籤
2025-09-19

發佈留言

Back to top button