共计 1014 个字符,预计需要花费 3 分钟才能阅读完成。
安全研究人员近日披露,ChatGPT 曾被利用作为“共犯”,从 Gmail 收件箱中窃取敏感数据,而用户对此毫不知情。尽管 OpenAI 已经修复了这一漏洞,但这一事件凸显了将任务外包给 AI 代理所蕴含的新风险。
这一窃取行为被命名为 Shadow Leak,由安全公司 Radware 在本周发布。研究人员利用了 AI 代理工作方式中的一个特性——AI 代理是可以在无需持续监督的情况下代表用户行事的助手,这意味着它们可以浏览网页并点击链接。AI 公司曾称赞这些代理在用户授权访问个人电子邮件、日历、工作文档等后,能够大幅节省时间。
Radware 的研究人员利用了一种称为“提示注入”的攻击形式,通过指令有效地让代理为攻击者工作。如果没有事先了解可利用的漏洞,这些强大的工具是无法防范的。黑客已经以创造性的方式部署了它们,包括操纵同行评审、执行诈骗和控制智能家居。用户通常完全不知道出了什么问题,因为指令可以隐藏在显眼的地方(对人类来说),例如白色背景上的白色文本。
此案中的“双面间谍”是 OpenAI 的 Deep Research,这是今年早些时候嵌入 ChatGPT 中的 AI 工具。Radware 的研究人员在一封发送到代理有权访问的 Gmail 收件箱的电子邮件中植入了提示注入。当用户下次尝试使用 Deep Research 时,他们会无意中触发陷阱。代理会遇到隐藏的指令,这些指令要求它搜索人力资源电子邮件和个人详细信息,并将这些信息偷偷发送给黑客。受害者仍然一无所知。
让代理失控——以及成功地在不被发现的情况下获取数据,公司可以采取措施防止这种情况——并非易事,并且经历了多次试验和错误。研究人员表示:“这个过程充满了失败的尝试、令人沮丧的障碍,最终取得了突破。”
与大多数提示注入不同,研究人员表示,Shadow Leak 在 OpenAI 的云基础设施上执行,并直接从那里泄露数据。他们写道,这使得它对标准的网络防御系统不可见。
Radware 表示,这项研究是一个概念验证,并警告连接到 Deep Research 的其他应用程序——包括 Outlook、GitHub、Google Drive 和 Dropbox——可能容易受到类似攻击。他们表示:“同样的技术可以应用于这些额外的连接器,以窃取高度敏感的业务数据,如合同、会议记录或客户记录。”
研究人员表示,OpenAI 现已修复了 Radware 在 6 月标记的漏洞。这一事件再次提醒我们,AI 技术在带来便利的同时,也伴随着不可忽视的安全风险。
