Фахівці з кібербезпеки Radware виявили вразливість у Deep Research чатбота ChatGPT, яка давала змогу зловмисникам викрадати конфіденційні дані з Gmail за допомогою лише одного, ретельно складеного електронного листа, без жодної взаємодії з користувачем. OpenAI вже випустила виправлення.
Фахівці з кібербезпеки Radware виявили вразливість у Deep Research чатбота ChatGPT, яка давала змогу зловмисникам викрадати конфіденційні дані з Gmail за допомогою лише одного, ретельно складеного електронного листа, без жодної взаємодії з користувачем. OpenAI вже випустила виправлення.
Цього тижня компанія, що займається кібербезпекою, Radware повідомила про критичну вразливість у Deep Research, яку назвали ShadowLeak. Вона попередила, що ця помилка могла дозволити зловмисникам викрадати дані з поштових скриньок без жодної взаємодії з боку користувача.
Дослідники продемонстрували, що достатньо було просто надіслати спеціально сформований шкідливий електронний лист користувачеві Deep Research, і коли ШІ-асистент пізніше аналізував пошту, він просто викрадав конфіденційні дані, пише The Register.
Ця атака полягає в приховуванні інструкцій у HTML-коді електронного листа за допомогою білого тексту на білому тлі, хитрощів із CSS або метаданих, які людина-одержувач ніколи не помітить. Коли Deep Research пізніше сканує поштову скриньку, вона слухняно виконує приховані команди зловмисника й надсилає вміст повідомлень або інші запитувані дані на сервер, контрольований зловмисником.
Radware підкреслив, що шкідливий запит виконується з власної інфраструктури OpenAI, що робить його фактично невидимим для корпоративних інструментів безпеки.
Саме цей компонент, що працює на стороні сервера, робить ShadowLeak особливо небезпечним. Користувачеві не потрібно переходити за підозрілим посиланням, і з його ноутбука немає жодних підозрілих вихідних з’єднань. Уся операція відбувається в хмарі, і єдиним слідом залишається нешкідливий на вигляд запит від користувача до ChatGPT із проханням «підсумувати сьогоднішні електронні листи».
У звіті Radware застерігається, що зловмисники можуть викрасти особисті дані, внутрішні службові записки, юридичну кореспонденцію, записи про клієнтів і навіть облікові дані, залежно від вмісту поштової скриньки. Дослідники стверджують, що ризик не обмежується лише Gmail. Будь-яка інтеграція, яка дає змогу ChatGPT збирати приватні документи, може бути вразливою до цього ж трюку, якщо фільтрація вхідних даних не є ідеальною.
Radware заявила, що повідомила OpenAI про помилку ShadowLeak 18 червня, а компанія випустила виправлення 3 вересня.
