安全研究人員利用 ChatGPT 作為共謀者,從 Gmail 收件箱中竊取敏感數據,而不會引起用戶的警覺。這一漏洞已被 OpenAI 關閉,但它展示了自主人工智慧帶來的新風險。
這次盜竊事件被稱為 Shadow Leak,並於本週由安全公司 Radware 發布,依賴的是人工智慧代理運作的特殊性。人工智慧代理是可以在用戶未經持續監督的情況下代表用戶行動的助手,這意味著它們可以瀏覽網頁並點擊鏈接。人工智慧公司讚揚它們為用戶授權訪問個人電子郵件、日曆、工作文件等後的巨大節省時間。
Radware 研究人員利用這種便利性進行了一種稱為提示注入的攻擊,該方法有效地讓代理為攻擊者工作。這些強大的工具在沒有事先了解運行中的漏洞的情況下是無法防範的,黑客已經以創造性的方式部署它們,包括操控同行評審、執行詐騙和控制智能家居。用戶通常完全不知情,因為指令可以隱藏在明顯可見的地方,例如白色背景上的白色文字。
在這一案例中,雙面間諜是 OpenAI 的 Deep Research,這是一個嵌入在 ChatGPT 中的人工智慧工具,今年早些時候推出。Radware 研究人員在發送到代理有權訪問的 Gmail 收件箱中的電子郵件中植入了一個提示注入,然後靜待時機。
當用戶下一次嘗試使用 Deep Research 時,毫不知情地觸發了陷阱。代理會遇到隱藏的指令,這些指令要求它搜索人力資源電子郵件和個人詳細信息,並將這些數據暗中傳送給黑客。受害者依然毫無察覺。
讓代理走向叛變,以及成功將數據在不被發現的情況下竊取,並不是一件容易的事情,這需要經歷大量的試驗和錯誤。研究人員表示:「這個過程就像過山車一樣,充滿了失敗的嘗試、令人沮喪的障礙,最終才迎來突破。」
與大多數提示注入不同,研究人員表示 Shadow Leak 在 OpenAI 的雲基礎設施上執行並直接洩漏數據。這使其對標準的網絡防禦系統隱形。
Radware 表示這項研究是概念驗證,並警告說,其他連接到 Deep Research 的應用程序,包括 Outlook、GitHub、Google Drive 和 Dropbox,可能也會受到類似攻擊的威脅。他們指出:「同樣的技術可以應用於這些附加連接器,以竊取高度敏感的商業數據,例如合同、會議記錄或客戶記錄。」
研究人員表示,OpenAI 現在已經修復了 Radware 在 6 月份標記的漏洞。
