Эксплойт ShadowLeak раскрыл данные Gmail через агента ChatGPT

Группа исследователей безопасности из компании Radware, поставщика решений Cloud Security, нашла способ обмануть популярный инструмент искусственного интеллекта, заставив его раскрыть личную информацию пользователя. Команда, в которую входят ведущие исследователи Звика Бабо и Габи Накибли, обнаружила уязвимость в агенте OpenAI ChatGPT Deep Research – инструменте, который автономно просматривает интернет и пользовательские документы для создания отчётов. Они продемонстрировали, как можно обманом заставить агента раскрыть конфиденциальные данные из учётной записи Gmail пользователя без его ведома.

Исследователи назвали уязвимость ShadowLeak, описав её как атаку « нулевого клика » (атаку, запускаемую без необходимости пользователю нажимать на что-либо), скрытую внутри обычного электронного письма с невидимыми командами. Когда пользователь отдаёт команду агенту Deep Research просканировать его электронные письма, он считывает скрытые инструкции и, «без подтверждения пользователя и без отображения чего-либо в пользовательском интерфейсе», отправляет личные данные пользователя в хранилище, контролируемое злоумышленником.

В отличие от предыдущих уязвимостей, таких как AgentFlayer и EchoLeak , которые зависели от веб-браузера пользователя, этот новый метод работает непосредственно из облачных серверов OpenAI. Исследователи назвали это «эксфильтрацией на стороне сервиса», что значительно затрудняет обнаружение с помощью обычного программного обеспечения безопасности, поскольку он работает полностью в фоновом режиме. Согласно отчёту, он также «невидим для пользователя», поскольку ничего не отображается и не обрабатывается.

Атака использует метод, называемый «косвенной инъекцией подсказок» , при котором вредоносные команды скрываются внутри данных, которые модель искусственного интеллекта должна обрабатывать, например, в электронных письмах, и выполняются без ведома пользователя. Вредоносное электронное письмо, которое может называться «Пакет реструктуризации – пункты действий», выдаёт себя за обычное сообщение.

Внутри письма невидимый код предписывает агенту найти конфиденциальную информацию и отправить её на поддельный «URL-адрес поиска государственных служащих». В письме используются приёмы социальной инженерии, такие как утверждение «полной авторизации» и создание ложного ощущения срочности, чтобы обойти проверки безопасности агента.

Команда потратила много времени на оттачивание атаки методом проб и ошибок, в конечном итоге разобравшись, как заставить агента использовать его собственный инструмент browser.open() для выполнения вредоносной команды. Поручив агенту закодировать украденную информацию в формате Base64 в качестве «меры безопасности», они смогли создать видимость безвредности атаки и добиться «100% успеха».

Согласно сообщению в блоге Radware, компания ответственно сообщила о проблеме OpenAI в июне 2025 года. Уязвимость была устранена к началу августа и официально признана устраненной OpenAI 3 сентября.

Хотя в качестве доказательства концепции они использовали Gmail, исследователи отметили, что тот же метод может работать и на других сервисах, подключающихся к инструменту Deep Research, таких как Google Drive, Microsoft Teams и GitHub, для кражи конфиденциальных бизнес-данных.

Чтобы предотвратить подобные проблемы, они советуют компаниям очищать электронные письма до того, как их прочитают инструменты ИИ, а также постоянно отслеживать действия агента ИИ, чтобы убедиться, что его действия соответствуют первоначальному запросу пользователя.