ChatGPT’nin derin araştırma acentesinde bulunan sıfır tıkalı bir güvenlik açığı, saldırganların herhangi bir kullanıcı etkileşimi olmadan bir kullanıcının Gmail hesabından duyarlı verileri dışarı atmasına izin verdi.
Openai’nin o zamandan beri yamaladığı kusur, bir e -posta içinde gizlenmiş olan sofistike bir dolaylı hızlı enjeksiyon biçiminden yararlandı ve acenteyi doğrudan Openai’nin bulut altyapısından kişisel bilgileri sızdırmaya kandırdı.
Radware’e göre, saldırı bir saldırganın bir kurbana özel hazırlanmış bir e -posta göndermesi ile başladı. Bu e-posta, küçük yazı tipleri veya beyaz üzerine beyaz metin gibi teknikler kullanılarak HTML koduna gömülü insan gözüne görünmeyen gizli talimatlar içeriyordu.
Kullanıcı derin araştırma acentesini Gmail gelen kutusunu analiz etmeye teşvik ettiğinde, aracı bu kötü niyetli e -postayı meşru olanlarla birlikte okuyacaktır.
Gizli istemler, ajanın güvenlik protokollerini atlamak için sosyal mühendislik taktiklerini kullandı. Bu taktikler şunları içerir:
- Otorite iddia etmek: Ajanın harici URL’lere erişmek için “tam yetkilendirme” olduğunu yanlış iddia etti.
- Kötü niyetli URL’lerin gizlenmesi: Saldırganın sunucusu meşru bir “uyumluluk doğrulama sistemi” olarak sunuldu.
- Kalıcılığı zorunlu kılmak: Ajan, belirleyici olmayan güvenlik bloklarının üstesinden gelerek, başarısız olursa bağlantıyı birden çok kez yeniden denemesi talimatı verildi.
- Aciliyet yaratmak: İstem, uyulmamasının eksik bir raporla sonuçlanacağı konusunda uyardı.
- Yanlış bir şekilde güvenlik talep ediyorum: Talimatlar, ajanı base64’teki çalıntı verileri kodlamaya yönlendirerek, veri açığa çıkmasını gerçekten gizlerken bir güvenlik ölçüsü olarak çerçevelemeye yönlendirdi.
Aracı kötü amaçlı e -postayı işledikten sonra, kullanıcının gelen kutusunu, İK e -postasından ad ve adres gibi kişisel olarak tanımlanabilir bilgiler (PII) için arar.
Daha sonra bu verileri kodlar ve kullanıcıdan herhangi bir görsel gösterge veya onay olmadan saldırgan kontrollü sunucuya gönderir.
Hizmet tarafı ve istemci tarafı eksfiltrasyonu
Bu kırılganlığı özellikle tehlikeli kılan şey, hizmet tarafı doğasıydı. Veri püskürtme tamamen Ajan’ın kendi tarama aracı tarafından yürütülen Openai’nin bulut ortamında meydana geldi.
Bu, kullanıcının tarayıcısında kötü niyetli içerik (resimler gibi) oluşturmaya dayanan önceki istemci tarafı saldırılarından önemli bir artıştır.
Saldırı Openai’nin altyapısından kaynaklandığından, güvenli web ağ geçitleri, uç nokta izleme ve tarayıcı güvenlik politikaları gibi geleneksel kurumsal güvenlik önlemleri görünmezdi. Radware, kullanıcının veri sızıntısı hakkında hiçbir bilgisi olmayacağını, çünkü ekranlarında hiçbir şey görüntülenmeyeceğini söyledi.
Kavram kanıtı Gmail’e odaklanırken, güvenlik açığının ilkeleri derin araştırma acentesiyle entegre olan herhangi bir veri konnektörüne uygulanabilir. Kötü niyetli istemler aşağıdakilerde gizlenebilir:
- Google Drive veya Dropbox’taki PDF’ler veya Word belgeleri.
- Outlook veya Google takviminde toplantı davetleri.
- Hubspot veya kavramda kayıtlar.
- Microsoft ekiplerindeki mesajlar veya dosyalar.
- GitHub’daki dosyaları okur.
Metin tabanlı içeriğin ajan tarafından yutulmasına izin veren herhangi bir hizmet, bu tür bir saldırı için potansiyel bir vektör olarak hizmet etmiş olabilir.
Kusursuzluğu keşfeden araştırmacılar, sağlam bir azaltma stratejisinin, eylemlerinin kullanıcının orijinal niyetiyle uyumlu olmasını sağlamak için ajanın davranışının sürekli izlenmesini içerdiğini göstermektedir. Bu, kötü niyetli istemlerin neden olduğu sapmaları tespit etmeye ve engellemeye yardımcı olabilir.
Güvenlik açığı 18 Haziran 2025’te Openai’ye bildirildi. Sorun kabul edildi ve Ağustos başında bir düzeltme konuşlandırıldı. Openai, güvenlik açığını 3 Eylül 2025’te çözüldüğü gibi işaretledi.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.