Bulut Güvenlik Çözümleri Sağlayıcısı Radware’den bir güvenlik araştırmacısı ekibi, popüler bir AI aracını bir kullanıcının özel bilgilerini bırakmaya kandırmanın bir yolunu buldu. Baş araştırmacılar Zvika Babo ve Gabi Nakible da dahil olmak üzere ekip, Openai’nin Chatgpt Deep araştırma acentesinde bir kusur keşfetti, bu da rapor oluşturmak için internet ve kullanıcı belgelerine özerk bir şekilde göz atan bir araç. Temsilcinin bilgisi olmadan bir kullanıcının Gmail hesabından özel verileri nasıl sızdırabileceğini gösterdiler.
Araştırmacılar, görünmez komutları olan normal görünümlü bir e-postanın içinde gizlenmiş olan “sıfır tıkaç” saldırısı (kullanıcı herhangi bir şeyi tıklamaya ihtiyaç duymadan tetiklenen bir saldırı) olarak tanımlayan Flaw ShadowLeak adını verdiler. Bir kullanıcı derin araştırma acentesine e -postalarını taramasını söylediğinde, gizli talimatları okur ve “kullanıcı onayı olmadan ve kullanıcı arayüzünde hiçbir şey oluşturmadan”, kullanıcının özel verilerini saldırgan tarafından kontrol edilen bir yere gönderir.
Görünmez bir tehdit
Bir kullanıcının web tarayıcısına dayanan AgentFlayer ve EchoLeak gibi geçmiş 0 tıklayın, bu yeni yöntem doğrudan Openai’nin bulut sunucularının içinden çalışır. Araştırmacılar bu hizmet tarafı eksfiltrasyonu olarak adlandırdılar, bu da tamamen perde arkasında çalıştığı için normal güvenlik yazılımı ile tespit etmeyi çok zorlaştırdı. Rapora göre, hiçbir şey görüntülenmediği veya oluşturulmadığı için “kullanıcı için görünmez”.
Saldırı, verilerin içinde kötü niyetli komutların bir e -posta gibi işlemek için tasarlandığı ve kullanıcının bilgisi olmadan yürütüldüğü verilerin içinde saklandığı dolaylı istemi enjeksiyonu adı verilen bir yöntem kullanır. “Paket – Eylem Öğeleri” başlıklı kötü niyetli e -posta normal bir mesaj gibi davranıyor.
İçeride, Görünmez Kodu, acentene hassas bilgiler bulmasını ve sahte bir “kamu çalışanı arama URL’sine” gönderme talimatını verir. E -posta, “tam yetkilendirme” iddia etmek ve acentenin güvenlik kontrollerini atlamak için yanlış bir aciliyet duygusu oluşturmak gibi sosyal mühendislik hilelerini kullanıyor.
Ekip, saldırıyı geliştirerek uzun bir deneme-yanılma aşaması geçirdi ve sonunda aracısı kötü amaçlı komutu yürütmek için kendi tarayıcısını kullanmaya nasıl zorlayacağını buldu. Temsilciye Base64’teki çalınan bilgileri “güvenlik önlemi” olarak kodlamasını söyleyerek, zararsız görünmesini ve “% 100 başarı oranı” elde edebildiler.
Sorun düzeltildi
Radware’in blog yazısına göre, sorunu Haziran 2025’te Openai’ye sorumlu bir şekilde bildirdi. Güvenlik açığı Ağustos ayı başlarına kadar düzeltildi ve 3 Eylül’de Openai tarafından çözüldüğü kabul edildi.
Konsept kanıtı Gmail’i kullansa da, araştırmacılar aynı tekniğin, hassas iş verilerini çalmak için Google Drive, Microsoft Teams ve GitHub gibi derin araştırma aracıyla bağlantı kuran diğer hizmetler üzerinde de çalışabileceğine dikkat çekti.
Benzer sorunları önlemek için, şirketlere AI araçları okumadan önce e -postaları temizlemelerini ve AI temsilcisinin eylemlerinin kullanıcının orijinal isteği ile uyumlu olmasını sağlamak için ne yaptığını sürekli olarak izlemelerini tavsiye ederler.