Siber güvenlik araştırmacıları, bir saldırganın herhangi bir kullanıcı eylemi olmadan tek bir hazırlanmış e-posta ile hassas Gmail gelen kutusu verilerini sızdırmasına izin verebilecek Openai Chatgpt’in derin araştırma acentesinde sıfır tıkaçlı bir kusur açıkladı.
Yeni saldırı sınıfı kodlandı Shadowleak Radware tarafından. 18 Haziran 2025’teki sorumlu açıklamanın ardından, konu Openai tarafından Ağustos ayı başlarında ele alındı.
“Saldırı, e-posta HTML’de (küçük yazı tipleri, beyaz üzerine beyaz metin, düzeni hileleri) gizlenebilecek dolaylı bir istemi enjeksiyon kullanıyor, böylece kullanıcı komutları asla fark etmez, ancak ajan hala okur ve itaat eder,” Güven araştırmacılar Zvika Babo, Gabi Nakefle ve Maor Uziel dedi.
“Sızıntıyı tetiklemek için müşteri tarafı görüntü oluşturmaya dayanan önceki araştırmaların aksine, bu saldırı verileri doğrudan Openai’nin bulut altyapısından sızdırarak yerel veya işletme savunmaları için görünmez hale getiriyor.”
Openai tarafından Şubat 2025’te piyasaya sürülen Deep Research, CHATGPT’de inşa edilen ve ayrıntılı raporlar üretmek için internette çok adımlı araştırma yapan bir ajan yeteneğidir. Benzer analiz özellikleri, Google Gemini gibi diğer popüler yapay zeka (AI) sohbet botlarına ve geçtiğimiz yıl şaşkınlık eklenmiştir.
Radware tarafından detaylandırılan saldırıda, tehdit oyuncusu kurbana görünüşte zararsız görünümlü bir e-posta gönderir, bu da ajana kişisel bilgilerini gelen kutuda bulunan diğer mesajlardan toplamasını ve harici bir sunucuya ekspiltrat ettiren görünmez talimatlar içeren görünmez talimatlar içerir.
Böylece, kurban chatgpt derin araştırmalarını gmail e-postalarını analiz etmek için istediğinde, aracı kötü niyetli e-postadaki dolaylı hızlı enjeksiyonu ayrıştırmaya ve ayrıntıları Tool64 kodlu formattaki ayrıntıları Tool Browser.open () kullanarak saldırgana iletmeye devam eder.
Radware, “Temsilciye Browser.open () aracını kötü amaçlı URL ile kullanmasını açıkça öğreten yeni bir istem hazırladık.” Dedi. “Son ve başarılı stratejimiz, acenteye URL’ye eklemeden önce çıkarılan PII’yi Base64’e kodlamasını öğretmekti. Bu eylemi iletim sırasında verileri korumak için gerekli bir güvenlik önlemi olarak çerçeveledik.”
Konsept kanıtı (POC), Gmail entegrasyonunu sağlayan kullanıcılara bağlıdır, ancak saldırı, CHATGPT’nin Box, Dropbox, GitHub, Google Drive, HubSpot, Microsoft Outlook, Notion veya SharePoint dahil olmak üzere desteklediği herhangi bir konektöre, saldırı yüzeyini etkin bir şekilde genişletir.
İstemci tarafında meydana gelen AgentFlayer ve Echoleak gibi saldırıların aksine, ShadowLeak durumunda gözlemlenen pesfiltrasyon, doğrudan Openai’nin bulut ortamında geçerken, geleneksel güvenlik kontrollerini atlar. Bu görünürlük eksikliği, onu kendisine benzer diğer dolaylı hızlı enjeksiyon güvenlik açıklarından ayıran ana yöndür.
Chatgpt captchas’ı çözdü
Açıklama, AI güvenlik platformu SPLX’in, bağlam zehirlenmesi ile birleştiğinde, chatgpt ajanının yerleşik zekâların altını çizmek ve bir kullanıcının insan olduğunu kanıtlamak için tasarlanmış görüntü tabanlı captchas’ı çözmek için kullanılabileceğini gösteren akıllıca ifade edilen istemlerin kullanılabileceğini gösteriyor.
Saldırı esasen düzenli bir chatgpt-4o sohbeti açmayı ve büyük dil modelini (LLM) sahte captchas listesi olarak tanımlayanları çözme planı bulmaya ikna etmeyi içeriyor. Bir sonraki adımda, yeni bir ChatGPT ajanı sohbeti açıldı ve LLM ile daha önceki konuşma yapıştırıldı, bunun “önceki tartışmamız” olduğunu belirtti – modelin Captchas’ı herhangi bir direnç olmadan çözmesine etkili bir şekilde neden oldu.
https://www.youtube.com/watch?v=g67dlod2qsg
Güvenlik araştırmacısı Dorian Schultz, “İşin püf noktası, captcha’yı” sahte “olarak yeniden çerçevelemek ve ajanın devam etmeyi kabul ettiği bir konuşma yaratmaktı. Bu bağlamı miras alarak olağan kırmızı bayrakları görmedi.” Dedi.
“Ajan sadece basit kaptanları değil, aynı zamanda görüntü tabanlı olanları da çözdü-imlecini insan davranışını taklit etmek için bile ayarladı. Saldırganlar, gerçek kontrolleri onları atlamak için ‘sahte’ olarak yeniden şekillendirebilir, bağlam bütünlüğü, bellek hijyeni ve sürekli kırmızı ekipleme ihtiyacının altını çizebilirler.”