Shadow Leak: как уязвимость в ChatGPT превратила ИИ-агента в инструмент кибератаки

Исследование Radware выявило новый вектор угроз

Компания Radware представила исследование, показавшее, как киберпреступники смогли использовать ChatGPT в качестве невольного помощника при атаке на Gmail. Уязвимость, позже закрытая OpenAI, продемонстрировала опасности, связанные с автономными ИИ-агентами - инструментами, которые становятся все более популярными, но при этом несут серьезные риски безопасности.

Эксперимент Shadow Leak и техника prompt injection

Атака получила название Shadow Leak и основывалась на приёме prompt injection (инъекция промптов) - внедрении скрытых инструкций в тело электронного письма. Такие команды заставляли ИИ-агента действовать в интересах злоумышленников.
В отличие от классических чат-ботов, автономные агенты ChatGPT могут самостоятельно искать информацию в интернете, читать документы и работать с почтой, что делает их мощным, но уязвимым инструментом.

Как происходила кибератака на Gmail

В рамках эксперимента исследователи отправили письмо на Gmail-аккаунт, связанный с агентом Deep Research (встроенным в ChatGPT). Когда пользователь активировал его, скрытые инструкции запускали цепочку действий:

• поиск писем от HR;
• сбор персональных данных;
• незаметная пересылка информации хакерам.

Все это происходило без ведома жертвы, что делало атаку особенно опасной.

Почему Shadow Leak оказался уникальным

По данным Radware, основная сложность заключалась в том, чтобы ИИ завершил извлечение данных так, чтобы системы защиты не зафиксировали аномалию. Уникальность Shadow Leak заключается в том, что кража информации происходила напрямую из облачной инфраструктуры OpenAI, что делало атаку «невидимой» для традиционных средств киберзащиты.

Угроза не ограничивается Gmail

Эксперты предупреждают, что тот же метод может быть применен к другим сервисам, интегрированным с Deep Research:

• Outlook,
• GitHub,
• Google Drive,
• Dropbox.

Это открывает возможности для похищения контрактов, заметок с деловых встреч и конфиденциальных клиентских данных.

Реакция OpenAI и выводы экспертов

OpenAI была уведомлена об уязвимости в июне и быстро устранила проблему. Компания подчеркнула оперативность своей реакции. Однако инцидент показал, насколько сложно обеспечить полную безопасность, когда автономные ИИ-агенты способны выполнять скрытые команды, незаметные для пользователя (например, текст белым по белому фону).