【AIbase 报道】 据 Radware 安全研究人员披露，人工智能平台 ChatGPT 的“深度研究”模式曾存在一个名为“ShadowLeak”的严重漏洞。该漏洞允许攻击者在用户毫不知情的情况下，悄然窃取其 Gmail 账户中的姓名、地址等敏感数据。

该攻击的特殊之处在于，它完全发生在 OpenAI 自己的云基础设施内，不留任何痕迹，并能绕过防火墙等本地安全防护。研究人员将这种攻击代理比作“一个被外部操纵的内部人员”。

据了解，攻击始于一封经过精心伪装的电子邮件，其主题看似普通，但邮件正文却利用隐藏的 HTML（例如，白底白字或小字体）嵌入恶意指令。这些指令会诱骗“深度研究”模式的代理执行以下操作:从用户的另一封电子邮件中提取个人数据。或者将这些数据通过 Base64编码后发送到一个由攻击者控制的外部 URL。

为了绕过代理的内置安全措施，攻击者使用了社会工程学技术，让代理“相信”其有权执行该任务，并以“报告不完整”等理由制造紧迫感。当用户启动“深度研究”查询时（例如“分析我今天的人力资源邮件”），该代理会在不知不觉中处理这封恶意邮件，并执行隐藏指令，将数据静默传输到攻击者的服务器，整个过程对用户完全透明。

Radware 指出，该漏洞并非源于语言模型本身，而是代理执行工具的能力。其中，名为 browser.open（） 的内部功能允许代理发起 HTTP 请求，成为此次攻击的突破口。

研究人员警告，这种攻击方法不仅限于电子邮件，任何代理处理结构化文本的平台，如 Google Drive、Outlook、Teams、Notion 或 GitHub 等都可能面临风险。恶意指令可以被隐藏在会议邀请、共享 PDF 文件或聊天记录中，将常规的 AI 任务变成潜在的安全漏洞。

Radware 已于2025年6月18日通过 Bugcrowd 平台向 OpenAI 报告了该漏洞。OpenAI 于8月初完成了修复，但直到9月3日才公开承认并确认该问题已解决。

此次事件再次凸显了 AI 代理系统的脆弱性。核心问题在于“即时注入”（Prompt Injection），即攻击者将隐藏指令嵌入用户无察觉的文本中。尽管该漏洞已存在多年，但仍未找到可靠的解决方案。有研究表明，几乎每个 AI 代理都可能被入侵，尤其那些能够访问互联网的代理，极易被操纵导致数据泄露、恶意软件下载等问题。OpenAI 首席执行官 Sam Altman 也曾警告，不要将高风险或敏感任务委托给 AI 代理。