安全公司Push Security近日发布紧急安全警示，曝光了一起针对企业员工的新型网络钓鱼攻击。黑客通过恶意滥用OpenAI的组织邀请机制，成功绕过了传统邮件安全防护，试图诱导员工进入受其控制的虚假AI工作环境。

绕过验证的“合法”陷阱

在这场精心策划的社工攻击中，黑客首先在平台上创建了一个与目标企业同名的OpenAI组织。随后，他们利用OpenAI官方通知邮箱向特定员工发送了加入邀请，由于邮件源自官方且通过了标准身份验证，极具欺骗性。

更具迷惑性的是，黑客甚至提前在组织账号中绑定了有效的Visa信用卡，并为受邀员工默认开启了最高级别的管理员权限。这种反常的“大方”举动，完美消除了员工加入时可能遇到的付费门槛或系统异常提示。

流程漏洞暴露安全盲区

安全研究人员在亲身测试加入流程时发现，整个接纳过程几乎没有任何额外的身份二次验证。用户只需轻点邮件中的链接即可直接进入该组织，无需再次确认账号密码，企业现有的安全防线因此被轻易洞穿。

随着AI工具全面融入日常办公，这类基于平台协作机制和共享通知的社工模式正愈演愈烈。专家提醒，各大企业亟需将防御重心从传统邮件钓鱼，扩展到针对AI平台协作机制的安全审查中。