- Radware a détecté une vulnérabilité dans ChatGPT Deep Research qui pourrait exfiltrer les données du compte Gmail.
- L'attaque utilisait une injection indirecte d'invite avec des instructions HTML cachées et fonctionnait à partir de l'infrastructure d'OpenAI.
- OpenAI a déjà atténué la faille ; il n’existe aucune preuve publique d’exploitation réelle.
- Il est recommandé de vérifier et de révoquer les autorisations sur Google et de limiter l'accès des agents IA aux e-mails et aux documents.
Des recherches récentes ont révélé une faille de sécurité dans l'agent Deep Research de ChatGPT qui, sous certaines conditions, pourrait faciliter la sortie d'informations à partir des e-mails hébergés dans GmailCette découverte met en évidence les risques liés à la connexion d’assistants IA à des boîtes de réception et à d’autres services contenant des données sensibles.
L'entreprise de cybersécurité Radware a signalé le problème à OpenAI, et le fournisseur l'a atténué à la fin de l'été avant qu'il ne soit rendu public.. Bien que le scénario d’exploitation soit limité et il n'y a aucune preuve d'abus dans le monde réel, la technique utilisée laisse une leçon importante pour les utilisateurs et les entreprises.
Qu'est-il arrivé aux données de ChatGPT et Gmail ?
Deep Research est un agent ChatGPT orienté vers les enquêtes en plusieurs étapes qui peut, si l'utilisateur l'autorise, consulter sources privées comme Gmail Pour générer des rapports. Cette erreur a permis à un attaquant de préparer un message spécifique, et le système, lors de l'analyse de la boîte de réception, a pu suivre des commandes indésirables.
Le risque réel dépendait de la personne demandant à ChatGPT de mener une enquête spécifique sur son courrier électronique et du fait que le problème correspondait au contenu de l'e-mail malveillant. Pourtant, le vecteur démontre comment un agent d’IA peut devenir l’élément même qui facilite la fuite de données.
Parmi les informations potentiellement concernées pourraient figurer noms, adresses ou autres données personnelles présent dans les messages traités par l'agent. Il ne s'agissait pas d'un accès libre au compte, mais plutôt d'une exfiltration conditionnée par la tâche assignée à l'assistant.
Un aspect particulièrement délicat est que l’activité a commencé à partir du Infrastructure cloud OpenAI, ce qui rendait difficile pour les défenses traditionnelles de détecter un comportement anormal car il ne provenait pas de l'appareil de l'utilisateur.
ShadowLeak : l'injection rapide qui a rendu cela possible
Radware a baptisé la technique ShadowLeak et l'encadre dans un injection rapide indirecte:des instructions cachées dans le contenu que l'agent analyse, capables d'influencer son comportement sans que l'utilisateur ne s'en aperçoive.
L'attaquant a envoyé un e-mail avec instructions HTML camouflées Grâce à des astuces comme des polices minuscules ou du texte blanc sur fond blanc. À première vue L’e-mail semblait inoffensif, mais comprenait des instructions pour rechercher des données spécifiques dans la boîte de réception..
Lorsque l'utilisateur a demandé à Deep Research de travailler sur son e-mail, l'agent a lu ces instructions invisibles et a procédé à l'extraction et à l'envoi de données vers un site Web contrôlé par l'attaquantLors des tests, les chercheurs sont même allés jusqu'à encoder les informations en Base64 pour faire apparaître une prétendue mesure de sécurité.
Les barrières qui nécessitaient un consentement explicite pour ouvrir des liens pouvaient également être contournées en invoquant les propres outils de navigation de l'agent, ce qui facilitait la exfiltration vers des domaines externes sous le contrôle de l'attaquant.
Dans des environnements contrôlés, Les équipes de Radware ont constaté un très haut degré d'efficacité, démontrant que la combinaison de l'accès au courrier et de l'autonomie de l'agent peut être persuasif pour le modèle si les instructions intégrées ne sont pas correctement filtrées.
Pourquoi cela est passé inaperçu auprès des défenses
Les communications provenaient de serveurs de confiance, de sorte que les systèmes de l'entreprise ont perçu un trafic légitime provenant d'un service fiable. Ce détail a transformé la fuite en un angle mort pour de nombreuses solutions surveillance.
De plus, la victime n'a pas eu besoin de cliquer ou d'exécuter quoi que ce soit de spécifique : elle a simplement demandé à l'agent une recherche liée à l'objet de l'e-mail préparé par l'attaquant, ce qui rend la manœuvre silencieux et difficile à suivre.
Les chercheurs soulignent que Nous sommes confrontés à un nouveau type de menace Dans lequel l'agent IA lui-même agit comme vecteur. Même avec un impact pratique limité, ce cas nous oblige à revoir la manière dont nous accordons des autorisations aux outils automatisés.
Correction d'erreurs et recommandations pratiques
OpenAI a mis en œuvre des mesures d'atténuation suite à la notification de Radware et a exprimé sa gratitude pour les preuves contradictoires, soulignant qu'il renforce continuellement ses garanties. À ce jour, le fournisseur affirme que il n'y a aucune preuve d'exploitation de ce vecteur.
Recherche approfondie est un agent optionnel qui ne peut se connecter à Gmail qu'avec l'autorisation expresse de l'utilisateur. Avant de lier des boîtes de réception ou des documents à un assistant, Il convient d’évaluer la portée réelle des permis et de limiter l’accès à ce qui est strictement nécessaire..
Si vous avez lié les services Google, accès à la révision et au débogage c'est simple:
- Accédez à myaccount.google.com/security pour ouvrir le panneau de sécurité.
- Dans la section connexions, cliquez sur Afficher toutes les connexions.
- Identifiez ChatGPT ou d’autres applications que vous ne reconnaissez pas et révoquez les autorisations..
- Supprimez les accès inutiles et réaccordez uniquement ceux strictement nécessaires. essentiel.
Pour les utilisateurs et les entreprises, Il est essentiel de combiner bon sens et mesures techniques : maintenir tout à jour, appliquer le principe du moindre privilège aux agents et aux connecteurs, et surveiller l’activité des outils ayant accès à des données sensibles.
Dans les environnements d'entreprise, les experts recommandent d'intégrer des contrôles supplémentaires pour les agents d'IA et, si des services de recherche approfondie ou similaires sont utilisés, restreindre les capacités comme l'ouverture de liens ou l'envoi de données à des domaines non vérifiés.
Les recherches de Radware et l'atténuation rapide d'OpenAI laissent une leçon claire : connecter les assistants à Gmail offre des avantages, mais des exigences de sécurité évaluer les autorisations, surveiller les comportements et supposons que l’injection d’instructions continuera à tester les agents d’IA.
Je suis un passionné de technologie qui a fait de ses intérêts de « geek » un métier. J'ai passé plus de 10 ans de ma vie à utiliser des technologies de pointe et à bricoler toutes sortes de programmes par pure curiosité. Aujourd'hui, je me spécialise dans l'informatique et les jeux vidéo. En effet, depuis plus de 5 ans, j'écris pour différents sites Web sur la technologie et les jeux vidéo, créant des articles qui cherchent à vous donner les informations dont vous avez besoin dans un langage compréhensible par tous.
Si vous avez des questions, mes connaissances s'étendent de tout ce qui concerne le système d'exploitation Windows ainsi qu'Android pour les téléphones mobiles. Et mon engagement est envers vous, je suis toujours prêt à consacrer quelques minutes et à vous aider à résoudre toutes les questions que vous pourriez avoir dans ce monde Internet.