これが、Deep Research が ChatGPT に失敗した経緯です。

Radware は、ChatGPT Deep Research に Gmail アカウントのデータを盗み出す可能性のある脆弱性を検出しました。
この攻撃は、隠された HTML 命令による間接的なプロンプトインジェクションを使用し、OpenAI のインフラストラクチャから実行されました。
OpenAI はすでにこの欠陥を軽減しており、実際に悪用されたという公開証拠はない。
Google の権限を確認して取り消し、AI エージェントのメールやドキュメントへのアクセスを制限することをお勧めします。

ChatGPTのディープリサーチの欠陥

最近の研究では、 ChatGPTのDeep Researchエージェントのセキュリティホールは、特定の条件下では、 Gmailでホストされているメールからの情報の出力を容易にすることができますこの発見は、AIアシスタントを受信トレイや機密データを含むその他のサービスに接続することのリスクを浮き彫りにしている。

サイバーセキュリティ企業 ラドウェア社はこの問題を OpenAI に報告し、同社はこの問題が公になる前に夏の終わりに緩和策を講じた。搾取のシナリオは限定的であり、 現実世界では虐待の証拠はない、使用される技術はユーザーと企業にとって重要な教訓.

ChatGPT と Gmail データはどうなったのでしょうか?

ChatGPT Gmailデータ

Deep ResearchはChatGPTエージェントです 多段階の調査に重点を置く ユーザーが許可した場合、 Gmailなどのプライベートソース レポートを生成するために。このエラーにより、攻撃者が特定のメッセージを準備する余地が生まれ、システムが受信トレイを分析する際に望ましくないコマンドを実行する可能性がありました。

実際のリスクは、ChatGPTにメールの具体的な調査を依頼した人物と、その問題が 悪意のあるメールの内容と一致したそれでも、このベクトルは、AI エージェントがいかにしてデータ漏洩を容易にする要素となり得るかを示しています。

限定コンテンツ - ここをクリックしてくださいマルウェア攻撃から身を守るにはどうすればよいでしょうか?

影響を受ける可能性のある情報の中には 氏名、住所、その他の個人情報 エージェントが処理したメッセージに存在していました。これはアカウントへのオープンアクセスではなく、アシスタントに割り当てられたタスクによって条件付けされた情報漏洩でした。

特に繊細な点は、この活動が OpenAIクラウドインフラストラクチャ、異常な動作はユーザーのデバイスから発生したものではないため、従来の防御では検出が困難でした。

ShadowLeak：迅速なインジェクションがそれを可能にした

ChatGPT Gmailデータ

ラドウェアはこの技術をシャドウリークと名付けた そしてそれを 間接的な即時注入: エージェントが分析するコンテンツ内の隠された指示。ユーザーが気付かないうちにエージェントの動作に影響を与えることができます。

攻撃者は次のようなメールを送信した。 偽装されたHTML指示 小さなフォントや白い背景に白い文字などのトリックを使って、一見すると メールは無害に見えましたが、受信トレイで特定のデータを検索するようにという指示が含まれていました。.

ユーザーがディープリサーチにメールの修正を依頼すると、エージェントは目に見えない指示を読み上げ、 データを抽出し、攻撃者が管理するウェブサイトに送信しました。テストでは、研究者は、セキュリティ対策として見せかけるために、情報を Base64 でエンコードすることさえ行いました。

限定コンテンツ - ここをクリックしてくださいスパム電話をブロックする方法

リンクを開くために明示的な同意を必要とする障壁は、エージェント自身のナビゲーションツールを呼び出すことで回避することができ、 外部ドメインへの流出 攻撃者の制御下にあります。

制御された環境では、 ラドウェアのチームは、非常に高い有効性を確認した。メールアクセスとエージェントの自律性の組み合わせが モデルにとって説得力のある 埋め込まれた命令が適切にフィルタリングされていない場合。

なぜ防衛側が気づかなかったのか

ChatGPT Gmailデータ

通信は信頼できるサーバーから発信されていたため、企業システムは信頼できるサービスから発信された正当なトラフィックと認識していました。この詳細により、漏洩は 多くの解決策の盲点 監視。

さらに、被害者は何か特別なものをクリックしたり実行したりする必要はなく、攻撃者が用意したメールの件名に関連する検索をエージェントに依頼するだけで、この操作は 静かで追跡が難しい.

研究者たちは、 私たちは新たな種類の脅威に直面している AIエージェント自体がベクトルとして機能します。実用的影響は限定的であるものの、この事例は自動化ツールへの権限付与方法を見直すことを迫ります。

エラー修正と実践的な推奨事項

ラドウェア

OpenAIはRadwareの通知を受けて緩和策を実施した 同社は、敵対的な証拠に感謝の意を表し、安全対策を継続的に強化していくことを強調した。現在までに、プロバイダーは 搾取の証拠はない このベクトルの.

限定コンテンツ - ここをクリックしてください GitHub Copilot Free: 開発者向けの新しい無料バージョンについて知っておくべきことすべて

Deep Researchは、ユーザーの明示的な許可がある場合にのみGmailに接続できるオプションのエージェントです。受信トレイやドキュメントをアシスタントにリンクする前に、 許可の実際の範囲を評価し、アクセスを厳密に必要なものに制限することをお勧めします。.

Googleサービスをリンクしている場合は、 アクセスの確認とデバッグ それは簡単です:

myaccount.google.com/security にアクセスしてください。 セキュリティパネルを開く.
接続セクションで、「すべての接続を表示」をクリックします。.
ChatGPT または認識できない他のアプリを識別し、権限を取り消します。.
不要なアクセスを削除し、厳密に必要なアクセスのみを再度許可します。 不可欠.

ユーザーと企業にとって、 常識と技術的対策を組み合わせることが重要です。すべてを最新の状態に保ち、エージェントとコネクタに最小権限の原則を適用します。、機密データにアクセスできるツールのアクティビティを監視します。

企業環境では、専門家はAIエージェントに追加の制御を組み込むことを推奨しており、ディープリサーチや同様のサービスを使用する場合は、 機能を制限する リンクを開いたり、未確認のドメインにデータを送信したりすることなどです。

ラドウェアの研究とOpenAIの迅速な緩和策は、明確な教訓を残している。アシスタントをGmailに接続すると利点があるが、セキュリティ上の要求がある。 権限を評価し、行動を監視する そして、命令の注入が AI エージェントのテストを継続すると想定します。

Gmail で迷惑メールを表示する方法

アルベルト・ナバロ

私はテクノロジー愛好家であり、その「オタク」の興味を職業に変えています。私は 10 年以上、純粋な好奇心から最先端のテクノロジーを使用し、あらゆる種類のプログラムをいじくり回してきました。現在はコンピューター技術とビデオゲームを専門にしています。これは、私が 5 年以上、テクノロジーやビデオゲームに関するさまざまな Web サイトに執筆し、誰にでも理解できる言語で必要な情報を提供することを目的とした記事を作成しているためです。

ご質問がございましたら、私の知識は Windows オペレーティングシステムから携帯電話用の Android に関連するあらゆるものまで多岐にわたります。そして、私はあなたに対して、いつでも喜んで数分を費やして、このインターネットの世界であなたが抱いている疑問を解決するお手伝いをしたいと考えています。