- Radware huet eng Schwachstelle am ChatGPT Deep Research entdeckt, déi Gmail-Kontdaten kéint klauen.
- Den Ugrëff huet eng indirekt Prompt-Injektioun mat verstoppten HTML-Instruktioune benotzt a vun der Infrastruktur vun OpenAI aus operéiert.
- OpenAI huet de Feeler scho behënnert; et gëtt keng ëffentlech Beweiser fir tatsächlech Ausbeutung.
- Et ass recommandéiert, d'Rechter op Google ze iwwerpréiwen an zréckzezéien an den Zougang vun KI-Agenten zu E-Mailen an Dokumenter ze limitéieren.
Rezent Fuerschung huet opgedeckt e Sécherheetslück am Deep Research Agent vu ChatGPT, deen, ënner bestëmmte Konditiounen, kéint d'Ausgab vun Informatiounen aus E-Maile vereinfachen, déi a Gmail gehostet sinnD'Entdeckung weist d'Risike vun der Verbindung vun KI-Assistenten mat Inboxen an aner Servicer, déi sensibel Donnéeën enthalen, op.
D'Cybersécherheetsfirma Radware huet de Problem bei OpenAI gemellt, an den Ubidder huet et am spéide Summer geléist, ier et ëffentlech bekannt gouf.Obwuel den Ausbeutungsszenario limitéiert war an et gëtt kee Beweis vu Mëssbrauch an der realer Welt, d'Technik déi benotzt gëtt, léisst eng wichteg Lektioun fir Benotzer a Geschäfter.
Wat ass mat de ChatGPT- an Gmail-Donnéeën geschitt?
Deep Research ass en Agent vu ChatGPT orientéiert op Méistuf-Enquêten déi, wann de Benotzer et autoriséiert, konsultéiere kann privat Quellen wéi Gmail fir Rapporten ze generéieren. De Feeler huet et engem Ugräifer erméiglecht, eng spezifesch Noriicht virzebereeden, an de System konnt, beim Analyséiere vun der Inbox, ongewollten Uerder verfollegen.
De reelle Risiko huet dovun ofgehang, datt d'Persoun, déi ChatGPT ufrot, eng spezifesch Enquête iwwer hir E-Mail duerchzeféieren, an datt de Problem... huet mam Inhalt vun der béiswëlleger E-Mail iwwereneestëmmtTrotzdeem weist de Vektor, wéi en KI-Agent genau dat Stéck ka ginn, dat Datenleckage erliichtert.
Ënnert den potenziell betraffenen Informatiounen kéinten optrieden Nimm, Adressen oder aner perséinlech Donnéeën an de Messagen, déi vum Agent veraarbecht goufen, präsent sinn. Dëst war keen oppene Zougang zum Kont, mä éischter eng Exfiltratioun, déi vun der Aufgab, déi dem Assistent zougewisen ass, bedingt war.
E besonnesch delikaten Aspekt ass, datt d'Aktivitéit ugefaangen huet vum OpenAI Cloud-Infrastruktur, wat et fir traditionell Verteidegungssystemer schwéier gemaach huet, anomal Verhalen z'entdecken, well et net vum Apparat vum Benotzer staamt.
ShadowLeak: Déi séier Injektioun, déi et méiglech gemaach huet
Radware huet d'Technik ShadowLeak genannt an encadréiert et an engem indirekt prompt Injektiounverstoppte Instruktiounen am Inhalt, deen den Agent analyséiert, a fäeg sinn, säi Verhalen ze beaflossen, ouni datt de Benotzer et mierkt.
Den Ugräifer huet eng E-Mail geschéckt mat getarnt HTML-Instruktiounen duerch Tricker wéi kleng Schrëften oder wäissen Text op engem wäissen Hannergrond. Op den éischte Bléck D'E-Mail schéngt harmlos ze sinn, awer huet Instruktioune fir d'Inbox no spezifeschen Donnéeën ze sichen enthale..
Wéi de Benotzer Deep Research gefrot huet, un senger E-Mail ze schaffen, huet den Agent déi onsichtbar Instruktioune gelies an huet weidergefouert fir Daten ze extrahéieren an un eng Websäit ze schécken, déi vum Ugräifer kontrolléiert gëttAn Tester sinn d'Fuerscher souguer sou wäit gaangen, d'Informatioun a Base64 ze kodéieren, fir datt se als eng vermeintlech Sécherheetsmoossnam erschéngt.
Barrièren, déi eng explizit Zoustëmmung fir d'Ouverture vu Linken erfuerdert hunn, konnten och ëmgaange ginn, andeems d'Navigatiounsinstrumenter vum Agent opgeruff goufen, wat d'... Exfiltratioun op extern Domänen ënner der Kontroll vum Ugräifer.
An kontrolléierten Ëmfeld, Radware-Teams hunn e ganz héije Grad vun Effizienz festgestallt, wat weist, datt d'Kombinatioun vu Mailzougang an Agentenautonomie ka sinn iwwerzeegend fir de Modell wann agebett Instruktiounen net richteg gefiltert sinn.
Firwat et vun der Verteidegung net bemierkt gouf
D'Kommunikatioun koum vu vertrauenswürdege Serveren, sou datt d'Entreprisesystemer legitimen Traffic gesinn hunn, deen vun engem renomméierte Service koum. Dësen Detail huet de Leak an en blann Fleck fir vill Léisungen Iwwerwaachung.
Ausserdeem huet d'Affer näischt Spezielles misse klicken oder ausféieren: hien huet den Agent einfach ëm eng Sich gefrot, déi mam Thema vun der E-Mail vum Ugräifer zesummenhänkt, eppes wat de Manöver... roueg a schwéier ze verfollegen.
Fuerscher betounen, datt Mir stinn virun enger neier Aart vu Bedrohung wou den KI-Agent selwer als Vektor wierkt. Och mat engem limitéierten prakteschen Impakt forcéiert eis de Fall ze iwwerpréiwen, wéi mir automatiséierten Tools Rechter ginn.
Feelerkorrektur a praktesch Empfehlungen
OpenAI huet Mitigatiounsmoossnamen no der Notifikatioun vu Radware ëmgesat an huet seng Dankbarkeet fir déi kontradiktoresch Beweiser ausgedréckt, a betount, datt et seng Sécherheetsmoossnamen kontinuéierlech stäerkt. Bis elo behaapt de Fournisseur, datt et gëtt kee Beweis fir Ausbeutung vun dësem Vektor.
Deep Research ass en optionalen Agent, deen nëmme mat der ausdrécklecher Erlaabnes vum Benotzer eng Verbindung mat Gmail ka setzen. Ier Dir Inboxen oder Dokumenter mat engem Assistent verlinkt, Et ass ubruecht, den tatsächlechen Ëmfang vun de Genehmegungen ze evaluéieren an den Zougang op dat ze limitéieren, wat strikt néideg ass..
Wann Dir Google Servicer verlinkt hutt, Zougang iwwerpréiwen an debuggen et ass einfach:
- Gitt op myaccount.google.com/security fir de Sécherheetspanel opzemaachen.
- An der Verbindungssektioun klickt op All Verbindungen uweisen.
- Identifizéiert ChatGPT oder aner Apps, déi Dir net erkennt, a widerrufft d'Berechtegungen..
- Ewechhuelt onnéidegen Zougang a gitt nëmmen déi strikt néideg nei zou. onbedéngt néideg.
Fir Benotzer a Betriber, Et ass wichteg, gesonde Mënscheverstand a technesch Moossnamen ze kombinéieren: alles um neiste Stand halen, de Prinzip vum Mindestprivileg op Agenten a Connectoren uwenden, an d'Aktivitéit vun Tools mat Zougang zu sensiblen Donnéeën iwwerwaachen.
An Entrepriseëmfeld empfeelen Experten zousätzlech Kontrollen fir KI-Agenten anzebannen an, wann Deep Research oder ähnlech Servicer benotzt ginn, Fäegkeeten limitéieren wéi zum Beispill Linken opzemaachen oder Daten un net verifizéiert Domainen ze schécken.
D'Fuerschung vu Radware an d'séier Mitigatioun vun OpenAI loossen eng kloer Lektioun: d'Verbindung vun Assistenten mat Gmail bitt Virdeeler, awer Sécherheetsufuerderungen. Berechtigungen evaluéieren, Verhalen iwwerwaachen an dovun ausgoen, datt d'Instruktiounsinjektioun weider KI-Agenten teste wäert.
Ech sinn en Technologie-Enthusiast, deen seng "Geek" Interesse an e Beruff ëmgewandelt huet. Ech hu méi wéi 10 Joer vu mengem Liewen verbruecht mat modernste Technologie a mat all Zorte vu Programmer aus purer Virwëtzegkeet ze manipuléieren. Elo hunn ech op Computertechnologie a Videospiller spezialiséiert. Dëst ass well ech zënter méi wéi 5 Joer fir verschidde Websäiten iwwer Technologie a Videospiller geschriwwen hunn, Artikelen erstallt déi probéieren Iech d'Informatioun ze ginn déi Dir braucht an enger Sprooch déi jidderee verständlech ass.
Wann Dir Froen hutt, da läit mäi Wëssen vun allem wat mam Windows Betriebssystem verbonnen ass, souwéi Android fir Handyen. A mäi Engagement ass fir Iech, ech sinn ëmmer bereet e puer Minutten ze verbréngen an Iech ze hëllefen all Froen ze léisen déi Dir an dëser Internetwelt hutt.