VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đã tiết lộ một lỗ hổng không cần nhấp chuột trong tác nhân Deep Research của OpenAI ChatGPT, có thể cho phép kẻ tấn công làm rò rỉ dữ liệu hộp thư đến Gmail nhạy cảm chỉ bằng một email được tạo mà không cần bất kỳ thao tác nào của người dùng.

Kiểu tấn công mới này được Radware đặt tên mã là ShadowLeak. Sau khi công bố thông tin một cách có trách nhiệm vào ngày 18 tháng 6 năm 2025, OpenAI đã giải quyết vấn đề này vào đầu tháng 8.


Các nhà nghiên cứu bảo mật Zvika Babo, Gabi Nakibly và Maor Uziel cho biết: "Cuộc tấn công sử dụng lệnh nhắc nhở gián tiếp có thể ẩn trong HTML của email (phông chữ nhỏ, chữ trắng trên nền trắng, thủ thuật bố cục ) để người dùng không bao giờ nhận thấy các lệnh, nhưng tác nhân vẫn đọc và tuân theo chúng".

"Không giống như nghiên cứu trước đây dựa vào việc kết xuất hình ảnh phía máy khách để kích hoạt rò rỉ, cuộc tấn công này làm rò rỉ dữ liệu trực tiếp từ cơ sở hạ tầng đám mây của OpenAI, khiến nó trở nên vô hình trước các biện pháp phòng thủ cục bộ hoặc doanh nghiệp."

Được OpenAI ra mắt vào tháng 2 năm 2025, Deep Research là một tính năng đặc biệt được tích hợp sẵn trong ChatGPT, cho phép thực hiện nghiên cứu nhiều bước trên internet để tạo ra các báo cáo chi tiết. Các tính năng phân tích tương tự đã được bổ sung vào các chatbot trí tuệ nhân tạo (AI) phổ biến khác như Google Gemini và Perplexity trong năm qua.

Trong cuộc tấn công được Radware mô tả chi tiết, kẻ tấn công gửi một email có vẻ vô hại đến nạn nhân, trong đó có chứa các hướng dẫn vô hình sử dụng văn bản trắng trên nền trắng hoặc thủ thuật CSS yêu cầu kẻ tấn công thu thập thông tin cá nhân của họ từ các tin nhắn khác có trong hộp thư đến và chuyển đến một máy chủ bên ngoài.


Do đó, khi nạn nhân yêu cầu ChatGPT Deep Research phân tích email Gmail của họ, tác nhân sẽ tiến hành phân tích lời nhắc gián tiếp trong email độc hại và truyền thông tin chi tiết theo định dạng được mã hóa Base64 cho kẻ tấn công bằng công cụ   Đăng nhập để xem liên kết().

"Chúng tôi đã tạo ra một lời nhắc mới, hướng dẫn rõ ràng cho tác nhân sử dụng công cụ   Đăng nhập để xem liên kết() với URL độc hại", Radware cho biết. "Chiến lược cuối cùng và thành công của chúng tôi là hướng dẫn tác nhân mã hóa PII đã trích xuất thành Base64 trước khi thêm nó vào URL. Chúng tôi coi hành động này là một biện pháp bảo mật cần thiết để bảo vệ dữ liệu trong quá trình truyền tải."

Bằng chứng khái niệm (PoC) phụ thuộc vào việc người dùng kích hoạt tích hợp Gmail, nhưng cuộc tấn công có thể được mở rộng sang bất kỳ trình kết nối nào mà ChatGPT hỗ trợ, bao gồm Box, Dropbox, GitHub, Google Drive, HubSpot, Microsoft Outlook, Notion hoặc SharePoint, từ đó mở rộng phạm vi tấn công một cách hiệu quả.

Không giống như các cuộc tấn công như AgentFlayer và EchoLeak, vốn xảy ra ở phía máy khách, việc rò rỉ dữ liệu được quan sát thấy trong trường hợp ShadowLeak diễn ra trực tiếp trong môi trường đám mây của OpenAI, đồng thời bỏ qua các biện pháp kiểm soát bảo mật truyền thống. Việc thiếu khả năng hiển thị này là điểm khác biệt chính giữa nó với các lỗ hổng tiêm mã gián tiếp nhanh chóng khác tương tự.

Tiết lộ này được đưa ra khi nền tảng bảo mật AI SPLX chứng minh rằng các lời nhắc được diễn đạt khéo léo, kết hợp với việc đầu độc ngữ cảnh, có thể được sử dụng để phá vỡ các rào cản tích hợp của tác nhân ChatGPT và giải quyết CAPTCHA dựa trên hình ảnh được thiết kế để chứng minh người dùng là con người.

Cuộc tấn công về cơ bản bao gồm việc mở một cuộc trò chuyện ChatGPT-4o thông thường và thuyết phục mô hình ngôn ngữ lớn (LLM) đưa ra một kế hoạch để giải quyết những gì được mô tả là danh sách CAPTCHA giả mạo. Bước tiếp theo, một cuộc trò chuyện mới với tác nhân ChatGPT được mở ra và nội dung cuộc trò chuyện trước đó với LLM được dán vào, tuyên bố rằng đây là "cuộc thảo luận trước đó của chúng ta" - về cơ bản khiến mô hình giải quyết CAPTCHA mà không gặp bất kỳ sự kháng cự nào.

"Bí quyết là định hình lại CAPTCHA thành "giả" và tạo ra một cuộc trò chuyện mà tác nhân đã đồng ý tiếp tục. Bằng cách kế thừa bối cảnh đó, nó đã không nhận ra những dấu hiệu cảnh báo thông thường", nhà nghiên cứu bảo mật Dorian Schultz cho biết.

"Đặc vụ này không chỉ giải được các CAPTCHA đơn giản mà còn cả các CAPTCHA dựa trên hình ảnh -- thậm chí còn điều chỉnh con trỏ để bắt chước hành vi của con người. Kẻ tấn công có thể biến các điều khiển thực thành 'giả' để vượt qua chúng, nhấn mạnh sự cần thiết của tính toàn vẹn ngữ cảnh, kiểm soát bộ nhớ và hoạt động nhóm đỏ liên tục."