安全研究人员展示了一种新颖的网络攻击,可以诱骗人工智能代理从电子邮件收件箱中窃取敏感数据,凸显了代理人工智能系统中新出现的风险。在一项名为“Shadow Leak”的概念验证中,Radware 的专家利用嵌入 ChatGPT 中的 OpenAI 深度研究工具,在用户不知情的情况下从 Gmail 中秘密提取信息。 OpenAI 已修复该漏洞,它凸显了代表用户自主运行的人工智能助手的潜在危险。
像 Deep Research 这样的人工智能代理旨在通过访问个人和专业数据(例如电子邮件、日历和文档)来提高生产力,以执行网上冲浪和链接点击等任务。今年早些时候推出的 Deep Research 允许用户委托复杂的研究活动。然而,Radware 的实验揭示了如何通过提示注入来劫持这些功能,这是一种将恶意指令嵌入到看似无害的内容(例如电子邮件)中的技术。
攻击始于研究人员向授权 Deep Research 访问的 Gmail 收件箱发送一封特制电子邮件。隐藏在电子邮件中的指令(可能是白色背景上不可见的白色文本)在用户调用人工智能工具之前一直处于休眠状态。激活后,Deep Research 遇到了提示,该提示指示其搜索与 HR 相关的电子邮件和个人详细信息,然后将数据泄露到攻击者控制的端点。整个过程发生在 OpenAI 的云基础设施上,绕过了端点检测等传统网络安全措施,因为数据在传输之前从未离开过 AI 的安全环境。
Radware 团队表示,开发该漏洞具有挑战性,涉及“一次失败的尝试、令人沮丧的障碍,以及最终的突破”。与操纵本地 AI 实例的典型提示注入不同,Shadow Leak 利用代理的远程执行,使其特别隐蔽。研究人员强调,用户仍然完全没有意识到,因为人工智能在日常任务中无缝地执行了其流氓行为。
Radware 的调查结果不仅限于 Gmail,警告称 Outlook、GitHub、Google Drive 和 Dropbox 等互联应用程序也可能面临类似的威胁。该公司表示:“同样的技术可以应用于这些额外的连接器,以窃取高度敏感的业务数据,例如合同、会议记录或客户记录。”即时注入已经被恶意用于操纵学术同行评审、实施诈骗,甚至控制智能家居设备等场景,通常会逃避检测,因为这些指令是人类无法察觉的。
OpenAI 解决了 Radware 在 6 月份标记的特定缺陷,实施修复以防止此类未经授权的数据外流。尽管如此,这一事件对于更广泛地采用代理人工智能来说是一个警示。随着这些工具的激增,组织和用户必须优先考虑强有力的保护措施,包括监控人工智能交互和限制数据访问范围。网络安全专家建议保持警惕,并指出,虽然在没有已知漏洞的情况下很难先发制人,但人工智能工作流程中增强的日志记录和异常检测可以减轻未来的风险。
这次演示是在人工智能安全受到越来越严格的审查之际进行的。随着代理系统有望提高效率,影子泄漏等事件提醒利益相关者,创新必须与强化防御相平衡,以在日益依赖人工智能的世界中保护敏感信息。
