近日,安全研究人员披露了OpenAI旗下ChatGPT连接器(Connectors)功能存在的高危漏洞,该漏洞允许攻击者在无需用户交互的情况下,通过间接提示注入攻击从Google Drive账户中窃取敏感数据。这一发现由安全专家Michael Bargury和Tamir Ishay Sharbat在拉斯维加斯Black Hat黑客大会上公开演示,引发业界广泛关注。
研究人员展示的攻击场景中,攻击者仅需获取目标用户的电子邮件地址并共享文档,即可实施“零点击”攻击。Bargury在演示中成功从测试账户提取了开发者密钥,并强调该漏洞的严重性:“整个过程完全不需要用户操作,仅通过邮件和文档共享就能完成数据窃取,这种攻击方式极其隐蔽且危害巨大。”不过,由于技术限制,单次攻击仅能提取有限数据量,无法直接获取完整文档。
OpenAI公司今年初推出的Connectors功能,旨在支持用户将外部工具和数据源(如Google Drive、Gmail等17种服务)接入ChatGPT,实现文件搜索、实时数据拉取等功能。针对此次漏洞,Bargury透露其团队已于数月前向OpenAI提交报告,后者迅速部署了缓解措施以阻断相关数据提取技术。截至发稿,OpenAI尚未就漏洞细节及修复进展作出公开回应。
该事件凸显了生成式AI与外部系统集成时潜在的安全风险。随着AI模型逐步从纯文本生成转向个性化数据交互,其攻击面也随之扩大。安全专家建议用户谨慎授权AI工具访问敏感数据源,并密切关注厂商发布的安全更新。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
