Специалисты по кибербезопасности из компании Radware рассказали о критической уязвимости ShadowLeak в агенте глубокого исследования Deep Research в ChatGPT. Она позволяла злоумышленникам незаметно извлекать данные пользователей с серверов OpenAI без какого-либо взаимодействия с ними.
Атака происходит полностью на стороне сервера и с нулевым кликом. Злоумышленнику достаточно просто отправить специально созданное электронное письмо на адрес жертвы, а агент Deep Research обрабатывает его в фоновом режиме, активирует вредоносный код и инициирует утечку конфиденциальной информации.
При этом ShadowLeak не оставляет следов на устройстве пользователя или в сетевых логах, а обнаружить атаку практически невозможно. Она эксплуатирует логику самого ИИ-агента на облачных серверах OpenAI, обходя стандартные меры защиты.
Radware утверждает, что это первая атака извлечения данных исключительно на стороне сервера с участием ИИ-агента, действующего независимо в облаке, не затрагивающая пользовательские устройства или традиционные уязвимости веб-приложений. Она не оставляет никаких следов на уровне сети, подтверждающих доступ к данным или их отправку за пределы сервера.
Radware сообщила об уязвимости OpenAI 18 июня, а 3 сентября компания устранила её.
Предприятиям рекомендуется оценивать риски, связанные с автономным поведением ИИ-агентов, и не полагаться исключительно на встроенные в платформы механизмы защиты.
Весной 2025 года разработчик представил Open Deep Researcher — реализацию функции глубокого поиска от OpenaAI с открытым исходным кодом. Система ищет информацию по запросу пользователя до тех пор, пока не посчитает, что нашла всё необходимое. По умолчанию она использует языковую модель Claude 3.5 Haiku.
Источник: habr.com