ShadowLeak攻擊技術(shù)分析
Radware安全研究人員發(fā)現(xiàn)了一種針對(duì)ChatGPT的服務(wù)器端數(shù)據(jù)竊取攻擊,命名為ShadowLeak。專家在ChatGPT的Deep Research(深度研究)代理連接Gmail和瀏覽網(wǎng)頁時(shí)發(fā)現(xiàn)了一個(gè)"零點(diǎn)擊"漏洞。研究人員解釋稱,攻擊者通過精心構(gòu)造的電子郵件可以觸發(fā)該代理泄露收件箱中的敏感數(shù)據(jù),整個(gè)過程無需用戶操作且無界面提示。
Radware發(fā)布的報(bào)告指出:"與以往依賴客戶端圖像渲染觸發(fā)數(shù)據(jù)泄露的研究不同,這種攻擊直接從OpenAI的云基礎(chǔ)設(shè)施泄露數(shù)據(jù),使本地或企業(yè)防御系統(tǒng)無法察覺。攻擊采用間接提示注入技術(shù),惡意指令可隱藏在電子郵件HTML中(如微小字體、白底白字、布局技巧等),用戶難以察覺,但代理仍會(huì)讀取并執(zhí)行這些指令。"
攻擊流程詳解
Deep Research功能允許ChatGPT自主瀏覽網(wǎng)頁5-30分鐘以生成帶來源的詳細(xì)報(bào)告,并與GitHub、Gmail等應(yīng)用集成進(jìn)行安全數(shù)據(jù)分析。研究人員設(shè)計(jì)的攻擊流程如下:
- 攻擊者發(fā)送看似正常的電子郵件,其中隱藏HTML指令,指示代理從受害者收件箱提取PII(個(gè)人身份信息)并訪問特定URL(實(shí)際指向攻擊者服務(wù)器)
- 郵件內(nèi)容采用社會(huì)工程學(xué)手段(偽造權(quán)威、制造緊迫感、偽裝URL、持續(xù)提示及提供現(xiàn)成示例)繞過代理的安全檢查
- 攻擊依賴郵箱中的真實(shí)PII數(shù)據(jù)(姓名、地址等)
- 當(dāng)用戶要求代理"研究"其郵件時(shí),代理讀取惡意郵件并執(zhí)行隱藏指令,將PII注入攻擊者URL
- 代理自動(dòng)發(fā)送數(shù)據(jù)(無需用戶確認(rèn)且無界面提示),實(shí)現(xiàn)靜默數(shù)據(jù)外泄
服務(wù)器端攻擊的獨(dú)特威脅
Radware強(qiáng)調(diào):"數(shù)據(jù)泄露完全發(fā)生在OpenAI云環(huán)境內(nèi)部,代理的內(nèi)置瀏覽工具自主完成外泄,不涉及客戶端。此前Zenity公司的AgentFlayer和Aim Security的EchoLeak等研究展示的是客戶端泄露,需要代理在用戶界面渲染攻擊者控制的內(nèi)容(如圖像)才能觸發(fā)。我們的攻擊擴(kuò)大了威脅面:不再依賴客戶端顯示內(nèi)容,而是利用誘導(dǎo)后端代理執(zhí)行的操作。"
服務(wù)器端攻擊比客戶端泄露風(fēng)險(xiǎn)更高:企業(yè)防御系統(tǒng)無法檢測(cè)數(shù)據(jù)外泄,因?yàn)楣暨\(yùn)行在服務(wù)提供商的基礎(chǔ)設(shè)施上;用戶也看不到數(shù)據(jù)丟失的明顯跡象。代理作為受信任的中間人,將敏感數(shù)據(jù)發(fā)送至攻擊者控制的終端。與限制外泄目標(biāo)的客戶端防護(hù)不同,這些服務(wù)器端請(qǐng)求面臨的URL限制更少,使攻擊者幾乎可將數(shù)據(jù)導(dǎo)出到任何目的地。
潛在影響與緩解措施
專家設(shè)計(jì)的PoC雖然針對(duì)Gmail,但同樣攻擊適用于任何Deep Research連接器。Google Drive、Dropbox、SharePoint、Outlook、Teams、GitHub、HubSpot、Notion等平臺(tái)的文件或消息都可能隱藏提示注入載荷(在內(nèi)容或元數(shù)據(jù)中)或惡意會(huì)議邀請(qǐng),誘使代理泄露合同、會(huì)議記錄、客戶資料等敏感數(shù)據(jù)。任何向代理提供文本的連接器都可能成為攻擊媒介。
報(bào)告總結(jié)道:"企業(yè)可在代理處理前對(duì)郵件進(jìn)行凈化處理:標(biāo)準(zhǔn)化并清除不可見CSS、混淆字符和可疑HTML元素。雖然這種方法有一定價(jià)值,但對(duì)這類新型'內(nèi)部威脅'(受信任的智能代理被操控為攻擊者服務(wù))效果有限。更有效的緩解措施是持續(xù)監(jiān)控代理行為:跟蹤代理操作及其推斷意圖,驗(yàn)證其是否符合用戶原始目標(biāo)。這種一致性檢查可確保即使攻擊者操控代理,也能實(shí)時(shí)檢測(cè)并阻止偏離合法意圖的行為。"
漏洞修復(fù)時(shí)間線
- 6月18日 - 通過bugcrowd.com向OpenAI報(bào)告漏洞
- 6月19日 - bugcrowd.com將問題轉(zhuǎn)交OpenAI處理
- 6月19日 - 提交改進(jìn)版更可靠的攻擊變體
- 8月初 - 漏洞被修復(fù)(未收到通知)
- 9月3日 - OpenAI確認(rèn)漏洞并標(biāo)記為已解決
