Zero-Click в OpenAI: "Умный" помощник тайно сливал ваши письма из Gmail
NewsMakerУязвимость в OpenAI взломала не только почту, но и Dropbox, GitHub и другие сервисы.
OpenAI устранила серьезную уязвимость ShadowLeak, которая позволяла агенту Deep Research, работающему в облаке, незаметно вытягивать личные данные из подключенных источников и отправлять их на сторонние серверы, причем жертва могла даже не открывать опасное письмо. Zero-Click обнаружили специалисты Radware и сообщили о ней компании.
Deep Research был задуман как автономный сборщик информации: он просматривает интернет, почту и документы и формирует развернутые отчеты. Исследователи показали, что злоумышленник мог положить в письмо скрытые инструкции — например, записать команды белым шрифтом или применить крошечный размер текста — и убедить агента извлечь из письма ФИО и адреса, закодировать их и передать через внутренний инструмент browser.open() на подставной «комплаенс»-сервис. Ключевой прием заключался в том, что модель заранее преобразовывала чувствительные значения в строку Base64, после чего слой исполнения делал обычный HTTP-запрос к внешнему ресурсу — то есть эксфильтрация происходила полностью на стороне сервиса и была невидима для конечного пользователя и для корпоративных шлюзов.
Сервисная природа утечки делает ее особенно опасной — традиционные средства защиты , включая прокси и системы мониторинга, не видят действий, инициированных внутри облачной среды, а пользователи не получают никаких визуальных сигналов о попытках доступа. Авторы отмечают, что метод применим не только к Gmail, но и к другим коннекторам: Google Drive, Dropbox, SharePoint, GitHub, мессенджеры и бизнес-системы, если агент обрабатывает структурированный или полуформализованный текст; это открывало путь к кражам договоров, заметок совещаний и клиентских баз.
В качестве мер защиты предлагаются предварительная очистка входящих данных — нормализация HTML, удаление невидимых стилей и обфусцированных символов — и более строгий контроль действий агента: верификация соответствия выполняемых внешних вызовов изначальной задаче пользователя, мониторинг побочных запросов и жесткие списки разрешенных доменов для инструментов исполнения.
Также авторы рекомендуют ограничить возможности самостоятельного выполнения HTTP-вызовов внутри агентов и повышать прозрачность их действий для администраторов. Radware передала отчет в OpenAI через платформу BugCrowd 18 июня. Разработчик выпустил исправление в начале августа, а 3 сентября подтвердил закрытие проблемы.
Специалисты подчеркивают, что пример ShadowLeak демонстрирует новый класс атак на автономные агенты, когда социальная инженерия и скрытые подсказки превращают полезный инструмент в канал утечки, и призывают компании пересмотреть модель доверия к облачным ассистентам и усилить локальные процессы проверки контента.
OpenAI устранила серьезную уязвимость ShadowLeak, которая позволяла агенту Deep Research, работающему в облаке, незаметно вытягивать личные данные из подключенных источников и отправлять их на сторонние серверы, причем жертва могла даже не открывать опасное письмо. Zero-Click обнаружили специалисты Radware и сообщили о ней компании.
Deep Research был задуман как автономный сборщик информации: он просматривает интернет, почту и документы и формирует развернутые отчеты. Исследователи показали, что злоумышленник мог положить в письмо скрытые инструкции — например, записать команды белым шрифтом или применить крошечный размер текста — и убедить агента извлечь из письма ФИО и адреса, закодировать их и передать через внутренний инструмент browser.open() на подставной «комплаенс»-сервис. Ключевой прием заключался в том, что модель заранее преобразовывала чувствительные значения в строку Base64, после чего слой исполнения делал обычный HTTP-запрос к внешнему ресурсу — то есть эксфильтрация происходила полностью на стороне сервиса и была невидима для конечного пользователя и для корпоративных шлюзов.
Сервисная природа утечки делает ее особенно опасной — традиционные средства защиты , включая прокси и системы мониторинга, не видят действий, инициированных внутри облачной среды, а пользователи не получают никаких визуальных сигналов о попытках доступа. Авторы отмечают, что метод применим не только к Gmail, но и к другим коннекторам: Google Drive, Dropbox, SharePoint, GitHub, мессенджеры и бизнес-системы, если агент обрабатывает структурированный или полуформализованный текст; это открывало путь к кражам договоров, заметок совещаний и клиентских баз.
В качестве мер защиты предлагаются предварительная очистка входящих данных — нормализация HTML, удаление невидимых стилей и обфусцированных символов — и более строгий контроль действий агента: верификация соответствия выполняемых внешних вызовов изначальной задаче пользователя, мониторинг побочных запросов и жесткие списки разрешенных доменов для инструментов исполнения.
Также авторы рекомендуют ограничить возможности самостоятельного выполнения HTTP-вызовов внутри агентов и повышать прозрачность их действий для администраторов. Radware передала отчет в OpenAI через платформу BugCrowd 18 июня. Разработчик выпустил исправление в начале августа, а 3 сентября подтвердил закрытие проблемы.
Специалисты подчеркивают, что пример ShadowLeak демонстрирует новый класс атак на автономные агенты, когда социальная инженерия и скрытые подсказки превращают полезный инструмент в канал утечки, и призывают компании пересмотреть модель доверия к облачным ассистентам и усилить локальные процессы проверки контента.