Photo by Solen Feyissa on Unsplash
OpenAI去年8月修補了可以ShadowLeak手法濫用ChatGPT的瑕疵,不過並未修補完全,研究人員又發現新的濫用方法,名為ZombieAgent,促使該公司又在12月再次修補。
去年OpenAI修補由資安廠商Radware發現的ChatGPT濫用方法,名為ShadowLeak。ShadowLeak為間接提示注入方法,利用ChatGPT深入研究(Deep Research)功能,當使用者授權存取Gmail與瀏覽器工具時,攻擊者傳送一封變造過的HTML郵件,如Gmail郵件,ChatGPT就可能自動將Gmail(或Outlook或Google Drive)的敏感資訊,以URL參數形式傳送到外部伺服器,無須使用者任何點擊,也不會顯示警告。OpenAI已在8月解決這個問題,限制ChatGPT只能依照提供的方式開啟URL,拒絕為其添加參數。
但Radware研究人員本周揭露繞過這個限制的方法,稱為ZombieAgent。
研究人員說明ZombieAgent手法。他們建立了數行預先建構的網址清單,每個網址後附帶單一數字、英文字母,例如example.com/a、example.com/b...如此類推到/z,還有example.com/0到example.com/9。特殊符號則以$代替空格,如example.com/$代替空格。最後將這一清單送入ChatGPT。
結果就能讓ChatGPT尋找敏感資訊,並正規化(小寫字母,以$代替空格),再一個字母一個字母傳送給攻擊者列出的網址。例如敏感字串是AB cd,ChatGPT即會以example.com/a、example.com/b、example.com/a、example.com/$、example.com/c、example.com/d的順序,把字串傳送出去。Radware甚至為重複字元量身準備「索引化的URL」(例如a0 ~ a9等)來區分相同字母出現的不同位置以維持正確的字串順序。這讓ChatGPT逐字外洩資料。
ZombieAgent之所以能運作,是利用OpenAI開發人員沒有限制URL上附加單一字母。
在Radware 9月通報後,OpenAI在12月的最新修補中,為ChatGPT加入限制,使ChatGPT無法開啟任何來自電子郵件的連結來緩解ZombieAgent攻擊,除非出現在知名公開索引中或使用者直接在聊天提示中提供連結。此調整旨在阻止代理開啟導致攻擊者控制網域的基礎網址。
熱門新聞
2026-01-06
2026-01-06
2026-01-06
2026-01-05
2026-01-08
