OpenAI виправила помилку в інструменті Deep Research у ChatGPT, що міг дозволити зловмисникам отримати доступ до Gmail-акаунтів користувачів. Скориставшись інтеграцією з поштою, зловмисник міг непомітно вкласти приховані інструкції у звичайний лист і таким чином змусити агента зчитувати вміст скриньки, повідомляє Bloomberg.
Вразливість виявили дослідники кібербезпекової компанії Radware. OpenAI випустила виправлення 3 вересня й запевнила, що доказів реального використання багу не виявлено.
Фахівці пояснюють, що атака належить до категорії непрямих "prompt-ін’єкцій": небезпечні команди ховаються у дозволених даних (наприклад, у тексті листа чи запрошення в календарі). Щойно ChatGPT із підключеним Gmail опрацьовує такий лист, він виконує прихований сценарій — наприклад, видає повні імена та адреси з поштового архіву.
Radware попереджає: якби уразливість застосували проти корпоративної пошти, витік міг відбуватися тижнями непомітно для власників акаунтів. Експерти радять компаніям уважно перевірити, яким додаткам надано постійний доступ до служб Google і чи справді він потрібен.
Інцидент став одним із перших публічних прикладів, коли не зловмисники використовують ШІ-інструменти для атак, а навпаки — самі агентні функції ШІ можна обернути проти їхніх користувачів. До речі, про такий сценарій раніше йшлося у дослідженні Guardio.
OpenAI ж наголошує, що вітає роботу "білих" хакерів, завдяки якій швидко закрила вразливість, і закликає дослідників надалі тестувати системи в "ворожих" сценаріях, аби підвищувати стійкість моделей.