ChatGPT “影子泄露” 漏洞:黑客可隐秘窃取电子邮件数据
将人工智能(AI)智能体与个人电子邮箱关联的用户,正面临一种完全无法察觉的数据窃取风险 —— 黑客可借助 OpenAI 的基础设施,在企业系统不留任何痕迹的情况下,盗取用户邮件中的敏感信息。这一被命名为 “影子泄露(ShadowLeak)” 的攻击手段,由网络安全公司 Radware 的研究人员于 2025 年春季首次发现,其隐蔽性与破坏力引发行业警惕。
01 “影子泄露”:看不见的邮件盗窃术
当用户让 ChatGPT 处理邮件(如总结未读消息)时,整个操作并非在用户本地设备完成 ——AI 智能体运行于 OpenAI 的云端服务器,通过 API 接口获取用户邮件数据,处理后再将结果反馈给用户。Radware 研究人员指出,这种 “云端处理模式” 存在关键漏洞:用户完全无法监控 “发送请求” 到 “接收反馈” 之间的操作过程,而这正是 “影子泄露” 攻击的核心突破口。
与传统的数据泄露攻击不同,“影子泄露” 无需在用户网络中留下可疑流量痕迹,其攻击流程可概括为三步:
- 伪装邮件投递
攻击者向目标发送一封外观正常的邮件,在正文中以隐蔽形式嵌入 HTML 代码 —— 例如用极小字号显示,或采用 “白字白底” 的视觉隐藏方式(注:此类文本隐藏手法并非首次出现,但结合 AI 场景后破坏力显著提升)。
- AI 触发恶意指令
当用户要求 ChatGPT 总结邮件时,云端 AI 会扫描所有邮件内容,包括隐藏的恶意代码。研究测试显示,ChatGPT 对基础恶意指令的 “响应率” 约为 50%;若攻击者在代码中加入 “紧急性描述”(如伪装成 “HR 合规核查”“紧急办公通知”),指令触发成功率会 “大幅提升”。
- 隐秘窃取数据
恶意代码会指令 AI 将用户邮件内容(或其他已授权 ChatGPT 访问的信息)发送至攻击者控制的服务器。用户最终会收到正常的邮件总结结果,但完全无法察觉数据已被窃取 —— 因为整个窃取过程发生在 OpenAI 云端,未触碰用户本地网络。
02 漏洞应对:OpenAI 已修复,但长期防护仍存挑战
Radware 于 2025 年 6 月将 “影子泄露” 漏洞上报给 OpenAI,同年 8 月研究人员发现该攻击手段已失效,9 月通过漏洞反馈平台 Bugcrowd 确认 OpenAI 已完成修复。但 OpenAI 未公开修复的具体技术细节,这引发行业对 “类似漏洞是否仍存在” 的担忧。
OpenAI 发言人在回应中强调:“安全开发模型对我们至关重要,我们采取多种措施降低恶意使用风险,并持续优化防护机制,提升模型抵御‘提示注入’等攻击的能力。研究人员的对抗性测试有助于我们改进系统,我们对此表示欢迎。”
长期防护需 “多层策略”
Radware 威胁情报总监帕斯卡・吉伦斯指出,单一防护手段无法应对 AI 时代的安全风险,长期解决方案需包含以下核心层面:
- 指令对齐校验
在 AI 智能体与新指令之间增加 “意图校验层”—— 例如当用户要求 “总结邮件” 时,若出现 “访问 ERP 系统”“发送客户数据至外部链接” 等偏离原始意图的指令,系统需暂停操作并向用户确认。“但目前这类校验机制尚未普及,当前 AI 更倾向于优先响应‘紧急指令’。”
- 强化输入清洗与日志记录
对 AI 接收的所有数据(尤其是邮件、文档等外部内容)进行深度清洗,过滤隐藏代码;同时建立 “可追溯的操作日志”,便于事后排查异常行为 —— 但需平衡 “日志完整性” 与 “用户数据隐私” 的关系。
- AI 对抗 AI:用大语言模型(LLM)检测恶意意图
传统的正则表达式、状态机等防护工具已无法应对自然语言编写的恶意指令(因其变体数量无限),需借助 LLM 技术扫描邮件、文档中的隐藏风险,“用 AI 工具防御 AI 威胁,将成为未来安全防护的重要方向”。
企业与个人的临时防护建议
对于企业用户,吉伦斯建议通过自有安全工具对 incoming 邮件进行深度检测,但需注意 “传统检测工具难以识别 AI 靶向的恶意代码”,需尽快升级具备 “自然语言风险分析” 能力的防护系统;个人用户则应谨慎授权 AI 访问敏感数据,避免让 ChatGPT 等工具获取邮箱、办公软件的 “全权限访问”。
03 延伸思考:AI 智能体安全成新战场
“影子泄露” 漏洞的本质,是 AI 与第三方应用集成时的 “权限边界模糊” 问题 — 随着越来越多用户将 AI 作为 “办公助手”,授权其访问邮件、日程、文档等敏感数据,类似的安全风险可能持续涌现。正如吉伦斯所言:“AI 正在成为未来办公的核心工具,但它同时也为黑客提供了新的攻击路径。如何在享受 AI 便利的同时守住安全底线,将是企业与个人必须面对的长期课题。”