【安全资讯】OpenAI修复ChatGPT中的ZombieAgent漏洞，揭示AI代理平台结构性安全风险

概要：

随着生成式AI的深度集成，其安全风险日益凸显。网络安全公司Radware近期披露了OpenAI旗下ChatGPT服务中一系列严重的安全漏洞，这些漏洞允许攻击者窃取用户敏感数据，甚至操纵AI模型执行恶意指令。继9月修复的ShadowLeak漏洞后，新发现的ZombieAgent攻击变体再次绕过了OpenAI的防护措施，暴露了当前AI代理平台在架构层面的根本性弱点，对依赖AI处理敏感信息的企业构成了严峻挑战。

主要内容：

Radware研究人员发现，ChatGPT的Deep Research组件存在一个名为ShadowLeak的间接提示注入漏洞。该漏洞源于AI模型无法区分系统指令与不可信内容，使得攻击者可通过Gmail、Google Drive等关联系统中的恶意内容，诱导ChatGPT执行危险操作，例如未经用户授权传输密码。攻击手法涉及诱使ChatGPT向攻击者控制的服务器发起网络请求，并将敏感数据作为URL参数附加。

尽管OpenAI随后通过禁止ChatGPT动态修改URL来修复此漏洞，但Radware团队又发现了名为ZombieAgent的绕过方法。该攻击利用一组预构建的静态URL，每个URL以不同字符结尾，从而逐个字符地外泄数据，成功规避了针对动态URL的防护机制。

更严重的是，ZombieAgent通过滥用ChatGPT的记忆功能实现了攻击持久化。虽然OpenAI试图禁止在同一会话中同时使用外部连接器和记忆功能，并阻止从记忆中打开攻击者提供的URL，但攻击者仍可通过共享包含指令的文件来操控记忆。例如，指令可要求ChatGPT读取特定主题的邮件并执行其中命令，或将用户敏感信息保存至记忆后再行泄露。

Radware威胁情报副总裁指出，ZombieAgent揭示了当前AI代理平台的关键结构性缺陷。企业在依赖这些代理进行决策和访问敏感系统的同时，却无法洞察代理如何解释不可信内容或在云端执行了何种操作，这形成了一个危险的安全盲区，已被攻击者利用。此次事件凸显了AI系统在安全设计上面临的持续挑战。