- Výzkumníci z Radware popsali zero-click útok na Deep Research z ChatGPT napojeného na Gmail
- Útok probíhal na infrastruktuře společnosti OpenAI a obcházel běžné firemní kontroly
- OpenAI zranitelnost po nahlášení v létě opravila
Výzkumný tým společnosti Radware zveřejnil technické detaily útoku „ShadowLeak“, který umožnil z režimu Deep Research v ChatGPT potají vyzradit obsah e-mailů z Gmailu po doručení jediného speciálně upraveného e-mailu.
Netřeba ani klikat
Podle Radware šlo o zero-click chybu a uživatel nemusel nic otevírat ani nikam klikat. Společnost OpenAI podle shodných informací výzkumníků i médií zranitelnost potvrdila a opravila. Podstatou útoku je tzv. nepřímé podsunutí promptu, který je ukrytý v HTML těla zprávy (např. bílý text na bílém pozadí, miniaturní písmo).
Jakmile uživatel následně spustil Deep Research s přístupem k Gmailu (skrze jeden z konektorů ChatGPT) a webovému prohlížeči, agent si „přečetl“ skryté instrukce a začal vyhledávat citlivé informace v doručené poště a odesílat je útočníkovi. Společnost Radware uvádí, že v jejím důkazním konceptu se tak dělo konzistentně a bez viditelných stop v uživatelském rozhraní.
O uživatelské zařízení nešlo
Výzkumníci z Radware ale také zdůraznili, že únik probíhal tzv. „service-side“, tedy přímo z cloudové infrastruktury OpenAI, nikoli z uživatelského zařízení. Tím se útok vyhýbal běžným firemním kontrolám na koncové stanici či síti a byl pro oběť prakticky nepostřehnutelný.
Podle zveřejněné časové osy společnost Radware nahlásila problém 18. června. Oprava měl být vydána začátkem srpna a 3. září celý problém v OpenAI formálně označili za vyřešený. A zároveň nemáme žádné náznaky toho, že by se útok podobného typu stal při reálném použití, u uživatele.
Demonstrace cílila sice jen na Gmail, nicméně Radware varuje, že stejný vzorec útoku se může přenést na další konektory Deep Research, tedy například na Outlook, Google Drive, Dropbox či GitHub. Stačí jen, aby AI agent četl obsah nebo metadata, v nichž lze potenciálně ukrýt škodlivé instrukce. Firmy by to tak prý neměly vnímat jako „problém Gmailu“, ale jako obecnou zranitelnost agentických pracovních toků v cloudu.
Chybám se nevyhneme
Co s tím? Doporučená opatření zahrnují důslednou kontrolu příchozího obsahu před jeho předáním agentům (konkrétně například odstranění neviditelného CSS, podezřelých HTML prvků) a především průběžné sledování chování agentů: porovnávat jejich kroky a zamýšlený cíl se skutečným uživatelským zadáním a na odchylky reagovat v reálném čase. OpenAI mezitím uvádí, že Deep Research zůstává dostupný a že zranitelnost byla opravena.
Obecně jde zase o další dobrou připomínku toho, jak AI agenti také fungují. Procházejí web, čtou poštu či firemní dokumenty a jednoduše vlezou všude tam, kam jim to dovolíte (skrze konektory) nebo přikážete (skrze prompt). Osvěta v kontextu anonymizace dat, bezpečnostních opatření tak bude zásadní, stejně jako uvědomění si, že v „AI“ obecně se bude nacházet jistě celá řada problémů, podobně jako se neustále nachází, opravují a vznikají a zase opravují nové a nové bugy všude jinde – v operačních systémech, prohlížečích i programech.
Adam Homola
Další dnešní články
