كشف باحثون في شركة Radware لأمن الويب عن هجوم سرقة بيانات من جهة الخادم استهدف ChatGPT، وحمل الاسم ShadowLeak، واستغل ميزة Deep Research المصممة لإجراء أبحاث متعددة الخطوات لمهام معقدة. وقد عالجت OpenAI الثغرة بعد تلقيها إخطاراً في 18 يونيو، وأكدت Radware أن الهجوم لم يعد ممكناً منذ مطلع أغسطس.
بعكس الهجمات الشائعة من نوع prompt injection التي تتطلب تفاعلاً من المستخدم، لم يكن ShadowLeak يحتاج إلى أي تدخل. يرسل المهاجم بريداً إلكترونياً يحتوي تعليمات خفية، وعند معالجته بواسطة وكيل Deep Research يقوم بجمع بيانات حساسة وإرسالها إلى خادم تحت سيطرة المهاجم. وبحسب الباحثين، فإن الطلب يُنفذ مباشرة من بنية OpenAI السحابية، ما يجعل تسريب البيانات يبدو وكأنه صادر من خوادم الشركة ويترك أثراً ضئيلاً على العميل.
مقارنة مع هجمات سابقة
أوضحت Radware أن ShadowLeak يختلف عن هجمات أخرى مثل AgentFlayer من Zenity وEchoLeak من Aim Security، التي تستهدف جانب العميل. بينما في هذه الحالة، جرى استغلال جانب الخادم. ويظهر الهجوم كيف يمكن لعناوين URL مضللة مثل hr-service.net/{parameters} أن تكون مطية لتهريب البيانات عبر معاملات تبدو عادية.
صمم المهاجمون التعليمات الضارة بمهارة لتجاوز الحواجز الأمنية، حيث طلبت من الوكيل محاولة التنفيذ أكثر من مرة، وقدمت نماذج لكيفية إرسال البيانات، وأكدت له أن المعلومات المسربة عامة وأن الرابط آمن. كما منحت التعليمات الوكيل ما يشبه تفويضاً كاملاً وأوجدت شعوراً بالإلحاح لإنجاز المهمة.
تهديد يتجاوز Gmail
حتى مع إثبات ان الاختراق جرى عبر Gmail، أشارت Radware إلى أن قدرة Deep Research تمتد إلى خدمات مؤسسية أخرى مستخدمة على نطاق واسع مثل Google Drive وDropbox وOutlook وHubSpot وNotion وMicrosoft Teams وGitHub. وهذا يوسع من مساحة الخطر المحتملة أمام المؤسسات.
توصيات للحد من المخاطر
رغم أن OpenAI أصلحت الثغرة، ترى Radware أن هناك مساحة كبيرة من الهجمات المحتملة لم تُكتشف بعد. لذا دعت إلى مراقبة سلوك الوكلاء باستمرار عبر تتبع أفعالهم ومقارنتها بأهداف المستخدم الأصلية، بما يتيح اكتشاف أي انحرافات وإيقافها في الزمن الحقيقي.
