【AIbase 报道】
该攻击的特殊之处在于,它完全发生在 OpenAI 自己的云基础设施内,不留任何痕迹,并能绕过防火墙等本地安全防护。研究人员将这种攻击代理比作 「一个被外部操纵的内部人员」。
据了解,攻击始于一封经过精心伪装的电子邮件,其主题看似普通,但邮件正文却利用隐藏的 HTML(例如,白底白字或小字体) 嵌入恶意指令。这些指令会诱骗 「深度研究」 模式的代理执行以下操作:
为了绕过代理的内置安全措施,攻击者使用了社会工程学技术,让代理 「相信」 其有权执行该任务,并以 「报告不完整」 等理由制造紧迫感。当用户启动 「深度研究」 查询时 (例如 「分析我今天的人力资源邮件」),该代理会在不知不觉中处理这封恶意邮件,并执行隐藏指令,将数据静默传输到攻击者的服务器,整个过程对用户完全透明。
Radware 指出,该漏洞并非源于语言模型本身,而是代理执行工具的能力。其中,名为 browser.open() 的内部功能允许代理发起 HTTP 请求,成为此次攻击的突破口。
研究人员警告,这种攻击方法不仅限于电子邮件,任何代理处理结构化文本的平台,如 GoogleDrive、Outlook、Teams、Notion 或 GitHub 等都可能面临风险。恶意指令可以被隐藏在会议邀请、共享 PDF 文件或聊天记录中,将常规的 AI 任务变成潜在的安全漏洞。
Radware 已于 2025 年 6 月 18 日通过 Bugcrowd 平台向 OpenAI 报告了该漏洞。OpenAI 于 8 月初完成了修复,但直到 9 月 3 日才公开承认并确认该问题已解决。
此次事件再次凸显了 AI 代理系统的脆弱性。核心问题在于 「即时注入」(PromptInjection),即攻击者将隐藏指令嵌入用户无察觉的文本中。尽管该漏洞已存在多年,但仍未找到可靠的解决方案。有研究表明,几乎每个 AI 代理都可能被入侵,尤其那些能够访问互联网的代理,极易被操纵导致数据泄露、恶意软件下载等问题。OpenAI 首席执行官 SamAltman 也曾警告,不要将高风险或敏感任务委托给 AI 代理。
