През последните години изкуственият интелект (AI) промени начина, по който работим и общуваме онлайн. Но заедно с удобствата, които тези технологии носят, се появяват и нови заплахи за сигурността. Най-новият пример идва от изследователи по киберсигурност, които разкриха сериозна уязвимост в Deep Research – инструмент на OpenAI, интегриран в ChatGPT.
Какво представлява уязвимостта ShadowLeak?
Откритият проблем е наречен ShadowLeak. Става дума за т.нар. zero-click атака – т.е. потребителят не трябва да кликва върху линкове или прикачени файлове. Достатъчно е да получи зловреден имейл, който изглежда напълно безобиден.
В този имейл има „скрити“ инструкции – например текст в бял цвят върху бял фон, миниатюрни шрифтове или CSS трикове, които човекът не вижда. Но ChatGPT Deep Research ги „прочита“ и изпълнява командите.
Атаката позволява на злонамерени лица да източат чувствителна информация от пощата на жертвата (например Gmail), без тя да подозира. Всичко става автоматично и невидимо.
Защо е толкова опасно?
Обикновено подобни атаки изискват взаимодействие от страна на потребителя – да отвори файл или да кликне на линк. Тук това не е нужно.
Още по-притеснително е, че източването на данните не става на устройството на потребителя, а директно през сървърите на OpenAI. Това означава, че традиционните защити – като антивирусни програми или корпоративни системи за сигурност – не могат да засекат проблема.
Как протича атаката?
Кои услуги са застрашени?
Въпреки че Proof-of-Concept атаката е демонстрирана с Gmail, уязвимостта може да се приложи и към други интеграции на ChatGPT – като Google Drive, Dropbox, GitHub, Outlook, SharePoint и дори бизнес платформи като HubSpot и Notion. С други думи – всяко място, където съхранявате чувствителна информация, може да бъде потенциална мишена.
Сравнение с други атаки
Вече сме виждали подобни уязвимости, като AgentFlayer и EchoLeak. Разликата е, че те се случват на самото устройство на жертвата (т.нар. client-side). ShadowLeak обаче действа на облачно ниво – което прави откриването му почти невъзможно.
Други експерименти: как AI може да бъде подмамен да решава CAPTCHA
Докато Radware разкриват ShadowLeak, друга компания за киберсигурност – SPLX – показва различна слабост в AI агентите. Те успяват да накарат ChatGPT да решава CAPTCHA-та – тестовете, които различават човек от бот.
Как става това? Изследователите измамват модела, като му представят CAPTCHA задачите като „фалшиви“ примери. След като в един разговор ChatGPT се „съгласи“, че става дума за тест, който не е реален, в следващия чат агентът вече няма съмнения и започва да решава и истински CAPTCHA. Дори симулира движения на курсора, за да изглежда като човек.
Това показва, че когато AI „помни“ предишен контекст, може да бъде подведен да заобикаля защитни механизми.
Какво означава всичко това за потребителите?
Повече интеграции = повече риск. Колкото повече свързваме нашите имейли, облачни услуги и документи с AI агенти, толкова повече вратички се отварят за кибератаки.
Сигурността изисква нов подход. Традиционните антивирусни програми не могат да засекат атаки като ShadowLeak. Необходими са нови стратегии за „чистене“ на контекст, редовно тестване (red teaming) и допълнителни защити в самите AI системи.
Внимание при даване на достъп. Ако използвате ChatGPT или други AI агенти, добре обмислете дали е нужно да им давате достъп до имейл или облачни файлове.
Заключение
AI инструментите като ChatGPT и Deep Research могат да бъдат изключително полезни, но също така носят и нови заплахи. Атаката ShadowLeak е доказателство, че злонамерени лица могат да използват скрити команди и да извлекат информация без потребителят да разбере.
Докато технологиите се развиват, най-добрата защита остава информираността. Ако знаете какви рискове съществуват, ще бъдете по-внимателни при използването на новите „умни“ помощници.
