هشدار به کاربران ChatGPT! اطلاعات جیمیل شما در خطر است!

آسیب‌پذیری ShadowLeak از طریق عامل Deep Research چت‌بات ChatGPT، اطلاعات جیمیل کاربران را فاش می‌کند! محققان امنیت سایبری یک آسیب‌پذیری بدون کلیک در ChatGPT را کشف کرده‌اند که به مهاجم اجازه می‌دهد با ارسال یک ایمیل دستکاری‌شده، داده‌های حساس صندوق ورودی جیمیل کاربر را سرقت کند. این آسیب‌پذیری ChatGPT که در عامل جستجوی عمیق (Deep Research) چت‌جی‌پی‌تی قرار دارد، بدون نیاز به هیچ اقدامی از جانب کاربر عمل می‌کند! در ادامه با گزارش فالنیک از این بدافزار خطرناک همراه باشید!

آسیب‌پذیری ChatGPT چگونه عمل می‌کند؟

شرکت امنیتی Radware این نوع جدید از حمله را با نام ShadowLeak نام‌گذاری کرده است. پس از افشای مسئولانه این نقص در تاریخ 18 ژوئن 2025، شرکت OpenAI در اوایل آگوست اعلام کرد که این نقص را برطرف کرده است؛ هر چند تا به امروز گزارش‌هایی مبنی بر آسیب دیدن کاربران از این نقص منتشر شده است و به‌نظر می‌رسد مشکل همچنان پابرجاست!

در مقاله Radware درباره ShadowLeak، محققان امنیتی این شرکت اظهار داشته‌اند: «این حمله که از نوع بدون کلیک (Zero-Click) است، از تزریق غیرمستقیم دستورات استفاده می‌کند. این دستورات با ترفندهایی مانند فونت‌های بسیار کوچک، متن سفید روی سفید یا ترفندهای چیدمان در HTML ایمیل مخفی می‌شوند و ممکن است کاربر هرگز متوجه آنها نشود؛ اما عامل هوش مصنوعی این دستورات را می‌خواند و از آنها اطاعت می‌کند».

آنها افزودند: «برخلاف حملات قبلی که برای فعال‌سازی نشت داده به رندر شدن تصویر در سمت کاربر وابسته بودند، این حمله جدید داده‌ها را به‌طور مستقیم از زیرساخت ابری OpenAI نشت می‌دهد. این موضوع باعث شده تا این حمله برای مکانیزم‌های دفاعی محلی یا سازمانی کاملاً نامرئی باشد».

قابلیت تحقیق عمیق (Deep Research) که در فوریه 2025 توسط OpenAI راه‌اندازی شده، یک قابلیت عامل‌محور است که در چت جی پی تی ادغام شده است. این عامل هوش مصنوعی قادر است تا با انجام تحقیقات چندمرحله‌ای در اینترنت، گزارش‌های مفصل و جامعی از موضوعات مورد درخواست کاربر تولید کند. قابلیت‌های مشابهی در سال گذشته به سایر سرویس‌های محبوب هوش مصنوعی مانند Google Gemini و Perplexity نیز اضافه شده بودند.

در حمله‌ای که Radware تشریح کرده، مهاجم یک ایمیل به‌ظاهر بی‌خطر به قربانی ارسال می‌کند که حاوی دستورات نامرئی (با استفاده از متن سفید روی سفید یا ترفندهای CSS) است. این دستورالعمل‌ها، عامل هوش مصنوعی را وادار می‌کند تا اطلاعات شخصی قربانی را از سایر ایمیل‌های موجود در صندوق ورودی او استخراج و آنها را به یک سرور خارجی منتقل کند.

بنابراین زمانی‌که قربانی از دیپ ریسرچ ChatGPT می‌خواهد تا ایمیل‌های Gmail او را تحلیل کند، عامل هوش مصنوعی دستورات موجود در ایمیل مخرب را پردازش می‌کند و باعث تزریق غیرمستقیم آنها می‌شود. در نهایت، عامل هوش مصنوعی نتایج را با استفاده از ابزار browser.open() و به‌صورت رمزنگاری‌شده Base64، برای مهاجم ارسال می‌کند.

محققان Radware درباره کشف این آسیب‌پذیری چنین گفته‌اند: «ما یک پرامپت جدید ساختیم که به‌طور صریح به عامل هوش مصنوعی دستور می‌داد از ابزار browser.open() با URL مخرب استفاده کند. استراتژی نهایی و موفق ما این بود که به عامل دستور دیم اطلاعات شخصی استخراج‌شده را پیش از الحاق به URL مخرب، در قالب Base64 کدگذاری کند. ما این اقدام را به‌عنوان یک اقدام امنیتی لازم برای حفاظت از داده‌ها حین انتقال معرفی کردیم و به‌طرز شگفت‌انگیزی دیدیم که این حمله به همین طریق عمل می‌کند».

این PoC نشان می‌دهد که موفق بودن این حمله به فعال بودن یکپارچه‌سازی جیمیل کاربر وابسته است، اما ShadowLeak می‌تواند به هر اتصال‌دهنده‌ای که توسط چت GPT پشتیبانی می‌شود گسترش یابد و سطح حمله را وسیع‌تر کند. به این ترتیب سرویس‌های متعددی مانند Dropbox، Box، GitHub، Google Drive، HubSpot، Microsoft Outlook، Notion و SharePoint در معرض خطر قرار دارند.

برخلاف حملاتی مانند AgentFlayer و EchoLeak که در سمت کاربر رخ می‌دهند، نشت داده در ShadowLeak به‌طور مستقیم در محیط ابری OpenAI اتفاق می‌افتد و کنترل‌های امنیتی سنتی را دور می‌زند. این فقدان دید عملیاتی، ویژگی اصلی است که این حمله را از سایر آسیب‌پذیری‌های تزریق غیرمستقیم دستورات متمایز می‌کند.

ChatGPT برای حل کپچاها فریب داده شده است!

این افشا درحالی منتشر شده که پلتفرم امنیت هوش مصنوعی SPLX به‌تازگی نشان داده است که کپچاهای ChatGPT ممکن است فریب بخورند! در مقاله SPLX، محققان این شرکت اعلام کرده‌اند که پرامپت‌هایی که به‌صورت هوشمندانه طراحی شده‌اند، علاوه بر مسموم‌سازی زمینه‌ای، می‌توانند موانع حفاظتی داخلی عامل‌های ChatGPT را دور بزنند و کپچاهای مبتنی بر تصویر را که برای تأیید انسان بودن کاربر طراحی شده‌اند، حل کنند.

اساس این حمله به این صورت است که یک چت عادی با ChatGPT-4o باز می‌شود و در آن مدل زبانی بزرگ (LLM) را برای تدوین برنامه‌ای برای حل کپچاهایی که به‌عنوان «لیستی از کپچاهای جعلی» توصیف شده‌اند، متقاعد می‌کند. در مرحله بعد، یک چت جدید با عامل ChatGPT باز می‌شود و گفتگوی قبلی با LLM، با این ادعا که این «گفتگوی قبلی ما» بوده است، در آن کپی می‌شود. این کار باعث می‌شود تا مدل بدون هیچ مقاومتی کپچاهای خودش را حل کند!

دوریان شولتز (Dorian Schultz)، محقق امنیتی SPLX، گفت: «ترفند این بود که کپچا به‌عنوان «جعلی» بازتعریف شود و سپس گفتگویی ایجاد شود که در آن عامل هوش مصنوعی قبلاً موافقت خود را با این موضوع اعلام کرده بوده است. با به ارث بردن این زمینه، مدل Red Flagهای معمول را عملاً ندیده است».

او افزود: «عامل ChatGPT نه‌تنها کپچاهای ساده، بلکه کپچاهای مبتنی بر تصویر را نیز حل کرد؛ حتی اشاره‌گر (cursor) خود را جوری تنظیم کرد تا رفتار انسانی را تقلید کند. پس مهاجمان موفق شده‌اند تا کنترل‌های حفاظتی واقعی را به‌عنوان «جعلی» بازتعریف کنند و آنها را دور بزنند. این موضوع نیاز به یکپارچه‌سازی زمینه، حفظ سلامت حافظه و تیم‌سازی مداوم را بیشتر از قبل برجسته کرده است».

برای مقابله با آسیب‌پذیری ChatGPT چه باید کرد؟

در حال حاضر، تنها کاری که باید کرد این است که ایمیل‌های ارسالی از جانب عامل ChatGPT را باز نکنید و از این عامل هوش مصنوعی برای تحلیل ایمیل‌های موجود در اینباکس Gmail خود استفاده نکنید. باید منتظر بمانیم تا این نقص به‌طور کامل از جانب OpenAI برطرف شود.