ChatGPT 的新型零點擊攻擊:ZombieAgent
近期,數個 ChatGPT 的漏洞被發現,使攻擊者能夠利用嶄新提示注入技術竊取 Gmail、Outlook、Google Drive 或 GitHub 等流行服務的敏感數據。這種新方法被命名為「ZombieAgent」,由 Radware 的安全研究員 Zvika Babo 發現,並於 2025 年 9 月通過 BugCrowd 獎勵平台向 OpenAI 報告。OpenAI 於 12 月中旬修復了這一漏洞。
Babo 在 2026 年 1 月 8 日發布的一份 Radware 報告中分享了這一發現。
ChatGPT 的能力擴展及其風險
最近,OpenAI 擴展了 ChatGPT 的功能,增加了諸如「連接器」等面向用戶的新特性,使這款聊天機器人能夠輕鬆連接到 Gmail、Outlook、Google Drive、GitHub 等外部系統,並具備瀏覽互聯網、打開鏈接、分析和生成圖像等能力。這一轉變讓 ChatGPT 成為更有用、更方便且功能更強大的工具,但也讓它接觸到了敏感的個人數據。
在之前的一份 Radware 報告中,Babo 和兩位同事發現 ChatGPT 深度研究代理中存在結構性漏洞,攻擊者可以藉由單一精心設計的郵件請求代理洩露 Gmail 收件箱數據。這一技術被研究人員命名為「ShadowLeak」,允許從服務端滲透,成功的攻擊鏈直接從 OpenAI 的雲端基礎設施洩露數據,使其不會被本地或企業防禦系統察覺。
該技術使用間接提示注入技術,通過在郵件 HTML 中嵌入隱藏命令(如白色字體或微小字體),用戶不知情的情況下由深度研究代理執行這些命令,通常包括由攻擊者控制的鏈接,並附加敏感數據作為 URL 參數(例如,通過 Markdown 圖像或 browser.open())。
為預防此類攻擊,OpenAI 強化了防護措施,禁止 ChatGPT 動態修改 URL。Babo 在最新報告中總結,「ChatGPT 現在只能打開精確提供的 URL,並拒絕添加參數,即使被明確指示這樣做。」然而,研究人員隨後發現了一種完全繞過這一保護的方法。
ZombieAgent 攻擊流程解析
此攻擊通過利用 OpenAI URL 修改防禦中的弱點,以預構建的靜態 URL 將 ChatGPT 敏感數據一個字符一個字符地滲透出來。
相較於動態生成 URL(會觸發 OpenAI 的安全篩選),攻擊者提供一組固定的 URL,每個對應特定字符(字母、數字或空格標記)。ChatGPT 被指示:
- 提取敏感數據(如來自電子郵件、文件或內部系統)
- 正規化數據(轉換為小寫、用特殊標記如 $ 取代空格)
- 依序「打開」預定 URL,一個字符一個字符地滲透數據
透過使用索引 URL(例如,a0、a1、...、a9 對應每個字符),攻擊者確保滲透數據的正確排序。
由於 ChatGPT 從不構建 URL,而是僅跟隨精確提供的鏈接,這項技術繞過了 OpenAI 的 URL 重寫和黑名單保護。
攻擊流程如下:
- 攻擊者發送包含預建 URL 和滲透指令的惡意電子郵件
- 用戶稍後要求 ChatGPT 執行與 Gmail 相關的任務
- ChatGPT 閱讀收件箱,執行攻擊者指令並滲透數據
- 除了與 ChatGPT 的正常對話外,不需要用戶進一步操作
ZombieAgent 的零和一鍵攻擊
利用此滲透技術,Babo 展示了兩次成功的提示注入服務端攻擊——一次完全不需要點擊,另一次只需一次點擊。
藉由這樣的技術,安全防護顯得尤為重要。北斗數位提供的抗攻擊主機服務(https://beidou.tw/Services/AntiDDoSServer)內建 DDoS 防禦和多層攻擊過濾,能有效保護您的系統免受此類風險。