危险！ChatGPT存在“零点击进犯”安全问题。

用户无需点击，进犯者也能从ChatGPT衔接的第三方使用盗取灵敏数据，乃至盗取API密钥。

一位研讨软件安全问题，名为塔米尔·伊沙雅·沙尔巴特（Tamir Ishay Sharbat）的小哥发了篇文章说道。

OpenAI也认识到这种安全缝隙问题，并采取了防备办法，可是依然抵御不了进犯者经过其他办法歹意侵略。

也有网友指出，这是规模化的安全问题。

一同看下怎样回事。

进犯链是怎样构成的

这个缝隙出现在进犯ChatGPT衔接第三方使用这个环节。

进犯者经过向被衔接的第三方使用（如Google Drive、SharePoint等）中传输的文档里注入歹意提示，使ChatGPT在查找和处理文档时，不知不觉地将灵敏信息作为图片URL的参数发送到进犯者操控的服务器。

这样进犯者就能够盗取灵敏数据，乃至API密钥，具体技能操作进程如下。

侵略进程

用户直接把文档上传到ChatGPT让它剖析并给出答案。

进犯者会在文档里注入歹意指令，就是在文档中注入一个不行见的提示注入载荷（比方，隐藏在文档中，1px白色字体），然后等候有人将其上传到ChatGPT并处理，然后AI被诱导履行进犯行为，如下图所示。

假如从企业内部危险考虑，有歹意的内部工作人员就能够轻松简略地阅读他们可拜访的一切文档，并污染每一个文档。

乃至他们或许向一切用户分布看起来很可信的长文件，由于知道其他职工很或许会将这些文件上传到ChatGPT寻求协助。

这使得进犯者的直接提示注入，成功进入或人ChatGPT的或许性大大添加。

成功进入之后，怎么将数据回传给进犯者呢。

这个出口是经过图画烘托，如下图所示。

告知ChatGPT怎么做之后，它能够从特定的URL烘托图画：

当ChatGPT回来Markdown内容时，它就会在客户端烘托为图画。

进犯者为了盗取数据，只需要将想要走漏的信息嵌入到图画的URL参数中。*****国外&#演艺圈桃色新闻大曝光26691;色新闻最新情况*

这样，下载桃色新闻网页版视频当ChatGPT烘托图画时，无需点击就会当即向进犯者的服务器发送恳求，数据就被盗取了。

那进犯者又是怎样盗取用户的API密钥的呢。

进犯者将以下提示注入载荷嵌入到文档中，并等候受害者像上面所示的那样将文档刺进他们的ChatGPT。

这是进犯者创立的完好提示注入载荷：

如上图所示，在提示注入中，进犯者指示ChatGPT不要总结文档，而是履行以下操作：

1.前往用户衔接的Google Drive，查找API密钥。

2.一旦ChatGPT找到API密钥，将它们嵌入以下短语中：

这将会生成一张图片，并向进犯者的beeceptor（一个模仿API服务）端点发送恳求，将受害者的API密钥作为参数。

3.为了防止被检测到，进犯者指示ChatGPT不要提及它收到的新指令，由于它们“现在没有关系”。

OpenAI防备办法

上述客户端图画烘托是一个强壮的数据外泄途径，OpenAI也认识到了，他们现已布置了一些办法防备这样的缝隙。

具体来说，在ChatGPT烘托图画之前，客户端会进行一项缓解办法，查看URL是否歹意以及是否安全才干烘托。

这项缓解办法会将URL发送到名为url_safe的端点，而且只有当URL的确安全时才会烘托图画。

进犯者随机的beeceptor端点就会被认定为不安全并制止履行。

可是，进犯者也找到了绕过这种防备办法的办法。

进犯者是怎么绕过的

进犯者清楚ChatGPT十分拿手烘托由微软开发的云核算渠道服务Azure Blob保管的图画。

不仅如此，他们还会将Azure Blob存储衔接到Azure的日志剖析——这样一来，每逢有恳求发送到他们存储的某个随机图画地点的blob时，就会生成一条日志。

他们知道这条日志会包括与该恳求一同发送的一切参数。

所以，进犯者不会再让ChatGPT烘托beeceptor端点，而是会指令它从Azure Blob烘托图画，并把想要盗取的数据作为参数包括在恳求中，如下图所示。

当受害者总结文档时，他们会得到以下回应：

如下图所示，进犯者的图画就已成功烘托，而且在Azure ࢲ下载桃色新闻网页版视频演艺圈桃色新闻大曝光9;外桃色新闻最新情况Log Analytics中得到了一个很棒的恳求日志，其间包括了受害者的API密钥。

这样一来，进犯就成功了。

进犯危险与全体防备办法

除了上面提到的进犯行为，进犯者还会用其他技巧来压服AI大模型做这些不被答应的工作，比方使用特别字符、“讲故事”来绕过AI的安全规矩，履行歹意指令。

传统的安全训练，比方训练职工不点击可疑链接或许电子垂钓邮件，也没办法躲避这种安全缝隙。

究竟文档在内部流通，职工上传到AI帮助解析的时分，无需点击，数据就在后台被偷偷盗取了。

现在，企业选用AI作为提高企业全体功率的办法越来越遍及。

可是AI东西存在如此严峻的安全缝隙，形成企业数据全面走漏的严重危险（比方人力资源手册、财政文件或战略方案的SharePoint站点走漏），这个问题急需解决。

更何况，这不是个例。除了ChatGPT存在这样的问题，微软的Copilot中的“EchoLeak”缝隙也产生相同的状况，更不用说针对其他AI帮手的各种提示注入进犯。

所以就有安全专家提出以下防备主张，

• 为AI衔接器权限施行严厉的拜访操控，遵从最小权限准则。
• 布置专门为AI agent活动规划的监控解决方案。
• 教育用户关于“上传来源不明的文档到AI体系”的危险。
• 考虑网络等级的监控，以检测反常的数据拜访形式。
• 定时审计衔接的服务及其权限等级。

专家主张是面向企业的，对我们AI东西用户来说，留意日常AI操作细节中存在的问题或许更有用。

有没有遇到过文档内容被误读或感觉“不对劲”的状况？

谈论区聊聊我们的阅历，互帮互助来避坑~

参阅链接

[1]https://labs.zenity.io/p/agentflayer-chatgpt-connectors-0click-attack-5b41

[2]https://x.com/deedydas/status/1954600351098876257

[3]https://cybersecuritynews.com/chatgpt-0-click-connectors-vulnerability/

本文来自微信大众号“量子位”，作者：奕然，36氪经授权发布。