ChatGPT安全警报：零点击攻击风险

警告！ChatGPT面临“零点击攻击”的安全隐患。

用户无需任何点击操作，攻击者也能从ChatGPT连接的第三方应用中窃取敏感数据，甚至API密钥。

这一安全问题的揭示者是一位研究软件安全的专家，塔米尔·伊沙雅·沙尔巴特（Tamir Ishay Sharbat）。

OpenAI已经意识到这种安全漏洞，并采取了防范措施，但仍然无法完全阻止攻击者通过其他手段进行恶意入侵。

有观点指出，这实际上是一个大规模的安全问题。

让我们详细了解一下这一安全问题的具体情况。

攻击链的构成

这个漏洞出现在ChatGPT连接第三方应用的环节。

攻击者通过在被连接的第三方应用（如Google Drive、SharePoint等）中传输的文档里注入恶意提示，使ChatGPT在搜索和处理文档时，将敏感信息作为图片URL的参数发送到攻击者控制的服务器。

这样，攻击者就可以窃取敏感数据，甚至API密钥。具体的技术操作过程如下。

入侵过程

用户直接将文档上传到ChatGPT进行分析并获取答案。

攻击者会在文档里注入恶意指令，即在文档中嵌入一个不可见的提示注入载荷（例如，隐藏一个1像素的白色字体），然后等待有人将其上传到ChatGPT并处理，从而诱导AI执行攻击行为，如下图所示。

从企业内部风险的角度来看，恶意的内部工作人员可以轻松浏览他们可访问的所有文档，并污染每一个文档。

甚至他们可能向所有用户传播看似可信的长文件，因为知道其他员工很可能会将这些文件上传到ChatGPT寻求帮助。

这使得攻击者的间接提示注入成功进入某个人的ChatGPT的可能性大大增加。

成功进入之后，攻击者如何将数据回传给自己的服务器呢？

这个出口是通过图像渲染来实现的，如下图所示。

告诉ChatGPT如何做之后，它可以从特定的URL渲染图像：

当ChatGPT返回Markdown内容时，它会在客户端渲染为图像。

攻击者为了窃取数据，只需将想要泄露的信息嵌入到图像的URL参数中。

这样，当ChatGPT渲染图像时，无需点击就会立即向攻击者的服务器发送请求，数据就被窃取了。

那么，攻击者是如何窃取用户的API密钥的呢？

攻击者将以下提示注入载荷嵌入到文档中，并等待受害者像上面描述的一样将文档插入他们的ChatGPT。

这是攻击者创建的完整提示注入载荷: