漏洞概述:数亿用户面临零点击攻击威胁
Tenable安全研究人员近期在OpenAI的ChatGPT模型中发现了七项关键漏洞,可能导致数亿用户遭受高度复杂的零点击攻击。攻击者可利用这些漏洞窃取敏感用户数据并入侵系统,且无需任何直接用户交互。这一发现对现代大语言模型的安全基础提出了严峻质疑。
安全机制与内存系统的双重突破
最令人担忧的漏洞涉及通过Bing跟踪链接绕过ChatGPT的安全防护机制。研究发现,尽管OpenAI的url_safe端点旨在阻止恶意URL触达用户,但由于Bing.com受信任的域名状态,攻击者能完全规避该防护体系。这使得威胁行为体可通过静态跟踪链接(最终跳转至攻击者控制域)逐字符窃取用户数据。
更危险的是内存注入技术,该技术可实现跨多轮对话的持久化攻击。通过操控ChatGPT的记忆系统,攻击者能植入在后续每次ChatGPT响应时自动执行的指令,形成持续数日泄露私人信息的长期威胁。用户在使用新的聊天会话时,完全无法察觉敏感数据正持续流向攻击者基础设施。
隐藏式攻击与复合攻击链
研究团队还发现一项Markdown渲染漏洞,允许攻击者向用户隐藏恶意内容,而ChatGPT仍在后台处理隐藏指令。这种技术使攻击对信任ChatGPT回应用户几乎完全隐形,彻底破坏了用户对平台透明度的预期。
Tenable研究人员演示了多个结合上述漏洞的复合攻击链:攻击者通过可信网站评论区、已索引网页或直接URL参数注入恶意指令。当用户要求ChatGPT总结这些文章时,会无意间触发指令注入,导致钓鱼攻击或数据窃取。
零点击攻击与对话劫持
零点击攻击向量构成了最严重的威胁。攻击者创建特定主题网站,向仅对SearchGPT爬虫可见的页面注入指令,随后等待搜索引擎索引。当用户搜索相关信息时,ChatGPT会自动调用受污染网站并触发感染。这种前所未有的漏洞支持基于时事或热门话题的定向攻击,所有依赖AI搜索功能的用户均可能在不知情时受影响。
通过对话注入技术,攻击者可将指令植入SearchGPT的响应中,形成连锁式AI交互劫持。研究显示,传统关于AI交互隔离的安全假设在此类链式攻击面前已不再成立。
行业影响与应对迫在眉睫
这些漏洞从根本上改变了使用ChatGPT处理敏感工作的组织与个人面临的威胁格局。建立持久化攻击、隐藏恶意活动、通过常规网络搜索入侵用户的能力,共同构成了前所未有的攻击面。OpenAI的响应速度和修复时间线,将成为决定用户暴露于这些新型攻击技术时长度的关键因素。