ShadowLeak: Propust u ChatGPT Deep Research agentu omogućava krađu podataka iz Gmaila

Vesti, 22.09.2025, 12:30 PM

Istraživači kompanije Radware otkrili su ozbiljnu ranjivost u Deep Research agentu ChatGPT-ja, koja je omogućavala napadačima da dođu do osetljivih podataka iz Gmail inboxa pomoću samo jednog posebno napravljenog mejla.

Open AI-jev Deep Research, lansiran u februaru 2025. godine, predstavlja autonomni istraživački režim: korisnik zada temu, a agent automatski pronalazi, analizira i sintetiše podatke iz stotina izvora sa interneta.

Nova ranjivost „bez klika“, nazvana ShadowLeak, omogućava napad koji zaobilazi korisnika i lokalne sisteme za zaštitu. Za razliku od prethodnih napada gde su podaci curili kroz korisnički interfejs, ShadowLeak je funkcionisao isključivo unutar OpenAI-jevog oblaka (service-side exfiltration).

Napad se zasnivao na indirektnim „prompt injection“ tehnikama - skrivenim komandama ubačenim u HTML mejla (npr. tekst bele boje na beloj pozadini ili mikroskopski fontovi).

Kada bi korisnik zatražio da Deep Research agent obradi mejlove i izvore sa interneta, agent bi naišao na skrivene instrukcije u mejlu napadača i izvršio ih u pozadini.

Kako izgleda napad

Napadač šalje žrtvi naizgled bezazlen mejl, ali u njemu krije uputstva da agent pronađe puno ime i adresu žrtve u inboxu i ubaci ih u URL koji vodi do servera pod kontrolom napadača. Žrtva aktivira Deep Research agenta da procesuira mejlove. Agent obrađuje skrivena uputstva i samostalno otvara napadačev URL, šaljući mu lične (PII) podatke - sve ovo bez potvrde korisnika i bez prikazivanja bilo čega u korisničkom interfejsu.

Radware navodi da su morali koristiti dodatne trikove kako bi napad bio uspešan, uključujući korišćenje alata browser.open(), ponovljene pokušaje i kodiranje izdvojenih ličnih podataka u Base64 pre nego što se dodaju u URL. Rezultat je bio 100% uspešna eksfiltracija Gmail podataka.

Istraživači kompanije Radware su prijavili svoje nalaze OpenAI-ju putem platforme Bugcrowd u junu 2025. godine. U avgustu je Radware primetio da je OpenAI tiho popravio ranjivost. Početkom septembra, OpenAI je i zvanično potvrdio da je problem rešen.